Принято Утверждено
Заседание педагогического совета Приказ № ___________
Протокол №_____ от____________201__г.от «_____» ___________201__г.
|
|
|
|
ПОЛОЖЕНИЕ
по обработке и защите персональных данных в
МБОУ средней общеобразовательной школы №5 г. Пушкино
Пушкинского муниципального района
1.1. Настоящее Положение по обработке и защите персональных
данных (далее — Положение) МБОУ средняя общеобразовательная школа №5 г.
Пушкино (далее - Школа) разработано в соответствии с Конституцией Российской
Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152,
постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об
утверждении Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных», Трудовым кодексом
Российской Федерации, иными нормативными правовыми актами, действующими на
территории Российской Федерации.
1.2. Цель разработки Положения - определение
порядка обработки персональных данных (далее - ПДн) в школе; обеспечение защиты
прав и свобод субъектов Пдн при обработке их данных, а также установление
ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение
требований норм, регулирующих обработку и защиту Пдн.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента
его утверждения директором Школы и действует бессрочно, до замены его новым
Положением.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники Школы должны быть ознакомлены с
настоящим Положением под роспись.
1.5. Режим конфиденциальности Пдн в отношении персональных
данных работников организации снимается в случаях их обезличивания и по
истечении 75 лет срока их хранения, или продлевается на основании заключения
экспертной комиссии Школы, если иное не определено законом.
1.6. Контроль за соблюдением настоящего Положения
осуществляет ответственным за защиту ИСПДн (назначается приказом по Школе).
II. Основные понятия и состав персональных данных
Для целей настоящего Положения используются следующие
основные понятия и определения:
«персональные данные»‑ любая информация, относящаяся к определенному
или определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата
и место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация;
«оператор»‑
государственный орган, муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных;
«субъект»‑
субъект ПДн;
«обработка персональных данных»‑ действия (операции) с ПДн, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных;
«распространение персональных данных»‑ действия, направленные на передачу ПДн
определенному кругу лиц (передача ПДн) или на ознакомление с ПДн
неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой
информации, размещение в информационно-телекоммуникационных сетях или
предоставление доступа к ПДн каким-либо иным способом;
«использование персональных данных»‑ действия (операции) с ПДн, совершаемые
оператором в целях принятия решений или совершения иных действий, порождающих
юридические последствия в отношении субъекта Пдн или других лиц либо иным
образом затрагивающих права и свободы субъекта ПДн или других лиц;
«блокирование персональных данных»‑ временное прекращение сбора, систематизации,
накопления, использования, распространения ПДн, в том числе их передачи;
«уничтожение персональных данных»‑ действия, в результате которых невозможно
восстановить содержание ПДн в информационной системе персональных данных или в
результате которых уничтожаются материальные носители персональных данных;
«обезличивание персональных данных»‑ действия, в результате которых невозможно
определить принадлежность ПДн конкретному субъекту ПДн;
«информационная система персональных данных» (далее -
ИСПДн)‑ информационная система,
представляющая собой совокупность ПДн, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих осуществлять
обработку таких ПДн с использованием средств автоматизации или без использования
таких средств;
«конфиденциальность персональных данных»‑ обязательное для соблюдения оператором или
иным получившим доступ к ПДн лицом требование не допускать их распространения
без согласия субъекта ПДн или наличия иного законного основания;
«общедоступные
персональные данные»‑ПДн,
доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн
или на которые в соответствии с федеральными законами не распространяется
требование соблюдения конфиденциальности;
«информация»
‑ сведения (сообщения, данные) независимо от формы их представления.
«доступ к информации»‑ возможность получения информации и ее
использования:
«документированная информация» ‑ зафиксированная на материальном носителе
путем документирования информация с реквизитами, позволяющими определить такую
информацию или ее материальный носитель.
III. Цели и задачи
обработки персональных данных
3.1. В соответствии с разделом 2 настоящего
Положения оператором, организующим и осуществляющим обработку ПДн, является
Школа.
3.2. К ПДн персональным данным относятся:
3.2.1 Сведения, содержащиеся в основном документе,
удостоверяющем личность субъекта.
3.2.2. Сведения о месте жительства субъекта.
3.2.3. Информация, содержащаяся в трудовой книжке
работника.
3.2.4. Сведения об образовании, квалификации или
наличии специальной подготовки.
3.2.5. Сведения о заработной плате работников.
3.2.6. Иные сведения:сведения об учебном процессе и
занятости обучающихся (перечень изучаемых предметов, факультативных и элективных курсов; успеваемость,
в том числе результаты текущего контроля успеваемости, промежуточной и итоговой
аттестации; данные о посещении уроков, причины отсутствия на уроках; поведение
в школе; награды и поощрения;, расписание уроков и школьных звонков; содержание
уроков, факультативных занятий, домашних заданий, ФИО педагогов, ведущих
обучение) 3.3. Обработка ПДн осуществляется с целью содействия субъектам
ПДн в осуществлении трудовой деятельности, подготовки и проведении
государственной итоговой аттестации обучающихся.
3.4. Обработка ПДн осуществляется:
- без использования средств автоматизации (в части фамилия,
имя, отчество, дата рождения,паспортные данные, адрес, телефон, сведения о
профессиональной служебной деятельности сотрудников);
- с использованием средств автоматизации (в части фамилия,
имя, отчество, дата рождения, паспортные данные);
3.5. Обработка персональных данных в ИСПДн «МБОУ
СОШ №5 г. Пушкино» осуществляется для решения следующих задач:
- кадровый учет;
- заполнение базы данных ЕГЭ и ГИА;
- осуществление индивидуального учета результатов
освоения обучающимися образовательных программ, хранение в архивах данных об
этих результатах
3.6. При принятии решений, затрагивающего
интересы субъекта ПДн, нельзя основываться на ПДн, полученных исключительно в
результате их автоматизированной обработки или электронного получения.
IV. Субъекты персональных данных
4.1. В соответствии с разделом 2 настоящего Положения
к субъектам персональных данных относятся следующие категории физических лиц:
- работники Школы;
- кандидаты для приема на работу;
- обучающиеся школы
4.2. Все ПДн субъекта оператору следует получать у
него самого. Если ПДн возможно получить только у третьей стороны, то субъект
ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное
согласие. Должностное лицо Школы должно сообщить субъекту ПДн о целях,
предполагаемых источниках и способах получения ПДн, а также о характере
подлежащих получению ПДн и последствиях отказа дать письменное согласие на их
получение.
4.3. Школа не имеет права получать и обрабатывать
данные субъекта ПДн о его расовой, национальной принадлежности, политических
взглядах, религиозных или философских убеждениях, состоянии здоровья, частной
жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в
соответствии со ст. 24 Конституции Российской Федерации работодатель вправе
получать и обрабатывать данные о частной жизни работника только с его
письменного согласия.
4.4. Субъект ПДн самостоятельно принимает решение о
предоставлении своихПДн и дает согласие на их обработку.
Обработка указанных данных возможна только с их
согласия, либо без их согласия в соответствии со ст. 6 Федеральным законом «О
персональных данных.
4.5. Согласие на обработку ПДн оформляется в
письменном виде.
Письменное согласие на обработку своих персональных
данных должно включать в себя:
·
фамилию, имя,
отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и выдавшем его органе;
·
наименование
(фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн;
·
цель обработки
ПДн;
·
перечень ПДн, на
обработку которых дается согласие субъекта персональных данных;
·
перечень действий
с ПДн , на совершение которых дается согласие, общее описание используемых
оператором способов обработки ПДн;
·
срок, в течение
которого действует согласие, а также порядок его отзыва.
4.6. Согласие на обработку ПДн может быть
отозвано субъектом ПДн по письменному запросу на имя директора школы
4.7. Субъекты
ПДн не должны отказываться от своих прав на сохранение и защиту тайны
4.8. Субъект
ПДн имеет право на получение следующей информации:
·
сведения о лицах,
которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
·
перечень
обрабатываемых ПДн и источник их получения;
·
сроки обработки
ПДн, в том числе сроки их хранения;
·
сведения о том,
какие юридические последствия для субъекта ПДн может повлечь за собой обработка
его ПДн.
4.9. Субъект ПДн вправе требовать от оператора
уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн
являются неполными, устаревшими, недостоверными, незаконно полученными или не
являются необходимыми для заявленной цели обработки.
4.10. Сведения о ПДн должны быть предоставлены
субъекту ПДн оператором в доступной форме, и в них не должны содержаться
персональные данные, относящиеся к другим субъектам ПДн.
4.11. Доступ ксвоимПДн предоставляется субъекту
ПДн или его законному представителю оператором при получении письменного
запроса субъекта ПДн или его законного представителя. Письменный запрос должен
быть адресован на имя директора Школы или уполномоченного руководителем лицо.
4.12. Субъект в праве обжаловать в уполномоченный
орган по защите прав субъектов персональных данных (Управление Федеральной службы
по надзору в сфере связи и массовых коммуникаций по Москве и Московской
области) или в судебном порядке неправомерные действия или бездействия
Оператора при обработке и защите его ПДн.
V. Состав персональных данных, обрабатываемых с
использованием автоматизированной системы
5.1. Состав ПДн, обрабатываемых с использованием
автоматизированной системы Школы, определяется настоящим Положением и
соответствует целям и задачам сбора, обработки и использования ПДн в
соответствии с разделом 3 настоящего Положения.
5.2. Перечни ПДн и ИСПДН утверждаются директором
Школы.
VI. Порядок сбора, хранения и использования персональных
данных
6.1. Субъекты ПДн при получении от них согласия
на обработку ПДн в ИСПДн должны быть ознакомлены с перечнем собираемых и используемых
сведений, с целями и задачами сбора, хранения и использования ПДн.
6.2. ПДн могут быть получены, проходить
дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так
и в электронном виде.
6.3. Порядок хранения анкет и иных документов,
содержащих информацию ПДн, а также согласий на обработку персональных данных
определяются в соответствии с постановлением Правительства Российской Федерации
от 15.09.2008 № 687 "Об утверждении Положения об обеспечении безопасности
персональных данных, осуществляемой без использования средств автоматизации».
6.4. Ввод персональных данных в ИСПДн
осуществляется работником, имеющим доступ к работе с ПДн, и в соответствии с
его должностными обязанностями. На бумажном носителе информации, содержащей ПДн
(анкеты, личные листки и др.) работник, осуществляющий ввод данных, оставляет
отметку о дате ввода информации и о лице, осуществившем ее ввод.
6.5. Сотрудники, осуществляющие ввод и обработку
данных с использованием средств автоматизации, несут ответственность за
достоверность и полноту введенной информации.
6.6. При работе со средствами ИСПДн, реализующими
функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм,
содержащих такие данные, лицам, не имеющим соответствующих должностных
обязанностей.
6.7. ПДн субъектов хранятся не дольше, чем этого
требуют цели их обработки, и они подлежат уничтожению по истечению
установленных сроков хранения информации, по достижении целей обработки или в
случае утраты необходимости в их достижении.
6.8. Документы, содержащие ПДн, подлежат хранению
и уничтожению в порядке, предусмотренном архивным законодательством Российской
Федерации.
6.9. Хранение резервных и технологических копий
баз данных ИСПДн, содержащих информацию персонального характера, осуществляется
на бумажных носителях, доступ к которым ограничен.
6.10. Вынос резервных и технологических копий баз
данных ИСПДн, содержащих информацию персонального характера, из Школы запрещен.
Передача и копирование их допустима только для прямого использования с целью
технологической поддержки ИСПДн.
6.11. Копировать и делать выписки ПДн работника
разрешается исключительно в служебных целях с письменного разрешения
руководителя или уполномоченного им лица.
VII. Особенности предоставления доступа к персональным
данным
7.1. Доступ сотрудников к ПДн, содержащимся как в
ИСПДн, так и на бумажных носителях осуществляется с письменного согласия
директора Школы или уполномоченного им лица (допуск).
7.2. Сотрудник, получивший допуск к ПДн, должен
быть ознакомлен с настоящим Положением.
7.3. При получении доступа к ПДн сотрудники
подписывают Обязательство о неразглашении персональных данных.
7.4. Доступ к ИСПДн разграничен политикой
безопасности системы, реализуемой с использованием технических и
организационных мероприятий.
7.5. Каждый пользователь имеет индивидуальную
учетную запись, которая определяет его права и полномочия в ИСПДн. Информация
об учетной записи не может быть передана другим лицам. Пользователь несет
персональную ответственность за конфиденциальность сведений собственной учетной
записи.
Запрещается
использование для доступа к ИСПДн учетных записей других пользователей.
7.6. Созданием, удалением и изменением учетных
записей пользователей ИСПДн занимаются уполномоченные администраторы в
соответствии с должностными обязанностями.
7.7. Право доступа к персональным данным
субъектов персональных данных в части их касающейся имеют: администрация школы,
секретарь директора.
VIII. Порядок передачи информации, содержащей персональные
данные
8.1. В соответствии с законодательством
Российской Федерации ПДн Школы могут быть переданы правоохранительным, судебным
органам и другим учреждениям в целях защиты основ конституционного строя,
нравственности, здоровья, прав и законных интересов других лиц, обеспечения
обороны страны и безопасности государства, а также в случаях, установленных
федеральным законом.
8.2. Передача информации третьей стороне возможна
только при письменном согласии работников.
IX. Ответственность за нарушение норм, регулирующих
обработку и защиту персональных данных
9.1. Нарушение требований настоящего Положения
может повлечь гражданскую, уголовную, административную, дисциплинарную и иную
ответственность, предусмотренную законодательством Российской Федерации.
9.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.