ПОЛИТИКА
в области обработки и защиты персональных данных
Муниципального бюджетного общеобразовательном учреждении «Средняя общеобразовательная школа №16» города Кирова
1. Общие положения
Настоящий документ определяет Политику защиты прав субъектов персональных данных при обработке их персональных данных в муниципальном бюджетном общеобразовательном учреждении «Средняя общеобразовательная школа №16» города Кирова (далее – Оператор).
разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
2. Основные понятия
В целях настоящей Политики используются следующие основные понятия:
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.5. Сбор персональных данных – действия, направленные на фактическое получение Оператором персональных данных от субъекта;
2.6. Систематизация персональных данных – действия, направленные на упорядочение имеющихся персональных данных, приведение их в согласованную систему, позволяющую провести максимально полный учет;
2.7. Накопление персональных данных – действия, обеспечивающие внесение данных в базу, содержащую персональные данные, посредством материальных носителей или с использованием средств автоматизации;
2.8. Хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
2.9. Уточнение персональных данных – действия по внесению изменений в персональные данные или обновлению их содержания в порядке, установленном федеральным законодательством;
2.10. Извлечение персональных данных – действия, направленные на перенос персональных данных из памяти средств автоматизации на материальные носители;
2.11. Использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности Оператора;
2.12. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.13. Доступ к персональным данным – возможность ознакомления с персональными данными, включая визуальное ознакомление и (или) копирование персональных данных.
2.14. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.15. Удаление персональных данных – совокупность действий, направленных на исключение персональных данных из информационной системы или базы персональных данных;
2.16. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.17. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.19. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.20. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).
2.21. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
3. Информация об Операторе
Реквизиты Оператора:
Наименование: муниципальное бюджетное общеобразовательное учреждение «Средняя общеобразовательная школа № 16» города Кирова ИНН: 4348028796; ОГРН: 1034316550620.
Адрес места нахождения: 610002, г.Киров, ул.Воровского, д.16-а.
тел./факс: (8332) 37-07-19;
эл.почта: sch16@kirovedu.ru
4. Правовые основания обработки персональных данных
Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации и Кировской области:
Семейный кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Федеральный закон от 29.12.2012 № 273 «Об образовании в Российской Федерации»;
Федеральный закон от 24.07.1998 № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации»;
Федеральный закон от 26.07.2006 №152-ФЗ «О персональных данных»;
Федеральный закон «Об организации предоставления государственных и муниципальных услуг» от 27.07.2010 № 210-ФЗ;
законодательство об охране здоровья в РФ;
законодательство о социальной защите и обеспечении в Российской Федерации;
законодательство Российской Федерации о труде, налогообложении, обязательном медицинском и пенсионном страховании, гражданское законодательство;
законодательство о безопасности и противодействии терроризму в Российской Федерации;
устав образовательной организации;
договор об образовании по образовательным программам дополнительного образования;
трудовой договор с работником;
гражданско-правовой договор с физическим лицом;
согласие субъекта на обработку персональных данных.
5. Цели обработки персональных данных
Обработка персональных данных осуществляется Оператором в следующих целях:
осуществления образовательной деятельности;
обеспечение трудовой деятельности, включая трудоустройство на работу, исполнение трудового договора и обеспечение прав уволенных работников;
обеспечение деятельности по договорам гражданско-правового характера;
обеспечение социальной защиты и защиты прав ребенка;
осуществления деятельности, необходимой для служебного взаимодействия с рассматриваемыми в настоящей политике субъектами персональных данных.
создание безопасных условий жизнедеятельности участников общеобразовательных отношений;
организация учебно-воспитательной деятельности в соответствии с уставов образовательной организации.
6. Основные принципы обработки, передачи и хранения iперсональных данных
Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:
законности и справедливости целей и способов обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные; хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
уничтожения либо обезличивания по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.1. Порядок сбора, хранения, передачи и других видов обработки персональных данных.
Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление.
Вся информация, которая собираемая Оператором хранится и обрабатывается в соответствии с законодательством РФ, настоящей Политикой, Положением по работе с персональными данными в муниципальном бюджетном общеобразовательном учреждении «Средняя общеобразовательная школа №16» города Кирова. 10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
7. Субъекты персональных данных
Под субъектами персональных данных в настоящей Политике понимаются следующие лица:
учащиеся и родители (законные представители) учащихся, родственники учащихся;
дети и родители (законные представители) детей, поступающих в образовательную организацию;
лица, ранее обучавшиеся в образовательной организации;
работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
представители контрагентов оператора (юридических лиц);
посетители оператора.
8. Обрабатываемые категории персональных данных
Оператор осуществляет обработку следующих категорий персональных данных:
персональные данные общей категории;
персональные данные специальной категории.
9. Перечень действий с персональными данными, общее описание способов обработки персональных данных используемых Оператором
Обработка персональных данных осуществляется Оператором смешанным путем: на бумажном носителе и в информационных системах.
Оператор в соответствии с поставленными целями осуществляет обработку персональных данных, включающую следующие основные организационные, технические, документационные действия: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Оператор не осуществляет трансграничную передачу персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Хранение персональных данных, обрабатываемых с помощью вычислительных средств, осуществляется на территории Оператора, а также в информационных ресурсах Министерства образования Кировской области.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.
10. Права и обязанности субъекта персональных данных
10.1. Субъект персональных данных имеет право:
На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором, а также цели, способы и сроки такой обработки;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения.
Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено только в случаях, предусмотренных законом.
Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных законодательством.
Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях и дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любые неправомерные действия или бездействие учреждения при обработке и защите его персональных данных.
На отзыв согласия на обработку персональных данных;
10.2. Субъект персональных данных обязан:
Передавать Оператору или его законному представителю достоверные персональные данные.
Своевременно в срок, не превышающий 10 рабочих дней, сообщать Оператору об изменении своих персональных данных.
Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
11. Права и обязанности Оператора
11.1. Оператор вправе:
предоставлять персональные данные третьим лицам без согласия субъекта персональных данных, если это предусмотрено действующим законодательством Российской Федерации;
отказывать в предоставлении персональных данных в случаях предусмотренных законодательством Российской Федерации;
использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством Российской Федерации.
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
11.2. Обязанности Оператора:
принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных статьями 18.1, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
обеспечивать конфиденциальность персональных данных, ставших известными Оператору в ходе осуществления им своей деятельности;
при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законодательством;
сообщать в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
исполнять иные обязанности, предусмотренные Законом о персональных данных.
12. Меры по обеспечению безопасности персональных данных при их обработке
Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности:
назначением ответственного за организацию обработки персональных данных;
назначением ответственных за обеспечение безопасности персональных данных;
назначением ответственного за выполнение работ по технической и криптографической защите персональных данных;
изданием Оператором документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
осуществлением внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами Оператора;
оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношением указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей по защите обработки персональных данных;
ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
13. Ответственность за нарушение норм по обработке персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Лица, виновные в нарушении требований законодательства в области обработки персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и (или) иную ответственность, предусмотренную законодательством Российской Федерации.
