Положение об обработке персональных данных

Кировское областное государственное общеобразовательное бюджетное учреждение

 «Основная школа с.Юма Свечинского района» 

РАССМОТРЕНО:        УТВЕРЖДЕНО:

На заседании Педагогического совета школы 

Протокол № 4 от 16.01.2023 г.        Директор КОГОБУ ОШ с.Юма ___________Л.Г. Голохвастова

Приказ  № 2 о-д  от 16.01.2023 г.

ПРИНЯТО:

Советом школы

Протокол № 1 от 16.01.2023 г.         

Положение об обработке персональных данных 

1.    Общие положения

1. Настоящее Положение об обработке персональных данных (далее - Положение) разработано в соответствии с: 

•    Конституция Российской Федерации

•    Гражданский кодекс Российской Федерации

•    Трудовой кодекс Российской Федерации

•    Федеральный закон №152-ФЗ «О персональных данных»

•    Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»

•    Федеральный закон №273-ФЗ «Об образовании»

•    Указ Президента Российской Федерации № 188 «Об утверждении Перечня сведений конфиденциального характера»

•    Приказ Федеральной службы по техническому и экспортному контролю №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

•    Приказ Федеральной службы по техническому и экспортному контролю №17 «Требования о защите информации, не содержащей государственную тайну, содержащейся в государственных системах»

•    Постановление Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

•    Постановление Правительства Российской Федерации №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

•    Приказ Федеральной службы безопасности №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации»

 2.Настоящее Положение утверждено с учетом мнения Совета школы (и  Педагогического совета.  

3. Настоящим Положением регулируются отношения, связанные с обработкой персональных данных (далее - ПДн), осуществляемой  администрацией и сотрудниками КОГОБУ ОШ с.Юма Свечинского района, (далее – Учреждение) с использованием средств автоматизации и без использования таковых средств.

4. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

5. Основные понятия, используемые в настоящем Положении.

1) персональные данные - любая информация, относящаяся к прями или косвенно определенному или определяемому физическому лицу;

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таковых средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных;

6) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

7) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

8) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств и обеспечивающих их обработку информационных технологий и технологических средств;

9) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

10) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

11) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2. Система работы оператора с ПДн.

2.1. Все ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъекта должен быть уведомлен об этом заранее (в письменной форме) и от него должно быть получено письменное согласие. Должностное лицо работодателя обязано сообщить субъекта о целях, предполагаемых источниках и способах получения ПДн, а также о последствиях отказа субъекта дать письменное согласие на их получение.

2.3. Оператор  не имеет права получать и обрабатывать ПДн субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ оператор вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.

2.4. Обработка указанных ПДн субъекта оператором возможна только с их согласия либо без их согласия в следующих случаях:

- ПДн являются общедоступными;

- ПДн относятся к состоянию здоровья субъекта, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта невозможно;

- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

2.5. Оператор вправе обрабатывать ПДн субъекта только с их письменного согласия.

2.6. Письменное согласие субъекта на обработку своих ПДн должно включать в себя:

- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие субъекта ПДн;

- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;

- срок, в течение которого действует согласие, а также порядок его отзыва.

2.7. Согласие субъекта не требуется в следующих случаях:

- обработка ПДн осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определенного полномочия работодателя;

- обработка ПДн в целях исполнения договора;

- обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.

2.8. В целях обеспечения прав и свобод человека и гражданина  оператор при обработке ПДн субъекта должны выполнять следующие общие требования:

2.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных правовых актов.

2.8.2. При определении объема и содержания, обрабатываемых ПДн оператор должен руководствоваться нормативными актами, предусмотренными в п.1 настоящего Положения.

2.8.3. При принятии решений, затрагивающих интересы субъекта, оператор не имеет права основываться на ПДн, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

2.8.4. Защита персональных данных субъекта от неправомерного их использования, утраты, обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.

2.8.5. Субъекты и их представители должны быть ознакомлены под расписку с настоящим Положением, устанавливающим порядок обработки ПДн, а также об их правах и обязанностях в этой области.

2.8.6. Во всех случаях отказ субъекта от своих прав на сохранение и защиту тайны недействителен.

3. Передача ПДн

3.1. При передаче ПДн субъекта оператор должен соблюдать следующие требования:

3.1.1. Не сообщать ПДн субъекта третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом.

3.1.2. Не сообщать ПДн субъекта в коммерческих целях без его письменного согласия. Обработка ПДн субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

3.1.3. Предупредить лиц, получивших ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен ПДн субъекта в порядке, установленном федеральными законами.

3.1.4. Осуществлять передачу ПДн субъекта в пределах Учреждения в соответствии с настоящим Положением.

3.1.5. Разрешать доступ к ПДн субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретной функции.

3.1.6. Передавать ПДн субъекта его законным, полномочным представителям в порядке, установленном законом и иным правовым актом, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции.

3.2. ПДн субъекта могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

3.3. При получении ПДн не от субъекта (за исключением случаев, если ПДн являются общедоступными) Учреждение до начала обработки таких ПДн обязан предоставить субъекту следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки ПДн и ее правовое основание;

- предполагаемые пользователи ПДн;

- установленные федеральными законами права субъекта ПДн.

4. Доступ к персональным данным субъекта

4.1. Право доступа к ПДн субъекта имеют:

- руководитель образовательного учреждения;

- делопроизводитель (секретарь);

- главный бухгалтер;

- заместители директора по УВР, ВР;

- классные руководители;

- учителя-предметники;

- ответственный за организацию питания;

- библиотекарь;

- ответственный за заполнение региональной базы данных;

- ответственный за заполнение электронных форм мониторинга физической подготовленности;

- врач/медработник.

4.2. Субъект имеет право:

4.2.1. Получать доступ к своим ПДн и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПДн.

4.2.2. Требовать от Учреждения уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя ПДн.

4.2.3. Получать от Учреждения:

- сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;

- перечень обрабатываемых ПДн и источник их получения;

- сроки обработки ПДн, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его персональных данных.

4.2.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

4.2.5. Обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Учреждения при обработке и защите его персональных данных.

4.3. Копировать и делать выписки ПДн субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя.

4.4. Передача информации третьей стороне возможна только при письменном согласии работника.

5. Ответственность за нарушение норм, регулирующих обработку ПДн

5.1. Сотрудники Учреждения, виновные в нарушении порядка обращения с ПДн, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

5.2. Руководитель Учреждения за нарушение порядка обращения с ПДн несет административную ответственность, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей ПДн.