1. Основные понятия
1.1. Персональные данные — любая информация, касающаяся прямо или косвенно идентифицированного или идентифицируемого физического лица (субъекта персональных данных).
1.2. Оператор — государственный орган, муниципальное учреждение, юридическое или физическое лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели, состав и порядок обработки, а также действия с данными.
1.3. Обработка персональных данных — любое действие (операция) или совокупность операций, осуществляемых с использованием автоматизированных или неавтоматизированных средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, обновление, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение данных.
1.4. Автоматизированная обработка персональных данных — обработка данных с применением средств вычислительной техники.
1.5. Распространение персональных данных — действия, направленные на предоставление данных неопределенному кругу лиц.
1.6. Предоставление персональных данных — действия, направленные на предоставление данных определенному лицу или кругу лиц.
1.7. Блокирование персональных данных — временное прекращение обработки данных, за исключением случаев, когда это необходимо для уточнения данных.
1.8. Уничтожение персональных данных — действия, в результате которых восстановить содержание данных становится невозможным, или данные уничтожаются на материальных носителях.
1.9. Обезличивание персональных данных — действия, в результате которых без использования дополнительной информации невозможно установить принадлежность данных конкретному субъекту.
1.10. Информационная система персональных данных — совокупность персональных данных, информационных технологий и технических средств, обеспечивающих их обработку.
1.11. Общедоступные данные — сведения общего характера, доступ к которым не ограничен.
2. Общие требования к обработке персональных данных работников и гарантии их защиты
2.1. Работодатель и его представители при обработке персональных данных работников обязаны соблюдать следующие требования:
2.1.1. Обработка данных может осуществляться только в целях соблюдения законодательства, содействия в трудоустройстве, получении образования, продвижении по службе, обеспечении безопасности работников, контроле качества работы и сохранности имущества.
2.1.2. Объем и содержание обрабатываемых данных должны соответствовать Конституции Российской Федерации, Трудовому кодексу и иным федеральным законам.
2.1.3. Персональные данные работника должны быть получены у него самого. Если данные могут быть получены только у третьей стороны, работник должен быть уведомлен об этом, и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику цели, источники и способы получения данных, а также последствия отказа в предоставлении согласия.
2.1.4. Работодатель не имеет права получать и обрабатывать данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также иные специальные категории данных, за исключением случаев, предусмотренных законодательством.
2.1.5. Работодатель не имеет права получать и обрабатывать данные о членстве работника в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных Трудовым кодексом или иными федеральными законами.
2.1.6. При принятии решений, затрагивающих интересы работника, данные, полученные исключительно в результате автоматизированной обработки, не могут быть основанием для таких решений.
2.1.7. Работодатель обязан обеспечить защиту данных от неправомерного использования, утраты, уничтожения, изменения и других неправомерных действий за счет своих средств.
2.1.8. Работники и их представители должны быть ознакомлены с документами, регламентирующими порядок обработки данных, а также с их правами и обязанностями.
2.1.9. Работники обязаны сохранять и защищать тайну своих персональных данных.
2.1.10. Меры по защите данных должны разрабатываться и реализовываться совместно работодателями, работниками и их представителями.
2.2. Образовательное учреждение определяет объем и содержание обрабатываемых данных в соответствии с Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.
2.3. При обработке данных должны обеспечиваться их точность, достаточность и актуальность в соответствии с целями обработки. Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
2.4. Операторы и лица, получившие доступ к данным, обязаны не раскрывать и не распространять данные без согласия субъекта, если иное не предусмотрено законом.
2.5. Оператор обязан принимать меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения, а также от других неправомерных действий.
3. Хранение и использование персональных данных
3.1. Хранение данных должно осуществляться в форме, позволяющей идентифицировать субъекта, не дольше, чем это необходимо для целей обработки, если иное не установлено законом, договором или иным правовым актом. Данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты их необходимости, если иное не предусмотрено законом.
3.2. Данные работников хранятся на бумажных и электронных носителях с ограниченным доступом в специально оборудованных помещениях.
3.3. В процессе хранения данных должны соблюдаться требования нормативных документов, обеспечивающих конфиденциальность данных, их сохранность, ограничение доступа и контроль за их достоверностью и актуальностью.
3.4. Доступ к данным имеют:
директор;
заместители директора;
руководители структурных подразделений;
секретарь учебной части;
специалист по кадрам;
иные лица, определенные приказом директора.
3.5. Право доступа к данным также имеют лица, уполномоченные законодательством.
3.6. Лица, имеющие доступ к данным, обязаны использовать их только в целях, для которых они предоставлены.