Политика в отношении обработки персональных данных

МУНИЦИПАЛЬНОЕ КАЗЕННОЕ

ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

«УШНИГСКАЯ СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА»

ПРИКАЗ

26.02.2019 г.                                                                                                             №36

Об утверждении политики оператора

в отношении обработки персональных данных

В целях выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», приказываю:

1. Утвердить прилагаемую политику оператора в отношении обработки персональных данных;
2. Лицам ответственным за информационные системы персональных

данных,     ознакомить     всех     сотрудников,     задействованных     в обработке персональных данных с настоящим приказом;

3. Контроль выполнения настоящего приказа оставляю за собой.

Настоящий приказ действует бессрочно после утверждения и до его замены новой версией.

Директор школы                Гаджимагомедов Г.А.

Приложение

к приказу №36 от 26.02.2019

ПОЛИТИКА

оператора в отношении обработки персональных данных

1. Общие положения

1. 1. В целях гарантирования выполнения норм федерального законодательства в полном объеме МКОУ «Ушнигская СОШ» (далее - Оператор) считает важнейшими своими задачами

соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее - ПДн), а также обеспечение безопасности процессов их обработки.

1. 2. Настоящая Политика оператора в отношении обработки ПДн в МКОУ «УШНИГСКАЯ СОШ » (далее – Политика) характеризуется следующими признаками:

-Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн.

-Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.

-Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

2. Информация об Операторе

Наименование: Муниципальное казенное общеобразовательное учреждение « Ушнигская средняя общеобразовательная школа »

ИНН: 0530007241.

Фактический адрес: 368662, Республика Дагестан, Табасаранский район, улица Ушнигская, дом 402. Тел.+79094810768

3. Основные понятия

Для целей настоящей Политики используются следующие понятия:

1. 1. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
   2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
   3. Субъект – субъект ПДн.
   4. Работник – физическое лицо, состоящее в трудовых отношениях с оператором.
   5. Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
   6. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
   7. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

1. 8. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
   9. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
   10. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.
   11. Обезличивание ПДн– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
   12. Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
   13. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Правовые основания обработки ПДн

Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

-Конституцией Российской Федерации.

-Трудовым кодексом Российской Федерации.

-Гражданским кодексом Российской Федерации.

-Федеральным законом от 19.12.2005№ 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

-Федеральным законом от 27.07.2006№ 152-ФЗ «О персональных данных».

-Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».

5. Цели обработки ПДн

Оператор обрабатывает ПДн исключительно в следующих целях:

-Исполнения положений нормативных актов, указанных в п. 4.1.

-Принятия решения о трудоустройстве кандидата в МКОУ «УСОШ»

-Заключения и выполнения обязательств по трудовым договорам, договорам гражданско- правового характера и договорам с контрагентами

-формирование общей культуры личности, обучающихся на основе усвоения обязательного минимума содержания общеобразовательных программ, их адаптация к жизни в обществе; создание основы для осознанного выбора и последующего освоения профессиональных образовательных программ; воспитание гражданственности, трудолюбия, уважения к правам и свободе человека, любви к окружающей природе, родине, семье; формирование здорового образа жизни.

6. Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения

1. 1. В ИСПДн Оператора обрабатываются следующие категории ПДн:

-Сотрудников       Оператора      (Административно-управленческий                                         состав,            учителя, обслуживающий персонал).

-Уволенных сотрудников МКОУ «УСОШ».

-Физических лиц, обращающихся для зачисления в кадровый резерв МКОУ «УСОШ»

-Субъектов получающих образование в МКОУ «УСОШ»

-Субъектов,     являющихся     законными     представителями                                    Субъектов        получающих образование в МКОУ «УСОШ»

1. 2. Сроки обработки и хранения ПДн определены в «Перечне обрабатываемых ПДн».

7. Основные принципы обработки, передачи и хранения ПДн

1. 1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   2. Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
   3. Оператор не выполняет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
   4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

8. Сведения о третьих лицах, участвующих в обработке ПДн

1. 1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет ПДн следующим организациям:

-Федеральной налоговой службе;

-Пенсионному фонду России (только о субъектах, являющихся сотрудниками Оператора);

-Негосударственным     пенсионным     фондам     (только     о                                                   субъектах,        являющихся сотрудниками Оператора);

-Страховым компаниям (только о субъектах, являющихся сотрудниками Оператора);

-Кредитным организациям;

-Комиссия по делам несовершеннолетних;

-Органы социальной защиты;

-Органы социального страхования, государственные внебюджетные фонды.

-Предприятиям, компаниям, обществам, которым переданы полномочия (согласно технических заданий муниципальных контрактов или договоров) на хранение и обработку данных.

1. 2. Оператор поручает обработку ПДн другим лицам на основании договора.

9. Меры по обеспечению безопасности ПДнпри их обработке

1. 1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

-Назначением ответственных за организацию обработки ПДн;

-Осуществлением внутреннего контроля и аудита соответствия обработки ПДн

-Федеральному закону от 27.07.2006№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;

-Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и обучением указанных сотрудников;

-Определением угроз безопасности ПДн при их обработке в ИСПДн;

-Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

-Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

-Учетом машинных носителей ПДн;

-Выявлением фактов несанкционированного доступа к ПДни принятием соответствующих мер;

-Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

-Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

1. 2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в Приказе «О порядке обработки и защиты ПДн».

10. Обработка ПДн

1. 1. Общие требования при обработке ПДн.

В целях обеспечения прав и свобод человека и гражданина при обработке ПДн соблюдаются следующие требования:

1. 1. 1. Обработка ПДн допускается в следующих случаях:

-обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

-обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

-обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

-обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн за исключением целей, указанных в Федеральном законе от 27.07.2006№ 152-ФЗ «О персональных данных»;

-осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);

-осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1. 1. 2. Обработка ПДн должна осуществляться на законной и справедливой основе.
      3. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
      4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

1. 1. 5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
      6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
      7. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту

ПДн.

1. 1. 8. Порядок    рассмотрения   запросов    субъектов    ПДн    или    их                  представителей

осуществляется в соответствии с «Инструкцией по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных», утвержденной Оператором.

1. 2. Получение ПДн:
      1. Все ПДн следует получать непосредственно от субъекта ПДн. Субъект самостоятельно принимает решение о предоставление своих ПДн и дает письменное согласие на их обработку оператором.
      2. Если предоставление ПДн является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
      3. В случае недееспособности либо несовершеннолетия субъекта ПДнвсе ПДн субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении ПДн своего подопечного и дает письменное согласие на их обработку оператором.
      4. Письменное согласие не требуется, если обработка ПДн осуществляется в случаях, указанных в пункте 10.1.1 настоящей Политике.
      5. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случаях, указанных в пункте 10.2.3. настоящей Политики согласие может быть отозвано законным представителем субъекта ПДн.
      6. В случаях, когда оператор может получить необходимые ПДн субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее. В уведомлении оператор обязан указать:

-наименование и адрес оператора;

-цель обработки ПДни ее правовое основание;

-предполагаемые пользователи ПДн;

-права субъекта ПДн;

-источник получения ПДн.

1. 2. 7. Запрещается получать и обрабатывать ПДн субъекта о его политических, религиозных и иных убеждениях и частной жизни.
      8. Запрещается получать и обрабатывать ПДн субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
      9. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
   3. Хранение ПДн:
      1. Хранение ПДн субъектов осуществляется структурными подразделениями оператора в соответствии с перечнями ПДн и ИСПДн, утвержденными у Оператора.
      2. Личные дела сотрудников хранятся в бумажном виде в папках. Личные дела хранятся в специально отведенной секции сейфа (или металлических шкафах), обеспечивающего защиту от несанкционированного доступа.
      3. Подразделения, хранящие ПДн на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно постановлению Правительства

Российской Федерации от 15.09.2008 № 687«Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1. 4. Передача ПДн:
      1. При передаче ПДн субъекта оператор обязан соблюдать следующие требования:

-не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.

-предупредить лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта, обязаны соблюдать требования конфиденциальности;

-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

-передавать ПДн субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн субъекта, которые необходимы для выполнения указанными представителями их функций;

-все сведения о передаче ПДн субъекта регистрируются в Журнале учета передачи ПДн в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи ПДн или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

1. 4. 2. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
      3. Доступ работников к ПДн разрешен в соответствии со списками, утвержденными приказом «О порядке обработки и защиты ПДн»
      4. Все сотрудники, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн.
      5. Передача ПДн осуществляется в организации, указанные в пункте 8 настоящей Политики.
   5. Уничтожение ПДн:
      1. ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
      2. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

11. Права и обязанности субъектов ПДн и оператора

1. 1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

-подтверждение факта обработки ПДн оператором;

-правовые основания и цели обработки ПДн;

-цели и применяемые оператором способы обработки ПДн;

-наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

-обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-сроки обработки ПДн, в том числе сроки их хранения;

-порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006№ 152-ФЗ «О персональных данных»;

-информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

-иные     сведения,    предусмотренные    действующим                         законодательством                       Российской Федерации.

1. 2. В целях обеспечения защиты ПДн субъекты имеют право:

-требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-требовать предоставления сведений, указанных в пункте 11.1, от оператора в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн;

-требовать предоставления сведений, указанных в пункте 11.1, от оператора при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации;

-требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением законодательства;

-при отказе оператора или уполномоченного им лица исключить или исправить ПДн субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

-дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;

-требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;

-обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите ПДн субъекта.

1. 3. Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.

12. Ответственность за нарушение норм, регулирующих обработку и защиту

ПДн

1. 1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.
   2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Настоящая политика заменяет ее предыдущую версию и действует бессрочно и до замены ее новой версией.