1.Назначение
Данная Политика в отношении обработки персональных данных в Муниципальном бюджетном общеобразовательном учреждении «Средняя школа № 30 имени С.А. Железнова» города Смоленска (далее - Политика) разработана с целью обеспечения защиты персональных данных обучающихся, сотрудников, родителей (законных представителей) и иных категорий граждан соответствии с требованиями действующего законодательства Российской Федерации. Политика разработана в соответствии со ст. 23 и 24 Конституции Российской Федерации (РФ), главы 14 Трудового кодекса РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами РФ.
Политика регламентирует порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, уничтожения, удаления, учета документов, содержащих сведения, отнесенные к ПДн субъектов (обучающихся, сотрудников, родителей (законных представителей) и иных категорий граждан) в МБОУ «СШ № 30 им. С.А. Железнова» с использованием средств автоматизации или без использования таких средств, а также определяет права, обязанности и ответственность руководства и должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих порядок обработки и защиты персональных данных.
Оператором в соответствии со ст. 3 Федерального закона «О персональных данных» является МБОУ «СШ № 30 им. С.А. Железнова» осуществляет обработку персональных данных, цели и содержание которой определяет МБОУ «СШ № 30 им. С.А. Железнова»
Политика вводится в действие впервые с даты ее утверждения.
2. Общие положения
2.1. Область применения
Требования данной Политики распространяются на всех сотрудников
МБОУ «СШ № 30 им. С.А. Железнова» (далее – Образовательная организация).
Применение данного документа в филиалах Образовательной организации - «Для руководства».
2.2. Нормативные ссылки
Политика разработана с учетом следующих нормативных документов:
Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149- ФЗ;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
2.3. Термины, определения и сокращения
Для целей Политики в ней определены следующие термины и сокращения:
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках трудовых отношений оператором персональных данных является работодатель.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту ПДн).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Сотрудник - физическое лицо, вступившее в трудовые отношения с образовательной организацией.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные. В рамках трудовых отношений субъектом персональных данных является Сотрудник.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно- телекоммуникационным сетям или обработки в информационных системах (ИС).
ИБ - информационная безопасность.
ИС - информационная система.
ИСПДн - информационная система персональных данных.
НСД - несанкционированный доступ.
ПДн - персональные данные. РФ - Российская Федерация. ТС - техническое средство.
ФСБ России - Федеральная служба безопасности России.
ФСТЭК России - Федеральная служба по техническому и экспортному контролю России.
3. Понятие и состав обрабатываемых персональных данных
3.1. Общие положения
Под ПДн субъектов ПДн понимается информация, необходимая Образовательной организации в связи с договорными отношениями по оказанию образовательных услуг, трудовыми или другими отношениями и касающаяся конкретного Субъекта ПДн (обучающихся, сотрудников, родителей (законных представителей) и иных категорий граждан), а также сведения о фактах, событиях и обстоятельствах жизни Субъекта ПДн (обучающихся, сотрудников, родителей (законных представителей) и иных категорий граждан), позволяющие идентифицировать его личность и личность его родственников. ПДн Субъекта ПДн (обучающихся, сотрудников, родителей (законных представителей) и иных категорий граждан) являются конфиденциальной информацией. Режим конфиденциальности ПДн снимается в случае обезличивания, по истечении срока исковой давности либо 75 лет срока хранения, если иное не определено нормативными актами РФ.
3.2. Объем и содержание обрабатываемых ПДн
Объем и содержание обрабатываемых в Образовательной организации ПДн определяется в соответствии с Федеральным законом «Об образовании в Российской Федерации» от 29.12.2012 № 273-ФЗ, Федеральным законом «О персональных данных» от 27 июля 2006г. (ст. 5, 6, 7, глава 4) (ред. от 25.07.2011), Трудовым кодексом РФ от 31 декабря 2001г. № 197- ФЗ (статьи 85 - 90), Федеральным законом от 21.11.1996г. № 129-ФЗ (ред. от 23.11.2009) «О бухгалтерском учете», Налоговым кодексом РФ (глава 23), Федеральным законом № 167-ФЗ от 15.12.2001 «Об обязательном пенсионном страховании в РФ», Федеральным законом от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 17.12.2001г. № 173-ФЗ
«О трудовых пенсиях в РФ», Федеральным законом от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и
территориальные фонды обязательного медицинского страхования» и другими нормативными актами.
3.3. Категории субъектов ПДн
В образовательной организации осуществляется обработка ПДн следующих категорий субъектов:
субъектов, ПДн которых обрабатываются в рамках трудовых отношений:
сотрудник образовательной организации (штатный сотрудник, сотрудник по
договору гражданско-правового характера, внештатный сотрудник, сотрудники по ученическому договору);
лиц, вышедших на пенсию;
родственников сотрудников образовательной организации;
субъектов, ПДн которых обрабатываются при обеспечении основной деятельности образовательной организации:
лиц, которым оказываются образовательные услуги;
родителей, законным представителям лиц, которым оказываются образовательные услуги
3.4. Сведения, относящиеся к обрабатываемым ПДн
К ПДн субъекта, обрабатываемым в образовательной организации, в частности, относятся следующие сведения:
фамилия, имя, отчество сотрудников образовательной организации;
пол;
фотография;
данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства);
дата и место рождения;
адрес местожительства (регистрации);
контактный номер телефона;
адрес электронной почты;
данные о составе семьи - ближайших родственниках (степень родства, фамилия, имя, отчество, дата рождения);
сведения о наличии инвалидности (группа, документ, на основании которого присвоена группа инвалидности, срок действия документа);
сведения об образовании, профессии, квалификации или наличии специальных знаний;
сведения о стаже работы;
подразделение, должность;
должностной оклад, премия;
сведения о воинском учете;
информация об аттестации, повышении квалификации, профессиональной переподготовке;
сведения о приѐме на работу и переводах на другую работу;
данные о поощрениях и наградах;
данные о социальных льготах (номер и дата выдачи документа, основание);
сведения об обязательном медицинском страховании: наименование организации, серия, номер и срок действия полиса обязательного медицинского страхования;
сведения о прекращении трудового договора (увольнении);
сведения о гражданско-правовых договорах сотрудников: дата, общая сумма по договору, сумма выплаты (за месяц, за квартал), порядок оплаты, период этапов выполнения;
сведения о несписочном составе (бывших сотрудниках);
3.5. Документы ПДн
ПДн в образовательной организации могут содержаться в следующих документах:
документах, связанных с основной деятельностью (документах, оформляемых в связи
с заключением и исполнением договоров на оказание образовательных услуг: заявление о заключении договора утвержденной формы, договор на оказание образовательных услуг, копия документа, удостоверяющего личность и др.);
личных делах сотрудников;
личных делах обучающихся;
документах, удостоверяющих личность;
трудовой книжке сотрудника;
страховом свидетельстве государственного пенсионного страхования;
документах воинского учета - при их наличии;
документах об образовании, квалификации или наличии специальных знаний, или подготовки;
документах, подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренных законодательством;
документах о возрасте детей или беременности женщины для предоставления установленных законом условий труда, гарантий и компенсаций;
иных документах, необходимых для определения трудовых отношений. Документы, содержащие ПДн, создаются путѐм:
копирования оригиналов;
внесения сведений в учѐтные формы (на бумажных и электронных носителях);
получения оригиналов необходимых документов (трудовая по учѐту кадров, автобиография).
4. Принципы обработки персональных данных
4.1. Общие требования и принципы
В целях обеспечения прав Субъектов ПДн образовательная организация при обработке ПДн Субъектов ПДн обязана соблюдать следующие общие требования и принципы:
Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПДн, несовместимая с целями сбора ПДн;
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Образовательная организация должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
4.2. Хранение ПДн
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
4.3. Передача обработки ПДн другому лицу
Образовательная организация вправе поручить обработку ПДн другому лицу с согласия Субъекта ПДн, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку ПДн по поручению Образовательной организации, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой. При этом в Договоре по поручению услуг должен быть определен перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн.
Лицо, осуществляющее обработку ПДн по поручению Образовательной организации, не обязано получать согласие Субъекта ПДн на Обработку его ПДн.
В случае, если Образовательная организация поручает обработку ПДн другому лицу, ответственность перед Субъектом ПДн за действия указанного лица несет Образовательная организация. Лицо, осуществляющее обработку ПДн по поручению Образовательной организации, несет ответственность перед Образовательной организацией.
4.4. Конфиденциальность ПДн
Образовательная организация и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
4.5. Общедоступные источники ПДн
В целях информационного обеспечения деятельности структурных подразделений и сотрудников Образовательной организации внутри организации могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги и др.).
В общедоступные источники ПДн с письменного согласия Сотрудника могут включаться его фамилия, имя, отчество, дата рождения, фотография, наименование подразделения, должность, номер контактного телефона, адрес электронной почты и иные ПДн, сообщаемые сотрудником.
Сведения о Сотруднике должны быть в любое время исключены из общедоступных источников ПДн по его требованию либо по решению суда или иных уполномоченных государственных органов.
5. Порядок обработки ПДн в Образовательной организации
5.1. Сбор, систематизация и накопление ПДн
Получение, хранение, обработка, в том числе передача, распространение, использование, блокирование и уничтожение ПДн субъектов ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров на оказание образовательных услуг, одной из сторон которых является потребитель образовательных услуг (законный представитель).
Информация, представляемая субъектом ПДн при заключении договорных отношений с Образовательной организацией, должна иметь документированную форму.
При заключении трудового договора в соответствии со статьѐй 65 Трудового кодекса РФ лицо, поступающее на работу, предъявляет следующие документы:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда договор заключается впервые, или Сотрудник поступает на работу на условиях совместительства, или трудовая книжка у Сотрудника отсутствует в связи с ее утратой или по другим причинам;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета - для лиц, подлежащих воинскому учету;
документы об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
свидетельство о присвоении идентификационного номера налогоплательщика (при его наличии у сотрудника);
анкета, заполняемая сотрудником при приѐме на работу;
иные документы и сведения, предоставляемые Сотрудником при приеме на работу и в процессе трудовой деятельности.
При заключении договора об оказании образовательных услуг в соответствии со ст. 54 Федерального закона «Об образовании в Российской Федерации» от 29.12.2012 № 273-ФЗ гражданин предоставляет следующие документы:
паспорт или иной документ, удостоверяющий личность. Все ПДн субъекта ПДн получаются у него самого.
Сотрудник,ответственныйзадокументационноеобеспечениекадровой
деятельности/сотрудник Образовательной организации, принимает от субъекта ПДн документы, проверяет их полноту и соответствие предоставляемых сведений действительности.
Если ПДн Сотрудника возможно получить только у третьей стороны, то Сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на их получение. Образовательная организация сообщает Сотруднику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн, последствиях отказа Сотрудника дать письменное согласие на их получение (требования настоящего пункта распространяются только на Сотрудников Образовательной организации).
Уполномоченное лицо Образовательной организации при получении ПДн проверяет их достоверность, сверяя предоставленные данные с имеющимися у субъекта документами.
Образовательная организация имеет право обрабатывать ПДн Субъектов (в том числе Сотрудников) только с их письменного согласия в следующих случаях, предусмотренных Федеральным законом «О персональных данных»:
при передаче обработки ПДн третьему лицу;
при обработке специальных категорий ПДн;
при обработке биометрических ПДн;
при включении ПДн Субъекта в общедоступные источники ПДн (в том числе справочники, адресные книги и т.п.);
при необходимости трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;
в случае принятия решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки его ПДн;
в случае недееспособности Субъекта ПДн, когда за него согласие на обработку ПДн
Субъекта даѐт законный представитель субъекта ПДн.
Согласие Субъекта ПДн на обработку его ПДн не требуется в следующих случаях:
обработка ПДн необходима для исполнения договора, стороной которого является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн;
обработка ПДн необходима для осуществления прав и законных интересов Образовательной организации или третьих лиц либо для достижения Образовательной организацией значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
осуществляется Обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами;
обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн;
обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
Образовательная организация не имеет права получать и обрабатывать ПДн субъектов, касающихся их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также о его членстве в Общественных объединениях или его профсоюзной деятельности, за исключением случаев, приведенных ниже.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Образовательная организация, как работодатель, вправе получать и обрабатывать данные о частной жизни Сотрудника только с его письменного согласия.
Обработка указанных ПДн субъектов возможна в следующих случаях:
ПДн сделаны общедоступными Субъектом ПДн;
обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
ПДн относятся к состоянию здоровья Сотрудника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия Сотрудника в данный момент невозможно;
обработка ПДн необходима для установления или осуществления прав Субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
обработка ПДн осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно- исполнительным законодательством РФ;
по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
Обработка указанных ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
В случае оформления письменного согласия Субъекта на обработку своих ПДн, оно должно
включать в себя:
фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн;
цель обработки ПДн;
перечень ПДн, на обработку которых дается согласие субъекта ПДн;
перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Образовательной организации, если обработка будет поручена такому лицу;
срок, в течение которого действует согласие субъекта ПДн, а также порядок его отзыва, если иное не установлено федеральным законом;
подпись субъекта ПДн.
Равнозначным содержащему собственноручную подпись Субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В случае получения согласия на обработку ПДн от представителя Субъекта ПДн полномочия данного представителя на дачу согласия от имени Субъекта ПДн проверяются Образовательной организацией.
В случае отзыва Субъектом ПДн (Сотрудником Образовательной организации) согласия на обработку его ПДн Образовательная организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Образовательной организации) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Образовательной организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Образовательной организацией и субъектом ПДн либо если Образовательная организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Образовательная организация осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Образовательной организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5.2. Использование и передача ПДн
5.2.1. Общие требования
В соответствии с Федеральным законом «О персональных данных» и ст. 86, гл. 14 Трудового кодекса РФ в целях обеспечения прав и свобод человека и гражданина Образовательная организация и его уполномоченные лица при обработке ПДн субъекта ПДн
должны соблюдать следующие общие требования.
Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров об оказании образовательных услуг, обеспечения личной безопасности Сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
При определении объема и содержания обрабатываемых ПДн Образовательная организация должна руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
При принятии решений, затрагивающих интересы субъекта, Образовательная организация не имеет права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Образовательной организацией за счет своих средств в порядке, установленном федеральным законом.
Сотрудники и их представители должны быть ознакомлены под подпись с документами Образовательной организации, устанавливающими порядок обработки ПДн сотрудников, а также с документами об их правах и обязанностях в этой области.
Во всех случаях отказ сотрудника от своих прав на сохранение и защиту тайны недействителен.
5.2.2. Обработка ПДн, получаемых в связи с исполнением гражданско-правовых договоров
Обработка ПДн, получаемых в связи с исполнением гражданско-правовых договоров, заключаемых в рамках основной деятельности Образовательной организации, осуществляется в соответствии с условиями, включаемыми в соответствующие договоры, а также в соответствии с внутренними организационно-распорядительными документами.
5.2.3. Требования при передаче ПДн
При передаче ПДн Субъекта Образовательная организация должна соблюдать следующие требования:
не сообщать ПДн Сотрудника третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
предупредить лиц, получивших ПДн Субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн субъекта, обязаны соблюдать режим конфиденциальности. Политика не распространяется на обмен ПДн Сотрудников в порядке, установленном федеральными законами;
осуществлять передачу ПДн Субъектов в пределах Образовательной организации в соответствии с Политикой:
В случае передачи ПДн внутреннему потребителю (передача ПДн внутри Образовательной организации) осуществляется:
непосредственно путем передачи, уполномоченным на это Сотрудником Образовательной организации, в запечатанном конверте с указанием получателя;
по внутренним каналам связи Образовательной организации с использованием шифрования информации;
по каналам сети Интернет с использованием шифровальных (криптографических) средств защиты информации.
В случае передачи ПДн внешнему потребителю:
передача ПДн от Образовательной организации внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
не допускается передача ПДн по устным обращениям и незащищенным каналам связи;
передача документов, содержащих ПДн Сотрудника, может быть отправлены только с использованием специальных видов связи, которые обеспечивают конфиденциальность их передачи.
В случае необходимости допускается трансграничная передача ПДн Субъектов ПДн.
Образовательная организация обязана убедиться в том, что иностранным государством, на
территорию которого будет осуществляться передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн.
В том случае, если на территории иностранных государств не обеспечивается адекватная защита прав Субъектов ПДн, трансграничная передача ПДн может осуществляться в случаях:
наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его
ПДн;
исполнения договора, стороной которого является Субъект ПДн;
защиты жизни, здоровья, иных жизненно важных интересов Субъекта ПДн или других лиц при невозможности получения согласия в письменной форме Субъекта ПДн;
предусмотренных международными договорами РФ;
предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случае поступления запроса Образовательной организации от третьей стороны о предоставлении информации с ПДн Сотрудника (Субъекта ПДн), Образовательная организация обязана в письменной форме уведомить Субъекта ПДн об этом с правом получения согласия от Субъекта ПДн на право передачи его ПДн.
Передавать ПДн Сотрудника представителям Сотрудников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми ПДн Сотрудника, которые необходимы для выполнения указанными представителями их функции.
5.2.4. Запросы субъектов ПДн на предоставление информации
Субъекты ПДн (представители Субъектов ПДн), Уполномоченные органы по защите прав Субъектов ПДн имеют право запрашивать в Образовательной организации необходимую информацию (ПДн), используя письменное обращение (запрос).
Письменное обращение (запрос) должно содержать следующие обязательные реквизиты:
наименование органа, в который обращается субъект ПДн, и почтовый адрес;
фамилию, имя и отчество лица, подписавшего обращение;
номер и серию основного документа, удостоверяющего личность Субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Образовательной организацией (номер договора, дата заключения договора, условное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Образовательной организацией, подпись Субъекта ПДн или его законного представителя;
цель обращения (заполнение данного реквизита не обязательно для Уполномоченных органов по защите прав Субъектов ПДн);
ссылку на норму федерального законодательства РФ, в соответствии с которой
возникает право запрашивать ПДн Субъекта ПДн, полные данные (фамилия, имя, отчество в именительном падеже, год рождения).
Субъект ПДн имеет право запросить следующие сведения:
подтверждение факта обработки Образовательной организацией ПДн;
правовые основания и цели обработки ПДн;
цели и применяемые Образовательной организацией способы обработки ПДн;
наименование и место нахождения Образовательной организации, сведения о лицах (за исключением сотрудников Образовательная организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Образовательной организацией или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по поручению Образовательной организации, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Подготовка запрашиваемой информации и формирование содержательной части ответа должны выполняться совместно Сотрудниками соответствующего подразделения управления персоналом Образовательной организации и соответствующим подразделением правового обеспечения Образовательной организации, с четким определением целей и сроков обработки ПДн к конкретному субъекту ПДн. Подготовленный ответ оформляется в письменном виде.
В случае если запрашиваемые сведения, а также обрабатываемые ПДн были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к Образовательной организации или направить повторный запрос в целях получения указанных выше сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.
Субъект ПДн вправе обратиться повторно к Образовательной организации или направить повторный запрос в целях получения приведенных выше сведений, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с обязательными сведениями, должен содержать обоснование направления повторного запроса.
В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении, либо при получении запроса субъекта ПДн или его законного представителя, информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн Образовательная организация формирует в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок,
не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя либо от даты получения такого запроса.
5.3. Хранение и уничтожение персональных данных
ПДн Субъектов ПДн обрабатываются и хранятся в помещениях подразделений Образовательной организации, Сотрудники которых допущены к обработке ПДн на основании утвержденного перечня должностей Сотрудников, допущенных к обработке ПДн.
Меры, принимаемые для обеспечения конфиденциальности при получении, обработке и хранении ПДн Субъектов ПДн, распространяются на все материальные носители информации, используемые для хранения ПДн в Образовательной организации.
Материальные носители, на которых фиксируются ПДн Субъектов (бумажные или машинные), подлежат учѐту с присвоением учѐтных номеров в Журнале учета носителей ПДн.
Хранение ПДн должно осуществляться в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели Обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.
Устанавливаются следующие сроки обработки и хранения ПДн, обрабатываемых в Образовательной организации:
ПДн, обрабатываемых в целях осуществления основной деятельности, - в течение действия соответствующего гражданско-правового договора и срока исковой давности после его завершения;
ПДн, обрабатываемых в связи с трудовыми отношениями, - в течение действия трудового договора и 75 лет после завершения действия трудового договора;
ПДн потенциальных потребителей услуг Образовательной организации - до момента отзыва заявки на предоставление образовательных услуг;
ПДн посетителей - 3 года.
Помещения, в которых ведется обработка ПДн, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.
В Образовательной организации осуществляется хранение документов, содержащих информацию с ПДн, с обеспечением необходимых условий, исключающих несанкционированный доступ (НСД) к ПДн:
документы (съѐмные носители информации), содержащие ПДн, должны храниться в надежно запираемых хранилищах. Допускается хранение документов (съѐмных носителей информации) в не закрывающихся шкафах при условии, что бесконтрольный доступ посторонних лиц к данным хранилищам (помещениям) исключен;
по окончании рабочего времени помещения, предназначенные для обработки ПДн, а также шкафы (ящики, хранилища) должны быть закрыты на замок. Шкафы, в которых хранятся личные дела, трудовые книжки и карточки формы Т-2 сотрудников, по окончании рабочего дня опечатываются;
ключи от помещений, в которых хранятся документы (носители), содержащие ПДн, а также помещений, где находятся средства вычислительной техники ИСПДн Образовательной организации, сдаются ответственными сотрудниками под охрану, с отметкой в Журнале приема-сдачи служебных помещений. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся ПДн, и указанных помещений, находятся на хранении у ответственных сотрудников.
Уничтожение ПДн Субъекта производится в следующих случаях:
по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн,
если иное не предусмотрено договором, стороной которого является субъект ПДн, иным соглашением между Образовательной организацией и субъектом ПДн либо если Образовательная организация не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;
на основании мотивированного требования субъекта ПДн либо уполномоченного органа по защите прав Субъектов ПДн в случае выявления неправомерной обработки ПДн Образовательной организацией в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн;
в случае отзыва Субъектом ПДн согласия на Обработку его ПДн, если сохранение ПДн более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является Субъект ПДн, иным соглашением между Образовательной организацией и Субъектом ПДн либо если Образовательная организация не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ.
В случае отсутствия возможности уничтожения ПДн в течение указанных сроков, Образовательная организация осуществляет блокирование таких ПДн или обеспечивает их блокирование (если Обработка ПДн осуществляется другим лицом, действующим по поручению Образовательной организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Уничтожение ПДн Субъектов осуществляется внутренней комиссией Образовательной организации с составлением соответствующего акта. Допускается уничтожение ПДн не менее чем двумя уполномоченными Сотрудниками Образовательной организации с отметкой, заверенной их подписями в журналах учѐта носителей информации (ПДн).
Документы (носители информации) должны уничтожаться способом, исключающим восстановление информации, содержащей ПДн (путем измельчения в бумагорезательных машинах, в машинах сжигания, дробления, превращения в бесформенную массу).
Уничтожение части ПДн Субъекта, если это допускается носителем информации, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на носителе информации (выборочное удаление, вымарывание).
В Образовательной организации определен способ направления уведомления о факте уничтожения ПДн Субъекту этих ПДн: почтой или в электронной форме. Для подтверждения факта уничтожения ПДн может служить направление вместе с уведомлением письменных документов, переданных субъектом ПДн Образовательной организации. Уведомление направляется субъекту ПДн, а в случае, если обращение или запрос были направлены Уполномоченным органом по защите прав субъектов ПДн, также в указанный орган.
5.4. Доступ к персональным данным
Доступ должностных лиц к обработке ПДн организуется в соответствии с утвержденным перечнем должностей, допущенных к обработке ПДн.
Права должностных лиц по Обработке ПДн в ИСПДн Образовательной организации определяются руководителями структурных подразделений Образовательной организации, осуществляющих Обработку ПДн Субъектов, на основании функциональных (должностных) обязанностей Сотрудников соответствующих структурных подразделений, владельцами ИСПДн, подразделениями информационной безопасности.
Доступ к ПДн, обрабатываемым в ИСПДн Образовательной организации, осуществляется в соответствии с порядком, установленным локальными нормативными документами.
Внешний доступ со стороны третьих лиц к ПДн Сотрудника осуществляется только с
письменного согласия субъекта ПДн, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью Сотрудника или других лиц, и иных
случаев, установленных законодательством.
К числу внешних потребителей ПДн относятся государственные и негосударственные надзорные и контролирующие организации:
налоговые инспекции;
правоохранительные органы;
органы статистики;
страховые компании и агентства;
военные комиссариаты;
органы социального страхования;
органы Пенсионного Фонда России;
негосударственные пенсионные фонды;
банки;
подразделения федеральных/региональных/муниципальных органов управления.
Надзорные и контролирующие органы имеют доступ к информации только в
установленной сфере деятельности и в пределах, предусмотренных действующим законодательством РФ полномочий.
Организациям, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), доступ к ПДн может быть предоставлен только с его письменного согласия.
Образовательная организация обязана сообщать ПДн Сотрудника по письменно оформленным запросам суда, прокуратуры, правоохранительных органов, в случае правомерности таких запросов.
ПДн работающего Сотрудника или уже уволившегося Субъекта ПДн Образовательной организации могут быть предоставлены третьим лицам только с получением письменного запроса оформленного на бланке организации, с приложением копии нотариально заверенного письменного согласия (заявления) бывшего сотрудника.
ПДн работающего Сотрудника могут быть предоставлены Образовательной организацией членам его семьи только по письменному заявлению самого Сотрудника, за исключением случаев, когда передача ПДн Сотрудника без его согласия допускается действующим законодательством РФ.
6. Общее описание комплекса организационных, организационно-технических и программных мер, направленных на защиту ПДн
ПДн Обучающихся, родителей (законных представителей), Сотрудников и иных категорий граждан являются неотъемлемой частью информационных ресурсов Образовательной организации и подлежат защите от неправомерного их использования или утраты за счет его средств в порядке, установленном действующим законодательством.
Обеспечение безопасности ПДн при их обработке в ИСПДн Образовательной организации достигается применением (либо обеспечения применения, в случае обработки ПДн третьими лицами) необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий в соответствии
с требованиями следующих нормативных документов:
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (Постановление Правительства РФ от 6 июля 2008 г. №512);
Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации (Постановление Правительства РФ от 15 сентября 2008 г. №687);
Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от 1 ноября 2012 г. №1119);
Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58);
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.);
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.).
В случае необходимости передачи ПДн по незащищенным каналам связи обеспечение их безопасности достигается в соответствии с требованиями следующих нормативных документов:
Методические рекомендации по обеспечению с помощью шифровальных (криптографических) средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. (Утверждены 8 Центром ФСБ России 21 февраля 2008 г. № 149/54-144);
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены 8 Центром ФСБ России 21 февраля 2008 г. № 149/6/6-622).
6.1. Информация, подлежащая защите
Защите подлежит:
информация о ПДн Субъекта ПДн;
документы, содержащие ПДн Субъекта ПДн;
ПДн, содержащиеся на электронных носителях информации;
технические и программные средства, используемые при обработке ПДн.
6.2. Обеспечение безопасности ПДн в Образовательной организации
Обеспечение безопасности ПДн в Образовательной организации достигается, в частности:
определением уровня защищенности ИСПДн;
определением угроз безопасности ПДн при их обработке в ИСПДн Образовательной организации;
применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Образовательной организации, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до
ввода в эксплуатацию ИСПДн Образовательной организации;
учетом машинных носителей ПДн;
обнаружением фактов НСД к ПДн и принятием мер;
восстановлением ПДн, модифицированных или уничтоженных вследствие НСД к ним;
установлением правил доступа к ПДн, обрабатываемым в ИСПДн Образовательной организации, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн Образовательной организации;
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн Образовательной организации.
6.3. Основные меры защиты информации (ПДн)
Основными мерами защиты информации (ПДн) являются:
назначение ответственного за организацию Обработки ПДн;
разработка документов, определяющих политику Образовательной организации в отношении Обработки ПДн, локальных актов по вопросам Обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области обеспечения безопасности ПДн, устранение последствий таких нарушений;
оценка вреда, который может быть причинен Субъектам ПДн в случае нарушения требований настоящего Положения и нормативных актов РФ;
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам в информационных системах (ИС) и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять Обработку ПДн, а также хранятся носители с ПДн;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль НСД и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
резервирование ТС, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
использование защищенных каналов связи;
размещение ТС, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;
обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;
обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и
информационными цепями, по которым циркулирует защищаемая информация (ПДн);
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;
предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок;
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям по обеспечению безопасности ПДн, локальным актам Образовательной организации.
Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от установленного уровня защищенности ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках средств защиты информации от НСД реализуются функции управления доступом, регистрации и учѐта, обеспечения целостности, анализа защищѐнности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Меры по защите информации от утечки по техническим каналам (речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей) применяются на основе определяемых угроз (модели угроз) утечки акустической речевой информации, видовой информации и угроз утечки информации по каналам побочных электромагнитных излучений и наводок.
Ответственность за выполнение мер защиты ПДн, предусмотренных настоящим Положением, в структурных подразделениях Образовательной организации возлагается на их руководителей.
7. Обязанности лиц, допущенных к обработке ПДн
Сотрудники Образовательной организации, допущенные к Обработке ПДн, обязаны:
быть ознакомлены под подпись с документами Образовательной организации, устанавливающими порядок Обработки ПДн;
подписать Обязательство о неразглашении ПДн Субъектов ПДн;
осуществлять Обработку ПДн только в установленных целях;
получать ПДн у Субъекта в установленном порядке;
знакомиться только с теми ПДн, к которым санкционирован доступ руководством Образовательной организации;
хранить в тайне известные им сведения о ПДн, информировать своего непосредственного руководителя о фактах нарушения порядка Обработки ПДн и о попытках НСД к ним;
предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они получены;
выполнять требования по защите полученных ПДн Субъектов;
знать порядок реагирования на запросы со стороны Субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн;
в случае принятия на основании исключительно Автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, разъяснять Субъектам ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения. Предоставить возможность заявить
возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов. Если обязанность предоставления ПДн Субъектом ПДн установлена федеральным законом, разъяснить Субъекту ПДн юридические последствия отказа предоставить свои ПДн;
безвозмездно предоставить Субъекту ПДн возможность ознакомления с ПДн, относящимися к соответствующему Субъекту ПДн, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом ПДн сведений, подтверждающих, что ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Все случаи предоставления Субъекту ПДн доступа к ПДн либо отказа от такого доступа регистрируются в «Журнале учета обращений граждан для получения доступа
к своим персональным данным»;
предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки ПДн, а также о фактах их разглашения;
информировать уполномоченных должностных лиц Образовательной организации об инцидентах, связанных с нарушением порядка обработки ПДн.
8. Права Субъектов персональных данных
8.1. Права Субъектов ПДн
Субъекты, ПДн которых обрабатываются в Образовательной организации, имеют право:
Получать полную информацию о своих ПДн, а также о сведениях, представленных в п.5.2.4.
Иметь свободный бесплатный доступ к своим ПДн, включая право на безвозмездное получение копий любой записи, содержащей ПДн субъекта. Сведения о наличии ПДн должны быть предоставлены Субъекту ПДн в доступной форме, и они не должны содержать ПДн, относящиеся к другим Субъектам ПДн. Доступ к своим ПДн предоставляется Субъекту ПДн или его представителю в Образовательной организации при личном обращении, либо при получении запроса.
Получать сведения об Образовательной организации, о месте его нахождения, о наличии у Образовательной организации сведений о ПДн, относящихся к соответствующему Субъекту ПДн.
Требовать от Образовательной организации уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Получать от Образовательной организации следующие сведения:
подтверждение факта Обработки ПДн Образовательной организации, а также цель такой обработки;
правовые основания и цели Обработки ПДн;
цели и применяемые Образовательной организацией способы Обработки ПДн;
наименование и место нахождения Образовательной организации, сведения о лицах (за исключением сотрудников Образовательной организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Образовательной организацией или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления Субъектом ПДн прав, предусмотренных Федеральным
законом «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по поручению Образовательной организации, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Требовать извещения Образовательной организации всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Образовательной организации при обработке и защите его ПДн.
8.2. Ограничения прав Субъектов ПДн
Право Субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
Обработка ПДн, в том числе ПДн, полученных в результате оперативно розыскной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
Обработка ПДн осуществляется органами, осуществившими задержание Субъекта ПДн по подозрению в совершении преступления, либо предъявившими Субъекту ПДн обвинение по уголовному делу, либо применившими к Субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
предоставление ПДн нарушает права и законные интересы третьих лиц.
8.3. Обязанность Образовательной организации по предоставлению информации Субъекту ПДн
Если ПДн были получены не от самого Субъекта ПДн, за исключением случаев, представленных в подразделе 8.2, если ПДн были предоставлены Образовательной организацией на основании федерального закона, или если ПДн являются общедоступными, Образовательная организация до начала обработки таких ПДн обязано предоставить субъекту ПДн следующую информацию:
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки ПДн и ее правовое основание;
предполагаемые пользователи ПДн;
права Субъекта ПДн в области защиты ПДн;
источник получения ПДн.
8.4. Освобождение Образовательной организации от обязанности предоставления информации
Образовательная организация освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные подразделом 8.1, в случаях, если:
субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
ПДн получены Образовательной организацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
ПДн сделаны общедоступными Субъектом ПДн или получены из общедоступного источника;
Образовательная организация осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
предоставление Субъекту ПДн сведений нарушает права и законные интересы третьих лиц.
9. Ответственность за нарушение порядка обработки и защиты персональных данных
Каждый Сотрудник, осуществляющий обработку ПДн, несет персональную ответственность за соблюдение требований Политики и обеспечение мер по защите ПДн на своем рабочем месте.
Сотрудники Образовательной организации и уполномоченные (третьи) лица, которым ПДн стали известны в силу их служебного положения или выполнения работ в соответствии с договорами, заключѐнными с Образовательной организацией, несут ответственность в соответствии с действующим законодательством РФ за их разглашение, передачу их посторонним лицам, в том числе, сотрудникам Образовательной организации, не имеющим к ним доступа, их публичное раскрытие, утрату документов и иных носителей, содержащих ПДн субъектов ПДн, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, локальными нормативными актами (приказами, распоряжениями).
Иные права, обязанности, действия Сотрудников, в трудовые обязанности которых входит обработка ПДн Субъекта ПДн, определяются соответствующим разделом в должностных инструкциях.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о ПДн гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
Разглашение ПДн субъекта ПДн (передача их посторонним лицам, в том числе, сотрудникам Образовательной организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн Субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, локальными нормативными актами (приказами, распоряжениями) Образовательной организации, влечет наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания - замечание, выговор, увольнение.
Сотрудники, имеющие доступ к ПДн Субъектов ПДн и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения их действиями ущерба Образовательной организации.
Сотрудники, имеющие доступ к ПДн Сотрудника, виновные в незаконном разглашении или использовании ПДн Субъектов ПДн без согласия Субъектов ПДн из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность.
Обязательства по соблюдению конфиденциальности ПДн остаются в силе и после увольнения Сотрудника из Образовательной организации или окончания срока исполнения договора в течение указанного срока.
10. Контроль выполнения требований Политики
Повседневный контроль порядка обработки ПДн осуществляют руководители структурных подразделений Образовательной организации, осуществляющих обработку ПДн.
Периодический контроль выполнения Политики возлагается на внутреннюю комиссию по информационной безопасности.
Контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ в области обеспечения безопасности ПДн, локальных нормативных актов, в том числе и данной Политики осуществляет уполномоченный орган по защите прав субъектов ПДн.
Записи о проведенных проверках при осуществлении государственного контроля (надзора) уполномоченным органом по защите прав субъектов ПДн отражаются в Журнале учета проверок юридического лица. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Образовательной организации.
11. Хранение и архивирование
Подлинник данной Политики хранится в Образовательной организации.
12. Рассылка и актуализация
Периодическая проверка данной Политики проводится по мере необходимости, но не реже 1 раза в 12 месяцев.
Решение об инициации процесса внесения изменений в Политику принимает Руководитель Образовательной организации на основании анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов.
Актуальная версия утвержденной Политики размещена на сайте Образовательной организации. Ответственность за размещение и поддержание в актуальном состоянии размещенной на сайте Образовательной организации Политики несет Образовательная организация.