- Общие положения
1.1. Целью данного Положения является обеспечение порядка обработки (получения, использования, передачи, хранения) и защита персональных данных физических лиц от несанкционированного доступа, неправомерного их использования или утраты для осуществления обучения и воспитания в интересах личности, общества, государства, обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности и информационного обеспечения управления образовательным процессом
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ «О защите персональных данных» и главой 14 «Защита персональных данных» Трудового кодекса Российской Федерации.
1.3. Персональные данные физических лиц относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных физических лиц снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение является обязательным для исполнения всеми работниками МОАУ СОШ №6 (далее Оператор), имеющими доступ к персональным данным физических лиц.
- Основные понятия
2.1. Под персональными данными конкретного работника понимается информация, необходимая оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) в связи с трудовыми отношениями, возникающими между работником и образовательным учреждением.
2.2. Под персональными данными обучающегося понимается информация, касающаяся конкретного обучающегося, которая необходима оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) в связи с отношениями, возникающими между родителями (законными представителями) обучающегося и образовательным учреждением (руководителем образовательного учреждения).
2.3. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
2.4. Персональные данные физических лиц (далее — персональные данные)– любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2.5. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
2.6. Конфиденциальность персональных данных – обязательное для соблюдения требование не допускать распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
- Состав персональных данных
3.1. К персональным данным, получаемым Оператором и подлежащим хранению у Оператора в порядке, предусмотренном действующим законодательством относятся следующие сведения:
3.1.1. О работниках:
— паспортные данные;
— копия страхового свидетельства государственного пенсионного страхования;
— копия ИНН;
— документы воинского учета;
— пенсионные данные;
— копия документа об образовании, квалификации или наличии специальных знаний;
— анкетные данные, заполненные работником при поступлении на работу или в процессе работы;
— медицинское заключение об отсутствии противопоказаний для занятия конкретным видом деятельности;
— приговор суда о запрете заниматься педагогической деятельностью или занимать руководящие должности;
— трудовой договор;
— документы о прохождении работником аттестации, повышения квалификации;
— личные дела и трудовые книжки сотрудников;
— личные карточки по форме Т-2;
— документы о наградах и почетных званиях;
— медицинские данные;
— семейное и социальное положение;
— документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренные действующим законодательством;
— документы о возрасте малолетних детей;
— документы о месте обучения детей.
3.1.2. Об обучающихся и их родителях (законных представителях):
— документ, удостоверяющий личность обучающегося (свидетельство о рождении);
— анкетные данные, заполненные родителями (законными представителями) при зачислении в школу;
— данные о зачислении, движении, выбытии;
— домашний адрес и телефон;
— копия страхового свидетельства государственного пенсионного страхования;
— медицинское заключение об отсутствии противопоказаний для обучения в образовательном учреждении конкретного вида и типа;
— полис медицинского страхования.
— медицинские данные;
— семейное и социальное положение
— документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.).
- Обработка персональных данных
4.1. Обработка персональных данных должна осуществляться на основе принципов законности целей и способов обработки персональных данных и добросовестности; соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных; соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
4.2. Обработка персональных данных может осуществляться Оператором с согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и статьей 86 главы 14 «Защита персональных данных» Трудового кодекса Российской Федерации.
4.3. Все персональные данные работника можно получать только у него самого, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то Оператор обязан уведомить об этом субъекта персональных данных и получить его письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.4. Все персональные данные несовершеннолетнего обучающегося до выпуска из образовательной организации можно получать только у его родителей (законных представителей). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) обучающегося должны быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.5. Все персональные данные несовершеннолетнего обучающегося после получения им основного общего образования или совершеннолетнего обучающегося можно получать только у него самого. Если персональные данные такого обучающегося возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Такой обучающийся должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.6. Оператор не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни, о членстве в общественных объединениях или о профсоюзной деятельности, состояния здоровья без письменного согласия субъекта персональных данных.
4.7. Использование персональных данных возможно только в целях осуществления обучения и воспитания в интересах личности, общества, государства, обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности и информационного обеспечения управления образовательным процессом.
4.8. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
4.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.10. В случае выявления неправомерных действий с персональными данными Оператор обязан в течение трех рабочих дней с даты такого выявления устранить допущенные нарушения. При невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.
4.11. В случаях достижения цели обработки персональных данных, отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней.
4.12. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
4.13. Безопасность персональных данных при их обработке обеспечивает Оператор.
4.14. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
- Формирование и ведение дел, касающихся персональных данных
5.1. Персональные данные работника размещаются в личной карточке работника формы Т-2, которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных несгораемых шкафах.
5.2. Персональные данные обучающегося размещаются в его личном деле, которое заполняется после издания приказа о зачислении в школу. Личные дела обучающихся формируются в папках классов, которые хранятся в специально оборудованных несгораемых шкафах.
5.3. Право доступа к личным данным работников и обучающихся имеют только Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) и лица, уполномоченные действующим законодательством.
6.Доступ к информационной системе. Хранение персональных данных.
6.1. Персональные данные работников и обучающихся хранятся на электронных носителях на сервере образовательного учреждения, а также на бумажных и электронных носителях у оператора (руководителя образовательного учреждения и (или) уполномоченного им лица).
6.2 Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе приказом директора назначаются работники, ответственные за обеспечение безопасности персональных данных.
6.3 Право доступа имеют:
- к персональным данным обучающихся:
— директор МОАУ СОШ №6;
— главный бухгалтер;
— бухгалтер;
— заместитель директора по учебно-воспитательной работе;
— заместитель директора по воспитательной работе;
— оператор информационных систем по ведению баз данных;
— классные руководители;
— учитель ОБЖ;
— педагог-психолог;
— социальный педагог;
— медицинский работник школы;
— родители (законные представители) обучающихся;
- к персональным данным сотрудников:
— директор МОАУ СОШ №6;
— заместитель директора по учебно-воспитательной работе;
— заместитель директора по воспитательной работе;
— заместитель директора по АХР;
— главный бухгалтер;
— бухгалтер;
— делопроизводитель;
— оператор информационных систем по ведению баз данных;
— сам работник, носитель данных.
6.8. Персональные данные хранятся на бумажных и электронных носителях, в специально предназначенном для этого помещениях, определенных приказом по школе.
6.9. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) при обработке персональных данных должен руководствоваться настоящим Положением, должностной инструкцией ответственного за безопасность персональных данных и обязан использовать персональные данные работников и обучающихся лишь в целях, для которых они были предоставлены.
- Передача персональных данных
7.1. Персональные данные работника (обучающегося) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося (родителей (законных представителей) несовершеннолетнего обучающегося до получения им основного общего образования), за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом.
7.2. Передача персональных данных работника (обучающегося) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
7.3. По письменному запросу, на основании приказа руководителя образовательного учреждения, к персональным данным работников и обучающихся могут быть допущены иные лица, не указанные в п. 6.3, в пределах своей компетенции.
7.4. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.5. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
7.6. К числу потребителей персональных данных вне МОАУ СОШ №6 можно отнести:
— вышестоящие органы образования;
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— учреждения здравоохранения;
— подразделения органов местного самоуправления.
Надзорно-контрольные органы имеют доступ к информации только в пределах своей компетенции.
7.7. Запросы на получение персональных данных, включая лиц, указанных в п. 7.6., а также факты предоставления персональных данных по этим запросам регистрируются в журнале обращений. Содержание журнала обращений проверяется директором школы ежемесячно.
7.8. При обнаружении нарушений порядка предоставления персональных данных работодатель незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
- Защита персональных данных
8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
8.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
8.3. Защита персональных данных представляет собой процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации.
8.4. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором – МОАУ СОШ №6 за счет его средств в порядке, установленном федеральным законом.
8.5. Защита персональных данных на электронных носителях.
Все файлы, содержащие персональные данные сотрудника, должны быть защищены паролем.
8.6. Обеспечению защиты персональных данных способствуют следующие меры:
— порядок приема, учета и контроля деятельности посетителей;
— технические средства охраны, сигнализации;
— порядок охраны территории, зданий, помещений, транспортных средств;
-требования к защите информации при интервьюировании и собеседованиях.
8.7.Все лица, связанные с получением, обработкой и защитой персональных данных, подписывают обязательство о неразглашении персональных данных работников.
8.8. По возможности персональные данные обезличиваются.
8.9.Проводится классификация информационных систем, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации. Присвоение информационной системе соответствующего класса оформляется приказом директора.
- Права субъектов персональных данных по обеспечению защиты их персональных данных
9.1. Работники и родители (законные представители) несовершеннолетних обучающихся до выпуска из школы имеют право на полную информацию о своих персональных данных (персональных данных своих несовершеннолетних детей до выпуска из школы) и их обработке, свободный бесплатный доступ к своим персональным данным (персональным данным своих несовершеннолетних детей до получения ими основного общего образования). Работники и обучающиеся (родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования) могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.
- Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных
10.1. Для обеспечения достоверности персональных данных работники и обучающиеся (родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования) обязаны предоставлять оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) сведения о себе (своих несовершеннолетних детях до получения ими основного общего образования).
10.2. В случае изменения сведений, составляющих персональные данные, необходимые для заключения трудового договора работник обязан в течение 10 рабочих дней сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу).
10.3. В случае изменения сведений, составляющих персональные данные совершеннолетнего обучающегося, он обязан в течение месяца сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу).
10.4. В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители) несовершеннолетнего обучающегося до получения им основного общего образования) обязаны в течение месяца сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу).
10.5. Предоставление работнику (обучающемуся) гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством.
- Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
11.1. Директор школы несет ответственность за выдачу разрешения на доступ к конфиденциальной информации.
11.2. Работник школы, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
11.3. Оператор (руководитель образовательного учреждения и (или) уполномоченные им лица) вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:
- относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам);
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (обучающийся, подрядчик, исполнитель и т.п.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
11.4. Должностные лица, в обязанность которых входит ведение персональных данных физического лица, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
11.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
11.6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.
11.7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.