Положение об обработке и защите персональных данных от 17 июня 2017 года.pdf

Опубликовано на сайте

31 января 2019

Скачать Хочу такой сайт

Посмотреть 

1. Общие положения
1.1. Положение об обработке и защите персональных данных МОУ
«Лицей №1» разработано в соответствии с Конституцией Российской Федерации,
ст. 85-90, ст.351.1 Трудового кодекса Российской Федерации, Кодексом
Российской Федерации об административных правонарушениях, Федеральным
законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан
Российской Федерации», Федеральным законом от 27.07.2006 № 149-ФЗ «Об
информации, информационных технологиях и о защите информации»,
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации», постановлением
Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных», приказом ФСТЭК России от 11.02.2013 № 21
«Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных», Уставом МОУ "Лицей №1",
утвержденным 02.07.2015, лицензией на осуществление образовательной
деятельности № 2424 от 13.02.2015.
1.2. Настоящее Положение определяет политику МОУ «Лицей №1» как
оператора, осуществляющего обработку персональных данных, в отношении
обработки и защиты персональных данных и является элементом системы мер,
принимаемых Учреждением для защиты обрабатываемых персональных данных
от несанкционированного доступа, уничтожения, искажения или разглашения.
1.3. Положение об обработке и защите персональных данных (далее Положение) МОУ «Лицей №1» определяет цели, содержание и порядок
обработки персональных данных, меры, направленные на защиту персональных
данных, а также процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в области персональных
данных.
1.4. Персональные данные относятся к категории конфиденциальной
информации.
1.5. Изменения в Положение могут быть внесены директором Учреждения
в установленном действующим законодательством порядке.
1

2. Условия и порядок обработки персональных данных
2.1. Обработка персональных данных работников осуществляется
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов, содействия работникам в трудоустройстве, обучении и
карьерном росте, а также обеспечения личной безопасности работников,
сохранности имущества, контроля количества и качества выполняемой работы,
обеспечения работников установленными законодательством Российской
Федерации условий труда, гарантий и компенсаций.
Обработка персональных данных учащегося, родителей (законных
представителей) может осуществляться исключительно в целях обеспечения
соблюдения законов и иных нормативных правовых актов, содействия в
обучении, обеспечения личной безопасности и сохранности имущества, контроля
качества обучения.
Обработка персональных данных посетителей может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных
Правовых актов, обеспечения безопасности учащихся и работников, в частности,
в отношении профилактики террористических актов, сохранности личного и
школьного имущества.
2.2. Оператор определяет объем, содержание обрабатываемых
Персональных данных работников, посетителей, учащихся и их родителей
(законных представителей), руководствуясь Конституцией Российской
Федерации, Трудовым кодексом Российской Федерации, Федеральным Законом
«Об образовании в Российской Федерации» и иными федеральными законами.
2.3. Все персональные данные работника предоставляются работником, за
исключением случаев, предусмотренных федеральным законом. Если
персональные данные работника возможно получить только у третьей стороны,
то Оператор обязан заранее уведомить об этом работника и получить его
письменное согласие. Оператор должен сообщить работнику о целях,
предполагаемых источниках и способах получения персональных данных, а
также о характере подлежащих получению персональных данных и последствиях
отказа работника дать письменное согласие на их получение.
Все персональные данные несовершеннолетнего учащегося в возрасте до
14 лет (малолетнего) предоставляются его родителями (законными
представителями). Если персональные данные учащегося возможно получить
только у третьей стороны, то родители (законные представители) обучающегося
2

должны быть уведомлены об этом заранее. От них должно быть получено
письменное согласие на получение персональных данных от третьей стороны.
Родители (законные представители) учащегося должны быть проинформированы
о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказ дать письменное согласие на их получение.
Персональные данные несовершеннолетнего учащегося в возрасте старше
14 лет предоставляются самим учащимся с письменного согласия своих законных
представителей — родителей, усыновителей или попечителя. Если персональные
данные учащегося возможно получить только у третьей стороны, то учащийся,
должен быть уведомлен об этом заранее. От него и его родителей (законных
представителей) должно быть получено письменное согласие на получение
персональных данных от третьей стороны. Учащийся и его родители (законные
представители) должны быть проинформированы о целях, предполагаемых
источниках и способах получения персональных данных, а также о характере
подлежащих получению персональных данных и последствиях отказа дать
письменное согласие на их получение.
Персональные данные посетителей предоставляются самим посетителем
один раз при входе в образовательное учреждение на добровольной основе.
2.4. Персональные данные работника — информация, необходимая
работодателю в связи с трудовыми отношениями и касающаяся конкретного
работника.
Персональные данные учащихся — информация, необходимая
образовательному учреждению в связи с отношениями, возникающими между
учащимся, его родителями (законными представителями) и образовательным
учреждением.
Персональные данные посетителя — информация, необходимая оператору
для обеспечения безопасности учащихся и работников, в частности, в отношении
профилактики террористических актов, сохранности личного и школьного
имущества.
2.5. К персональным данным Субъекта, которые обрабатывает Оператор,
относятся:
 фамилия, имя, отчество (в т.ч. предыдущие),
 паспортные данные или данные документа, удостоверяющего личность, дата
рождения, место рождения,
3

 гражданство,
 отношение к воинской обязанности и иные сведения военного билета и
приписного удостоверения,
 данные документов о профессиональном образовании, профессиональной
переподготовки, повышении квалификации, стажировке,
 данные документов о подтверждении специальных знаний,
 данные документов о присвоении ученой степени, ученого звания, списки
научных трудов и изобретений и сведения о наградах и званиях,
 знание иностранных языков,
 семейное положение и данные о составе и членах семьи,
 сведения об отсутствии судимости,
 сведения о социальных льготах, пенсионном обеспечении и страховании,
 данные документов об инвалидности (при наличии),
 данные медицинского заключения (при необходимости),
 стаж работы и другие данные трудовой книжки и вкладыша к трудовой
книжке, должность, квалификационный уровень,
 сведения о заработной плате (доходах), банковских картах,
 адрес места жительства (по регистрации и фактический), дата регистрации
по указанному месту жительства, адрес электронной почты,
 номер телефона (домашний, мобильный),
 данные свидетельства о постановке на учет в налоговом органе физического
лица по месту жительства на территории РФ (ИНН),
 данные
страхового
свидетельства
государственного
пенсионного
страхования,
 результаты успеваемости и тестирования,
 номер и литера класса,
 группа здоровья,
 иная необходимая информация, которую Субъект добровольно сообщает о
себе для получения услуг, предоставляемых Учреждением, если ее обработка
не запрещена законом.
2.6. Обработка персональных данных работников, учащихся и их
родителей (законных представителей), посетителей включает в себя следующие
действия: сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
представление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.
4

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление,
изменение) персональных данных осуществляется путем:
2.7.1. Получения оригиналов необходимых документов (паспорт,
медицинский полис, заявление, трудовая книжка, автобиография, иные
документы, представляемые специалисту по кадрам.
2.7.2. Копирования оригиналов документов.
2.7.3. Внесения сведений в учетные формы (на бумажных и электронных
носителях).
2.7.4. Формирования персональных данных в ходе кадровой работы.
2.7.5. Внесения персональных данных в информационные системы
Персональных данных.
2.8. При сборе персональных данных работник, осуществляющий сбор
(получение) персональных данных непосредственно от работников, учащихся
либо их родителей (законных представителей), посетителей, обязан разъяснить
указанным субъектам персональных данных юридические последствия отказа
представить их персональные данные.
3. Порядок и сроки хранения персональных данных
3.1. Персональные данные работников, учащихся образовательного
учреждения, их родителей (законных представителей), посетителей хранятся на
бумажных и электронных носителях в специально предназначенных для этого
помещениях.
3.2. В процессе хранения персональных данных работников, учащихся
образовательного учреждения, их родителей (законных представителей),
посетителей должны обеспечиваться:
 требования нормативных документов, устанавливающих правила хранения
конфиденциальных сведений;
 сохранность имеющихся данных, ограничение доступа к ним, в
соответствии с законодательством Российской Федерации и настоящим
Положением;
 контроль за достоверностью и полнота персональных данных, их
регулярное обновление и
внесение
по мере необходимости
соответствующих изменений.
3.3. Доступ к персональным данным работников, учащихся
образовательного учреждения, их родителей (законных представителей),
5

посетителей имеют лица, назначенные соответствующим приказом директора.
3.4. Лица, имеющие доступ к персональным данным обязаны использовать
персональные данные работников, учащихся образовательного учреждения, их
родителей (законных представителей), посетителей лишь в целях, для которых
они были предоставлены.
3.5. Ответственным за обработку ПДн является лицо, назначенное
приказом директора.
3.6. Персональные данные работника отражаются в личной карточке
работника (форма T-2), которая заполняется после издания приказа о его приеме
на работу, и личном деле. Личные карточки и личные дела работников хранятся в
специально оборудованных шкафах, к которым обеспечен контролируемый
доступ.
Персональные данные учащегося и их родителей (законных
представителей) отражаются в его личном деле, которое заполняется после
издания приказа о его зачисления в образовательное учреждение. Личные дела
обучающихся формируются в алфавитном порядке, по классам, в папках, к
которым обеспечен контролируемый доступ.
Данные документы являются конфиденциальными, хотя, учитывая их
массовость и единое место обработки и хранения, соответствующий гриф
ограничения на них не ставится. Режим конфиденциальности персональных
данных снимается в случаях обезличивания или по истечении 75-летнего срока
хранения, если иное не определено законом.
Персональные данные посетителей отражаются
посетителей.

в Журнале учета

3.7. Сроки хранения персональных данных определяются в соответствии с
номенклатурой дел МОУ «Лицей №1».
3.8. Необходимо обеспечивать раздельное хранение персональных данных
на разных материальных носителях, обработка которых осуществляется в
различных целях, определенных настоящим Положением.
3.9. Срок хранения персональных данных, внесенных в ИСПДн МОУ
«Лицей №1», должен соответствовать сроку хранения бумажных оригиналов.
3.10. Оператор обеспечивает за счет собственных средств защиту
персональных данных от неправомерного их использования или утраты в
соответствии с требованиями, установленными законодательством Российской
6

Федерации.
4. Передача персональных данных
4.1. При передаче персональных данных работников и учащихся
образовательного учреждения другим юридическим и физическим лицам
образовательное учреждение должно соблюдать следующие требования:
персональные данные работника (учащегося) не могут быть сообщены
третьей стороне без письменного согласия работника, учащегося, родителей
(законных представителей) несовершеннолетнего (малолетнего) учащегося, за
исключением случаев, когда это необходимо для предупреждения угрозы жизни и
здоровью работника (учащегося), а также в случаях, установленных федеральным
законом;
лица, получающие персональные данные работника (учащегося) должны
предупреждаться о том, что эти данные могут быть использованы лишь в целях,
для которых они сообщены. Образовательное учреждение должно требовать от
этих лиц подтверждения того, что это правило соблюдено. Лица, получающие
персональные
данные
работника,
обязаны
соблюдать
режим
конфиденциальности.
Данное положение не распространяется на обмен персональными данными
работников в порядке, установленном федеральными законами.
4.2. Передача персональных данных работника (учащегося) его
представителям может быть осуществлена в установленном действующим
законодательством порядке только в том объеме, который необходим для
выполнения указанными представителями их функций.
5. Порядок защиты персональных данных в ИСПДн
5.1. Обработка персональных данных осуществляется на законной и
справедливой основе.
5.2. Определение уровня защищенности персональных данных при их
обработке в ИСПДн МОУ «Лицей №1», осуществляется в порядке,
установленном законодательством Российской Федерации.
5.3. Работникам МОУ «Лицей №1», имеющим право осуществлять
обработку персональных данных в ИСПДн, предоставляется уникальный логин и
пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к
прикладным программным подсистемам в соответствии с функциями,
предусмотренными должностными обязанностями работников.
7

Информация вносится в ручном режиме, при получении информации на
бумажном носителе или в ином виде, не позволяющем осуществлять ее
автоматическую регистрацию.
5.4. Обеспечение безопасности персональных данных, обрабатываемых в
ИСПДн
МОУ
«Лицей
№1»,
достигается
путем
исключения
несанкционированного, в том числе случайного, доступа к персональным
данным, а также принятия следующих мер по обеспечению безопасности:
Определение угроз безопасности персональных данных при их обработке в
ИСПДн.
Применение организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в ИСПДн, необходимых
для выполнения требований к защите персональных данных, исполнение которых
обеспечивает установленные Правительством Российской Федерации уровни
защищенности Персональных данных.
Применение прошедших в установленном порядке процедур оценки
соответствия средств защиты информации.
Оценка эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию ИСПДн.
Учет машинных носителей персональных данных.
Обнаружение фактов несанкционированного доступа к персональным
данным и принятие мер.
Восстановление персональных ДаННЫХ, модифицированных или
удаленных, уничтоженных вследствие несанкционированного доступа к ним.
Установление правил доступа к персональным данным, обрабатываемым в
ИСПДн МОУ «Лицей №1», а также обеспечением регистрации и учета всех
действий, совершаемых с персональными данными в ИСПДн.
Контроль за принимаемыми мерами по обеспечению безопасности
персональных данных и уровней защищенности информационных систем
персональных данных.
5.5. Администратор безопасности ИСПДн, организует и контролирует
ведение учета материальных носителей персональных данных и обеспечивает:
Своевременное обнаружение фактов несанкционированного доступа к
персональным данным немедленное доведение информации до ответственного за
организацию обработки персональных данных в МОУ «Лицей №1».
8

Недопущение воздействия на технические средства автоматизированной
обработки персональных данных, в результате которого может быть нарушено их
функционирование.
Возможность восстановления персональных данных, модифицированных
или уничтоженных вследствие несанкционированного доступа к ним.
Постоянный контроль
персональных данных.

за

обеспечением

уровня

защищенности

Знание и соблюдение условий использования средств защиты
информации, предусмотренных эксплуатационной и технической документацией.
Учет применяемых средств защиты информации, эксплуатационной и
технической документации к ним, носителей персональных данных.
При обнаружении нарушений порядка представления персональных
данных незамедлительное приостановление представления персональных данных
пользователям информационной системы персональных данных до выявления
причин нарушений и устранения этих причин.
Разбирательство и составление заключений по фактам несоблюдения
условий хранения материальных носителей персональных данных, использования
средств защиты информации, которые могут привести к нарушению
конфиденциальности персональных данных или другим нарушениям,
приводящим к снижению уровня защищенности персональных данных,
разработку и принятие мер по предотвращению возможных опасных последствий
подобных нарушений.
5.6. Ответственными за выполнение требований по защите персональных
данных при их обработке в ИСПДн являются лица, назначенные приказом
директора, эксплуатирующих, а также использующих информационные системы,
пользователи информационных систем, администратор безопасности.
5.7. Обмен персональными данными при их обработке в ИСПДн МОУ
«Лицей №1» осуществляется по каналам связи, защита которых обеспечивается
путем реализации соответствующих организационных мер и путем применения
сертифицированных программных и технических средств.
5.8. Доступ работников, допущенных к обработке персональных данных,
предусматривает обязательное прохождение процедуры идентификации и
аутентификации пользователя.
5.9. В случае выявления нарушений порядка обработки персональных
9

данных в ИСПДн МОУ «Лицей №1» уполномоченными должностными лицами
незамедлительно принимаются меры по установлению причин нарушений и их
устранению.
6. Права субъектов на обеспечение защиты персональных данных
В целях обеспечения защиты персональных данных работники, учащиеся
(родители (законные представители) малолетнего несовершеннолетнего
учащегося), посетители имеют право:
Получать полную информацию о своих персональных данных и их
обработке.
Свободного бесплатного доступа к своим персональным данным, включая
право на получение копии любой записи, содержащей персональные данные
работника, за исключением случаев, предусмотренных федеральными законами.
Получение указанной информации о своих персональных данных возможно при
личном обращении работника, учащегося (для малолетнего несовершеннолетнего
— его родителей, законных представителей).
Требовать об исключении или исправлении неверных или неполных
персональных данных, а также данных, обработанных с нарушением требований
действующего законодательства. Указанное требование должно быть оформлено
письменным заявлением работника на имя директора образовательного
учреждения.
При отказе директора образовательного учреждения исключить или
исправить персональные данные работник, учащийся (родитель, законный
представитель несовершеннолетнего учащегося) имеет право заявить в
письменном виде директору образовательного учреждения о своем несогласии, с
соответствующим обоснованием такого несогласия. Персональные данные
оценочного характера работник, учащийся (родитель, законный представитель
несовершеннолетнего учащегося) имеет право дополнить заявлением,
выражающим его собственную точку зрения.
Требовать об извещении образовательным учреждением всех лиц,
которым ранее были сообщены неверные или неполные персональные данные
работника, учащегося (родитель, законный представитель несовершеннолетнего
учащегося) обо всех произведенных в них исключениях, исправлениях или
дополнениях.
Обжаловать в суде любые неправомерные действия или бездействия
образовательного учреждения при обработке и защите его персональных данных.
10

7. Обязанности субъекта персональных данных по обеспечению
достоверности его персональных данных
7.1. В целях обеспечения достоверности персональных данных работники
обязаны:
При приеме на работу представлять уполномоченным работникам
образовательного учреждения достоверные сведения о себе в порядке и объеме,
предусмотренном законодательством Российской Федерации.
В случае изменения персональных данных работника: фамилия, имя,
отчество, адрес места жительства, паспортные данные, сведения об образовании,
состоянии здоровья (вследствие выявления в соответствии с медицинским
заключением противопоказаний для выполнения работником его должностных,
трудовых обязанностей и т.п.) сообщать об этом в течение 5 (пяти) рабочих дней
с даты их изменений.
7.2. В целях обеспечения достоверности персональных данных учащиеся
(родители, законные представители несовершеннолетних учащихся) обязаны:
При приеме в образовательное учреждение представлять уполномоченным
работникам образовательного учреждения достоверные сведения о себе (своих
несовершеннолетних детях).
В случае изменения сведений, составляющих персональные данные
несовершеннолетнего обучающегося старше 14 лет, он обязан в течение месяца
сообщить об этом уполномоченному работнику образовательного учреждения.
В случае изменения сведений, составляющих персональные данные
обучающегося, родители (законные представители) несовершеннолетнего
обучающегося в возрасте до 14 лет обязаны в течение месяца сообщить об этом
уполномоченному работнику образовательного учреждения.
8. Контроль обеспечения безопасности персональных данных
8.1.
Целью
контроля
является
соблюдение
работниками,
эксплуатирующим информационные системы и (или) обрабатывающими
персональные данные без средств автоматизации, требований по обеспечению
безопасности персональных данных.
8.2. Задачами контроля являются:
Установление фактического положения дел по обеспечению безопасности
персональных данных при их обработке.
Выявление

проблемных

вопросов

в

организации

обеспечения
11

безопасности персональных данных.
Обеспечение соблюдения законодательства Российской Федерации в
области персональных данных.
Выработка мер по оказанию методической и практической помощи
работникам,
эксплуатирующим
информационные
системы
и
(или)
обрабатывающими персональные данные без средств автоматизации.
9. Оценка вреда, который может быть причинен субъектам
персональных данных в случае нарушения требований по обработке и
обеспечению безопасности персональных данных
9.1. Оценкой вреда, который может быть причинен субъектам
персональных данных, в случае нарушения требований по обработке и
обеспечению безопасности персональных данных является определение
юридических или иным образом затрагивающих права и законные интересы
последствий в отношении субъекта персональных данных, которые могут
возникнуть в случае нарушения требований по обработке и обеспечению
безопасности персональных данных.
9.2. К юридическим последствиям относятся случаи возникновения,
изменения или прекращения личных либо имущественных прав субъектов
персональных данных или иным образом затрагивающие их права, свободы и
законные интересы.
9.3. В целях недопущения нарушения и обеспечения защиты прав и свобод
человека и гражданина при обработке его персональных данных, в том числе
защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а
также определения соотношения вреда, который может быть причинен субъектам
персональных данных при обработке персональных данных должны определяться
и документально оформляться все возможные юридические или иным образом
затрагивающие права и законные интересы последствия, которые могут
возникнуть в случае нарушения требований по обработке и обеспечению
безопасности персональных данных.
10. Ответственность
10.1. Работники, допущенные к обработке персональных данных,
виновные в нарушении норм, регулирующих обработку и защиту персональных
данных, несут персональную ответственность за несоблюдение требований по
обеспечению безопасности персональных данных, установленных в соответствии
с законодательством Российской Федерации и настоящим Положением.
12

10.2. В случаях нарушения порядка обеспечения безопасности
персональных данных и нанесения МОУ «Лицей №1» материального или иного
ущерба, виновные лица несут дисциплинарную, административную, гражданскоправовую,
уголовную
и
иную
ответственность,
предусмотренную
законодательством Российской Федерации.

13

Powered by TCPDF (www.tcpdf.org)

Ссылки

Наверх
На сайте используются файлы cookie. Продолжая использование сайта, вы соглашаетесь на обработку своих персональных данных. Подробности об обработке ваших данных — в политике конфиденциальности.

Функционал «Мастер заполнения» недоступен с мобильных устройств.
Пожалуйста, воспользуйтесь персональным компьютером для редактирования информации в «Мастере заполнения».