ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МУНИЦИПАЛЬНОМ ОБЩЕОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ «ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА ДЛЯ ОБУЧАЮЩИХСЯ С ОГРАНИЧЕННЫМИ ВОЗМОЖНОСТЯМИ ЗДОРОВЬЯ № 2»
1. Общие положения
1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Муниципальном общеобразовательном учреждении «Общеобразовательная школа для обучающихся с ограниченными возможностями здоровья № 2» (далее - Учреждение) с целью обеспечения защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В настоящей Политике используются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - муниципальное Учреждение, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
субъекты персональных данных – работники Учреждения, члены семей работников Учреждения, обучающиеся, родители (законные представители) обучающихся;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Учреждении с использованием средств автоматизации, а также без использования таких средств.
2. Порядок обработки персональных данных
2.1. Учреждение в соответствии со статьей 18.1 Закона № 152-ФЗ является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, действия (операции), совершаемые с персональными данными.
2.2. Учреждение обрабатывает персональные данные следующих категорий субъектов персональных данных:
работники Учреждения;
члены семей работников Учреждения;
обучающиеся;
родители (законные представители) обучающихся.
2.3. Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:
законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен действующим законодательством;
уничтожение персональных данных осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
2.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом № 152-ФЗ.
2.5. Сроки обработки персональных данных устанавливаются в зависимости от категорий субъектов персональных данных и с учетом положений действующего законодательства Российской Федерации.
2.6. Субъекты персональных данных обладают правами, предусмотренными Законом № 152-ФЗ.
2.7. Права и обязанности Учреждения.
2.7.1. Учреждение вправе:
предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;
продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Законом № 152-ФЗ
мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.
2.7.2. Учреждение при обработке персональных данных обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
2.8. В целях информационного обеспечения Учреждением могут создаваться общедоступные источники персональных данных. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год рождения, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
2.9. Трансграничную передачу персональных данных Учреждение не осуществляет.
2.10. Обработку биометрических персональных данных Учреждение не осуществляет.
3. Меры по обеспечению безопасности персональных данных
3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, измельчения, блокирования, копирования, распространения, предоставления, а также иных неправомерных действий в отношении их.
3.2. Персональные данные субъектов персональных данных в Учреждении обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях.
3.3. Приказом директора Учреждения назначается лицо, ответственное за организацию обработки персональных данных в Учреждении.
3.4. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статей 19 Закона № 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных», а также иными нормативными правовыми актами.
К организационным и техническим мерам защиты персональных данных относятся в том числе:
назначение лица, ответственного за организацию обработки персональных данных;
издание локальных актов по вопросам обработки персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и локальных актов;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
разграничение доступа работников к персональным данным;
запирание помещений, в которых осуществляется обработка персональных данных;
применение сертифицированных средств защиты информации, в том числе антивирусных средств;
резервное копирование баз данных для обеспечения их восстановления в случае модификации или уничтожения;
применение парольной защиты от несанкционированного доступа к персональным данным при осуществлении автоматизированной обработки.
3.5. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:
утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.
4. Заключительные положения
4.1. Иные права и обязанности Учреждения, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
4.2. Должностные лица Учреждения, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном действующим законодательством.