Відділ освіти
Уманської районної державної адміністрації
|
ЗАТВЕРДЖЕНО
Наказ відділу освіти Уманської райдержадміністрації
від ___________№___________
|
ПОЛОЖЕННЯ
про порядок обробки та захисту
персональних даних працівників
та контрагентів
м. Умань
2014 рік
І. Загальні положення
1.1. Положення про порядок обробки та захисту персональних даних працівників та контрагентів (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних працівників відділу освіти Уманської районної державної адміністрації (далі — відділ освіти) та контрагентів відділу освіти (фізичних осіб, які надають послуги відділу освіти, та фізичних осіб — отримувачів послуг відділу освіти, персональні дані яких обробляються під час реалізації договірних відносин; далі — контрагенти), від незаконної обробки, у т. ч. від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон № 2297) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14.
1.3. Положення є обов’язковим для виконання працівниками відділу освіти, які мають доступ до персональних даних та обробляють персональні дані.
1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону № 2297, при цьому згідно із термінологією Закону № 2297 відділ освіти вважається володільцем персональних даних.
1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
1.6. Персональні дані працівників і контрагентів відділу освіти за режимом доступу є інформацією з обмеженим доступом. Відділ освіти прийняв на себе зобов’язання щодо забезпечення захисту персональних даних працівників та контрагентів.
1.7. Персональні дані працівників та контрагентів відділу освіти обробляються на паперових носіях та за допомогою автоматизованих систем (далі — Автоматизована система), а також інших програмних продуктів (Excel, Word тощо).
1.8. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
1.9. Персональні дані працівників обробляються методистом по кадрах, фахівцем по кадрах, старшим економістом, економістом, в бухгалтерії відділу освіти та керівниками загальноосвітніх, позашкільних і дошкільних навчальних закладів.
1.10. Працівниками кадрової служби та керівниками загальноосвітніх, позашкільних і дошкільних навчальних закладів персональні дані обробляються у картотеках (на паперових носіях — у картотеці особових карток (типова форма № П-2), у т. ч. картотеці військового обліку, в особових справах, в інших документах, що містять персональні дані працівників, у т. ч. трудових книжках, організаційно-розпорядчих документах, звітних та облікових формах) та в Автоматизованій системі.
1.11. Бухгалтери та економісти персональні дані працівників обробляють у картотеках (на паперових носіях — організаційно-розпорядчі документи, бухгалтерські документи, звітні та облікові форми) та в Автоматизованій системі.
1.12. Персональні дані контрагентів обробляються у бухгалтерії.
1.13. Персональні дані контрагентів обробляються на паперових носіях (договори, бухгалтерські документи, облікові форми тощо) та в Автоматизованій системі.
1.14. Для персональних даних працівників та контрагентів розпорядники відсутні. Працівники відділу освіти не вважаються розпорядниками персональних даних працівників та контрагентів.
1.15. Третіми особами у контексті Закону № 2297 є:
державні органи, яким персональні дані передаються відповідно до законодавства (Пенсійний фонд, податкова інспекція, військові комісаріати, центри зайнятості, лікувально-профілактична установа, що забезпечує проведення обов’язкових медичних оглядів та ін.);
банківська установа, що надає послуги відділу освіти у рамках зарплатного карткового проекту;
банківські установи, за допомогою яких здійснюються розрахунки у межах договірних відносин.
будь-які особи, за винятком працівника або контрагента, відділу освіти як володільця персональних даних та Уповноваженого Верховної Ради України з прав людини, яким відділом освіти може здійснюватися передача персональних даних.
1.16. Первинна профспілкова організація, що діє у відділі освіти, самостійно забезпечує захист відомостей, наданих працівниками, які є членами профспілки, і вважається володільцем таких персональних даних. Відділ освіти надає первинній профспілковій організації потрібну допомогу з питань захисту персональних даних від незаконної обробки, у т. ч. від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них. Порядок обробки та захисту персональних даних членів профспілки визначається відповідним положенням, затвердженим профспілковим комітетом.
ІІ. Мета обробки персональних даних
2.1. Обробка персональних даних працівників проводиться з метою забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку, охорони праці (відповідно до Кодексу законів про працю України, Законів України «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу», «Про охорону праці», колективного договору відділу освіти); адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно з Положенням про відділу освіти), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці»), а також з метою забезпечення особистої безпеки працівників та захисту майна відділу освіти.
2.2. Обробка персональних даних працівників є необхідною для виконання передбаченого законом обов’язку відділу освіти, як роботодавця, що використовує працю найманого персоналу, а саме для:
ведення кадрового діловодства;
підготовки визначеної законодавством статистичної та іншої звітності;
документаційного забезпечення, визначених у пункті 2.1 відносин, у т. ч. прав та обов’язків працівників і роботодавця у сфері праці та соціального захисту.
2.3. Обробка персональних даних контрагентів здійснюється з метою забезпечення реалізації договірних відносин під час здійснення відділом освіти господарської діяльності, адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно з Положенням про відділ освіти), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», інших нормативно-правових актів у сфері бухгалтерського та податкового обліку).
ІІІ. Склад персональних даних працівників, що обробляються у Товаристві
3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб управлінської діяльності відділу освіти, кваліфікаційних вимог до професій (посад) працівників обробляються такі персональні дані:
– персональні дані, необхідність обробки яких передбачена Законами України:
прізвище, ім’я, по батькові;
дата і місце народження;
паспортні дані;
номер ідентифікаційного коду (номер облікової картки платника податків);
відомості з військового квитка (приписного свідоцтва);
відомості про трудову діяльність, що містяться у трудовій книжці);
– інші персональні дані, необхідність обробки яких визначена нормативно-правовими актами або пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності відділу освіти:
відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);
відомості про наявність кваліфікаційної категорії (розряду, класу тощо);
відомості про стан здоров’я (обробляються відповідно до статті 24 КЗпП в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);
біографічні дані;
відомості про ділові та особисті якості, зокрема, вказані у поданому при працевлаштуванні резюме (у т. ч. щодо рис характеру, особистих захоплень, звичок);
відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;
відомості про місце реєстрації фактичне місце проживання, номери телефонів, адресу особистої електронної пошти;
відомості про членство у професійних спілках;
відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);
фотозображення;
3.2. У відділі освіти не обробляються відомості про расове або етнічне походження працівників, їх політичні, світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.
3.3. Обробка персональних даних працівників про національне походження, членство у професійних спілках, стан здоров’я, які згідно із законодавством належать до персональних даних, обробка яких становить особливий ризик для прав і свобод громадян, є необхідною для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.
Враховуючи цілі обробки, відділ освіти як володілець персональних даних не підлягає обов’язку повідомляти Уповноваженого Верховної Ради України з прав людини про обробку зазначених видів персональних даних (ст. 9 Закону № 2297, п. 1.2, 2.1.3 Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14).
IV. Склад персональних даних контрагентів, що обробляються у Товаристві
4.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб господарської діяльності відділу освіти обробляються такі персональні дані контрагентів:
– прізвище, ім’я, по батькові;
– відомості про місце реєстрації і місце фактичного проживання, номери телефонів, адреса електронної пошти;
– паспортні дані;
– номер ідентифікаційного коду (облікової картки платника податків).
4.2. У разі, якщо надання послуг відділу освіти пов’язано з наявністю у фізичної особи — контрагента спеціальних знань та навичок, обробляються відомості про освіту, кваліфікацію на підставі наданих фізичною особою документів.
V. Обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у відділі освіти
5.1. Для забезпечення реалізації норми частини 1 статті 24 Закону № 2297, згідно з якою володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, наказом начальника відділу освіти призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних у відділі (далі — Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.
5.2. Відповідальна особа:
5.2.1. Інформує та консультує керівництво і працівників відділу освіти з питань додержання законодавства про захист персональних даних.
5.2.2. Взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
5.2.3. Забезпечує:
організацію обробки персональних даних працівниками відділу освіти відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;
аналіз загроз безпеці персональних даних, аналіз процесів обробки персональних даних відповідно до основних завдань та функцій відділ освіти, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність, ненадмірність та адекватність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
ознайомлення керівників структурних підрозділів та працівників відділу освіти з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;
організацію обробки запитів третіх осіб щодо доступу до персональних даних.
5.2.4. Забезпечує реалізацію прав суб’єктів персональних даних , сприяє доступу суб’єктів персональних даних до власних персональних даних.
5.2.5. За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд начальнику відділу освіти.
5.2.6. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них, за необхідності ініціює внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій.
5.2.7. У разі виявлення порушень законодавства про захист персональних даних та/або цього Положення інформує начальника відділу освіти про заходи, яких необхідно вжити для усунення порушень, у т. ч. приведення складу персональних даних та процедур їх обробки у відповідність до закону.
5.2.8. Інформує начальника відділу освіти про порушення встановлених процедур обробки персональних даних.
5.2.9. Фіксує факти порушень режиму захисту персональних даних у порядку, визначеному розділом ХII цього Положення.
5.3. Відповідальна особа має право:
5.3.1. На доступ до будь-яких даних, які обробляються у відділі освіти, та до всіх приміщень відділу освіти, де здійснюється така обробка.
5.3.2. Перевіряти стан дотримання працівниками відділу освіти законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.
5.3.3. Вносити начальнику відділу освіти пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.
5.4. Вимоги Відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
|
|