Раздел содержит документы школы, регламентирующие работу с персональными данными.
Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная образовательная
Политика обработки и защиты персональных данных сотрудников учреждения, а также обучающихся и (или) родителей (законных представителей МАОУ СОШ № 167 г. Екатеринбурга
- ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика в отношении обработки персональных данных (далее – Политика) МАОУ СОШ № 167 (далее - Школа) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с изменениями на 29.07.2017, постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в Школе.
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных граждан Российской Федерации, иностранных граждан (далее – граждане) и лиц без гражданства в автоматизированных информационных системах Школы (далее - АИС).
1.4. Принципы, порядок и условия обработки персональных данных кадрового состава Школы, а также персональных данных лиц, обрабатываемых в процессе исполнения договорных обязательств, или обращающихся в Школу в процессе повседневной деятельности в настоящей Политике не рассматриваются и регламентируются внутренними нормативными документами Школы.
1.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
1.6. Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.
1.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.8. Действие Политики распространяется на персональные данные субъектов, обрабатываемые образовательной организацией с применением средств автоматизации и без них.
- ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (далее – Субъекту).
2.2. Обработка персональных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
Обработка персональных данных включает в себя в том числе:
сбор, запись, систематизацию, накопление, хранение (до передачи в архив), уточнение (изменение, обновление), извлечение, использование, передачу (доступ, предоставление), обезличивание, блокирование, удаление, уничтожение.
К персональным данным МАОУ СОШ № 167 (далее – Школа) относятся:
фамилия, имя, отчество;
адрес места жительства;
паспортные данные;
данные свидетельства о рождении;
контактный телефон;
результаты успеваемости и тестирования;
номер класса;
данные о состоянии здоровья;
данные страхового свидетельства;
данные о трудовой деятельности;
биометрические данные (фотографическая карточка)
иная необходимая информация, которую Субъект добровольно сообщает о себе для получения услуг, предоставляемых Учреждением, если ее обработка не запрещена законом.
2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.4.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.7.. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных о обеспечивающих их обработку информационных технологий и технических средств.
2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.Обеспечение права граждан на образование путем реализации образовательных программ, предусмотренных уставом образовательной организации, в том числе реализация прав участников образовательных отношений.
Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения, в частности для:
- предоставления образовательных услуг;
- проведения олимпиад, консультационных семинаров;
- направления на обучение;
- направления работ сотрудников (учащихся, воспитанников) на конкурсы;
- дистанционного обучения;
- ведения электронного дневника и электронного журнала успеваемости;
- ведения сайта ОО;
- автоматизации работы библиотеки;
- проведения мониторинга деятельности школы.
МАОУ СОШ № 167 собирает данные только в объеме, необходимом для достижения выше названных целей.
3.2. Трудоустройство и выполнение функций работодателя.
3.3 Реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.
4 . ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовыми основаниями для обработки персональных данных образовательной организации являются нормативно-правовые акты, регулирующие отношения, связанные с деятельностью организации, в том числе:
- Трудовой кодекс РФ, а также нормативно-правовые акты, содержащие нормы трудового права;
- Бюджетный кодекс РФ;
- Налоговый кодекс РФ;
- Гражданский кодекс РФ;
- Семейный кодекс РФ;
- ФЗ от 29.12.2012 № 273-ФЗ «Об образовании в РФ».
4.2. Основание для обработки персональных данных также являются договоры с физическими лицами, заявления (согласия, доверенности и т.п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, согласия на обработку персональных данных.
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Образовательная организация обрабатывает персональные данные:
- работников, в том числе бывших;
- кандидатов на замещение вакантных должностей;
- родственников работников, в том числе бывших;
- обучающихся;
- родителей (законных представителей) обучающихся;
- физических лиц по гражданско-правовым договорам;
- физических лиц, указанных в заявлениях (согласиях, доверенностях и т.п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся;
- физических лиц – посетителей образовательной организации.
5.2. Биометрические персональные данные образовательная организация не обрабатывает.
5.3. Образовательная организация обрабатывает специальные категории персональных данных только в соответствии и на основании требований федеральных законов.
5.4. Образовательная организация обрабатывает персональные данные в объеме, необходимом:
- для осуществления образовательной деятельности по реализации основных и дополнительных образовательных программ, присмотра и ухода за детьми, обеспечения охраны, укрепления здоровья и создания благоприятных условий для разностороннего развития личности, в том числе обеспечения отдыха и оздоровления обучающихся;
- выполнения функций и полномочий работодателя в трудовых отношениях;
- выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета, бюджетного учета;
- исполнения сделок и договоров гражданско-правового характера, в которых образовательная организация является стороной, получателем (выгодоприобретателем).
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Образовательная организация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2. Получение персональных данных:
6.2.1.Все персональные данные образовательной организации получает от самого субъекта персональных данных. В случае, когда субъект персональных данных несовершеннолетний – от его родителей (законных представителей) либо с их согласия, если субъект персональных данных достиг возрасти 14 лет. В случае, когда субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях и т.п.) обучающийся и родителей (законных представителей) несовершеннолетних обучающихся, образовательная организация может получить персональные данные такого физического лица обучающихся, родителей (законных представителей) обучающихся.
6.2.2. Образовательная организация сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получение персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
6.2.3. Документы, содержащие персональные данные, создаются путем:
- копирование оригиналов документов;
- внесение сведений в учетные формы;
- получение оригиналов необходимых документов.
6.3.Обработка персональных данных
6.3.1. Образовательная организация обрабатывает персональные данные в случаях:
- согласия субъекта персональных данных на обработку его персональных данных;
- когда обработка персональных данных необходима для осуществления и выполнения образовательной организацией возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- когда осуществляется обработка общедоступных персональных данных, доступ к которым субъект персональных данных предоставил неограниченному кругу лиц.
6.3.2. Образовательная организация обрабатывает персональные данные:
- без использования средств автоматизации;
- с использованием средств автоматизации в программах и информационных системах: «Система автоматизации библиотек: ИРБИС 64», «1С: Хронограф Школа 2.5. ПРОФ», «АИС: Проход и Питание»; «АИС: Образование»; «РИС»; «Дневник. РУ»; «Support.progulam.net.
6.3.3. Образовательная организация обрабатывает персональные данные в сроки:
- которые необходимы для достижения целей обработки персональных данных;
- действия согласия субъекта персональных данных;
- которые определены законодательством для обработки отдельных видов персональных данных.
6.4. Хранение персональных данных:
6.4.1. Образовательная организация хранит персональные данные в течение срока, необходимого для достижения целей их обработки, документы, содержащие персональные данные, в течение срока хранения документов, предусмотренных номенклатурой дел с учетом архивных сроков хранения, сроки в школьной номенклатуре дел учитывают требования региональных и муниципальных правовых актов.
6.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
6.4.3. Персональные данные, обрабатываемые с использованием средств автоматизации, в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
6.4.4. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.
6.4.5. Хранение персональных данных осуществляется не дольше чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.5. Прекращение обработки персональных данных:
6.5.1. Лица, ответственные за обработку персональных данных, прекращают их обрабатывать:
- при достижении целей обработки персональных данных;
- истечении срока действия согласия;
- отзыве субъектом персональных данных своего согласия на обработку персональных данных, при отсутствии правовых оснований для продолжения обработки без согласия;
- выявлении неправомерности обработки персональных данных.
6.6. Передача персональных данных:
6.6.1. Образовательная организация обеспечивает конфиденциальность персональных данных.
6.6.2. Образовательная организация передает имеющиеся персональные данные третьим лицам в следующих случаях:
- субъект персональных данных дал свое согласие на такие действия;
- передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в рамках установленной процедуры.
6.6.3 Образовательная организация не осуществляет трансграничной передачи персональных данных.
6.7. Уничтожение персональных данных:
6.7.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.
6.7.2. Выделяет документы (носители) с персональными данными к уничтожение комиссия, состав которой утверждается приказом руководителя образовательной организации.
6.7.3.Документы (носители), содержание персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается документальным актом об уничтожении документов (носителей), подписанным членами комиссии.
6.7.4. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер.
6.7.5. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Образовательная организация принимает нормативные, организационные и технические меры защиты персональных данных.7.2. Нормативные меры защиты персональных данных – комплекс локальных и распорядительных актов, обеспечивающих создание, функционирование, совершенствование механизмов обработки персональных данных.
7.3. Организационные меры защиты персональных данных предполагают создание в образовательной организации разрешительной системы, защиты информации во время работы с персональными данными работниками, партнерами и сторонними лицами.
7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
7.5. Основными мерами защиты персональных данных в образовательной организации являются:
7.5.1. Назначение ответственного за организацию обработки персональных данных. Ответственный осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением образовательной организацией и ее работниками требований к защите персональных данных.
7.5.2. Издание локальных актов по вопросам обработки Образовательная организация. А также локальных актов, определяющих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
7.5.3. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных.
7.5.4. Определение актуальных угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработка мер и мероприятий по защите персональных данных.
7.5.5. Установление правил доступа к персональным данным, обрабатываемых с помощью средств автоматизации, а также регистрация и учет действий, совершаемых с персональными данными в информационных системах, и контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной сети.
7.5.6. Учет электронных носителей персональных данных.
7.5.7. Принятие мер по факту обнаружения несанкционированного доступа к персональным данным, обрабатываемым с использование средств автоматизации, в том числе восстановление персональных данных, которые модифицированы или уничтожены вследствие несанкционированного доступа к ним.
7.5.8. Оценка вреда, который может быть причинен субъектам в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.
7.5.9. Внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства, настоящей Политики, принятых локальных актов.
7.5.10. Публикация настоящей Политики на официальном сайте образовательной организации.
8. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ КАК ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Образовательная организация:
8.1.1. Предоставляет субъекту персональных данных информацию о его персональных данных на основании запроса либо отказывает в выполнении повторного запроса субъекта персональных данных при наличии правовых оснований. Запрос в образовательную организацию на обработку подает субъект персональных данных (работник, родитель (законный представитель).
8.1.2. Разъясняет субъекту персональных данных или его законному представителю юридические последствия отказа предоставлять его персональные данные
8.1.3. Блокирует или удаляет неправомерно обрабатываемые, неточные персональные данные либо обеспечивает блокирование или удаление таких данных. В случае подтверждения факта неточности персональных данных образовательная организация на основании сведений, предоставленных субъектом персональных данных или его законным представителем, уточняет персональные данные либо обеспечивает их уточнение и снимает блокирование персональных данных.
8.1.4. Прекращает обработку и уничтожает персональные данные
Либо обеспечивает прекращение обработки и уничтожение персональных данных при достижении цели обработки персональных данных.
8.1.5. Прекращает обработку персональных данных или обеспечивает прекращение обработки в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное на предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между образовательной организацией и субъектом персональных данных либо если образовательная организация не вправе осуществлять обработки персональных данных без согласия субъекта персональных данных на основании, предусмотренных законодательством Российской Федерации.
8.2.Субъект персональных данных вправе:
8.2.1. Потребовать уточнения его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконного полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2.2. Получать информацию, качающуюся обработки его персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.
8.2.3. Обжаловать действия или бездействие образовательной организации в уполномоченном органе по защите прав субъектов персональных данных
Или в судебном порядке.
8.2.4. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Школа ответственна за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.
Каждый сотрудник школы, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.
Учреждение обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную с помощью телефонной, телеграфной или почтовой связи.
Любое лицо может обратиться к сотруднику школы с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.
Сотрудники школы обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящая Политика является внутренним документом Школы, является общедоступной и подлежит размещению на официальном сайте Школы.
10.2.Настоящая Политика может быть изменена в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных или пере утверждена при отсутствии изменений, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения приказом директора Школы.
Действующая редакция находится на странице сайта Школы по адресу:
10.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
10.4. Ответственность должностных лиц Школы, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Школы.