Положение об обработке и защите персональных данных клиентов (юридических и физических лиц).
ПОЛОЖЕНИЕ
Об обработке и защите персональных данных
клиентов (физических и юридических лиц)
ЧУ ПО «УУПТЦ»
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящим положением об обработке и защите персональных данных Клиентов (далее – Положение) устанавливает порядок обработки персональных данных Клиентов, для которых Частное Учреждение Профессионального Образования «Урайский Учебный Профессионально-Технический Центр» (далее по тексту – «Учебный центр») оказывает услуги по обучению.
2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных.
3. Персональные данные не могут быть использованы «Учебным центром» или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
4. Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.
5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
7. Настоящее Положение и изменения к нему утверждаются директором . Все сотрудники должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиентов.
Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
1. Под Клиентами в интересах настоящего Положения понимаются:
а) Физические лица (субъекты персональных данных), заключившие договор с «Учебным центром». В данных правоотношениях с Клиентами по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту - Закон «О персональных данных») выступает в качестве оператора персональных данных.
2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая «Учебному центру» в связи с исполнением им договорных обязательств перед Клиентом.
3. Состав персональных данных Клиента, обработка которых осуществляется, включает в себя в основном следующие документы и сведения:
Фамилия, имя, отчество
Фамилия при рождении (либо другие фамилии, если были)
Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте
Год, месяц и число рождения
Место рождения
Гражданство при рождении
Гражданство в настоящее время
Пол
Семейное положение
Фамилия, имя отца
Фамилия, имя матери
Данные об общегражданском паспорте Российской Федерации:
- Серия и номер общероссийского паспорта
- дата его выдачи
- наименование органа, выдавшего паспорт
- срок действия общероссийского паспорта либо свидетельства о рождении
Данные о заграничном паспорте Российской Федерации:
- Серия и номер заграничного паспорта
- дата его выдачи
- наименование органа, выдавшего паспорт
- срок действия
Свидетельства о рождении (для несовершеннолетних граждан)
Адрес регистрации
Адрес электронной почты
Домашний и контактный (мобильный) телефоны
Данные о работодателе и работе:
- наименование, адрес и телефон работодателя
- должность в настоящее время
- размер заработной платы
Данные об учебном заведении (для школьников и студентов):
- наименование, адрес и телефон учебного заведения
Изображение (фотография) Клиента*
Сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров)
Даты прошлых выездов в страну планируемого посещения или в группу определенных стран
Сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств
Копии претензий и исковых заявлений, относящиеся к Клиентам
Копии ответов на претензии и копии возражений на исковые заявления, относящиеся к Клиентам
Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Документы и сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. «Учебный центр» обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
1. Клиент обязан передавать «Учебному центру» достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах, заключенных между Клиентом и «Учебным центром».
2. Клиент должен без неоправданной задержки сообщать работникам «Учебного центра» об изменении своих персональных данных.
3. Клиент имеет право на получение сведений об «Учебном центре», о месте его нахождения, о наличии у «Учебного центра» реквизитов, а также на ознакомление с такими персональными данными.
4. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6. Согласие на обработку персональных данных может быть отозвано Клиентом.
7. Если Клиент считает, что «Учебный центр» осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие «Учебного центра» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Статья 5. ОБЯЗАННОСТИ «УЧЕБНОГО ЦЕНТРА» ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. «Учебный центр» осуществляет обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения, только по ниже следующим основаниям:
1) обработка персональных данных Клиентов необходима для осуществления образовательной деятельности «Учебного центра»;
2) обработка персональных данных необходима для исполнения договора, заключенного между сторонами;
3) обработка персональных данных Клиента необходима для осуществления прав и законных интересов «Учебного центра»;
4) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим Клиентом либо по его просьбе.
2. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Турагент обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», договорными обязательствами, взятыми на себя сторонами по договору между Клиентом – «Учебным центром». «Учебный центр» получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.
3. Работники «Учебного центра» получает от Клиента фотографии Клиента только на бумажных носителях без использования средств автоматизации.
Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности:
- документы, содержащие персональные данные Клиента;
- бумажные носители, содержащие персональные данные Клиентов;
- информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
2. «Учебный центр» в интересах обеспечения выполнения обязанностей, возложенных на него Законом «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением, Положение об обработке и защите персональных данных Работников и Положением о мерах по организации защиты информационных систем персональных данных учреждения.
3. Общую организацию защиты персональных данных Клиентов осуществляет директор учреждения.
4. Начальник отдела кадров обеспечивает:
- Ознакомление сотрудников под роспись с настоящим Положением.
- Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки.
- Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в учреждении.
5. Начальники отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.
6. Защита информационных систем учреждения, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положение о мерах по организации защиты информационных систем персональных данных учреждения.
7. Доступ к персональным данным Клиента имеют сотрудники «Учебного центра», которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
8. Процедура оформления доступа к персональным данным Клиента включает в себя:
- Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
9. Сотрудник «Учебного центра», имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
- Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
- В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
10. Допуск к персональным данным Клиента других сотрудников «учебного центра», не имеющих надлежащим образом оформленного доступа, запрещается.
11. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
12. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:
- Организацией контроля доступа в помещения информационной системы посторонних лиц.
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
- Разграничением прав доступа с использованием учетной записи.
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- Учетом машинных носителей персональных данных.
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
- Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
13. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения начальника отдела.
14. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством.
Статья 7. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
2. Персональные данные Клиентов хранятся:
- в отделе «Учебного центра», который принимает заявки и заявления Клиентов на обучение;
- в отделе, который осуществляет работу непосредственно с Клиентами;
- в бухгалтерии;
- в юридическом отделе.
3. Персональные данные Клиентов содержатся в следующих группах документов:
- письменные заявки и заявления Клиентов;
- письменные договора с Клиентами на обучение;
- приложения к письменным договорам с Клиентами на обучение;
- бухгалтерские документы;
- письменные претензии Клиентов;
Статья 8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА
1. Право доступа к персональным данным Клиента имеют:
- директор;
- главный бухгалтер;
- Работники «Учебного центра», допущенные к обработке персональных данных Клиентов.
- Клиент, как субъект персональных данных.
Статья 9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА
1. «Учебный центр» несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента.
2. Руководитель подразделения несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
3. Каждый сотрудник «Учебного центра», получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 10. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ
Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных»
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»
Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».