ПОЛОЖЕНИЕ о защите персональных данных в МКОУ «РВСОШ"

Утверждено приказом директора

МКОУ «РВСОШ» № 94а от 01.09.2020г

ПОЛОЖЕНИЕ

о защите персональных данных
В муниципальном казенном общеобразовательном учреждении
«Районная вечерняя (сменная) общеобразовательная школа"

1. Общие положения
   1. Целью данного Положения является защита персональных данных физических лиц от несанкционированного доступа, неправомерного их использования или утраты.
   2. Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ «О защите персональных данных».
   3. Персональные данные физических лиц относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных физических лиц снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
   4. Настоящее Положение является обязательным для исполнения всеми работниками МКОУ «РВСОШ»  (далее Оператор), имеющими доступ к персональным данным физических лиц.
2. Основные понятия
   1. Персональные данные физических лиц (далее - персональные данные) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в частности к такой информации относятся фотографии физического лица.
   2. Для целей настоящего Положения используются следующие основные понятия:

• обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
• распространение персональных данных - действия, направленные на раскрытие персональных данных обучающихся неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
• блокирование персональных данных - временное прекращение обработки персональных данных обучающихся (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных обучающихся и (или) в результате которых уничтожаются материальные носители персональных данных обучающихся;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному обучающемуся;
• информация - сведения (сообщения, данные) независимо от формы их представления;
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
  3. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
  4. Конфиденциальность персональных данных - обязательное для соблюдения требование не допускать распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
  5. Постороннее лицо - любое лицо, не имеющее непосредственного отношения к деятельности МКОУ «РВСОШ» , посетители МКОУ «РВСОШ».

3. Состав персональных данных
   1. К персональным данным, получаемым Оператором и подлежащим хранению у Оператора в порядке, предусмотренном действующим законодательством, относятся следующие сведения:
      1. О работниках:

• паспортные данные;
• копия страхового свидетельства государственного пенсионного страхования;
• копия ИНН;
• документы воинского учета;
• пенсионные данные;
• копия документа об образовании, квалификации или наличии специальных знаний;
• анкетные данные, заполненные работником при поступлении на работу или в процессе работы;
• медицинское заключение об отсутствии противопоказаний для занятия конкретным видом деятельности;
• приговор суда о запрете заниматься педагогической деятельностью или занимать руководящие должности;
• иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров - трудовой договор;
• сведения, указанные в оригиналах и копиях приказов и материалах к ним;
• документы о прохождении работником аттестации, повышения квалификации;
• личные дела и трудовые книжки сотрудников;
• личные карточки по форме Т-2;
• материалы по внутренним служебным расследованиям;
• документы о наградах и почетных званиях;
• медицинские данные;
• семейное и социальное положение;
• документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренные действующим законодательством;
• документы о возрасте малолетних детей;
• документы о месте обучения детей;
• другая аналогичная информация, на основании которой возможна безошибочная идентификация работника.
  1. 2. Об обучающихся и их родителях (законных представителях):

• документ, удостоверяющий личность обучающегося (свидетельство о рождении или паспорт);
• документ о получении образования, необходимого для поступления в соответствующий класс (личное дело, ведомость отметок, справка с предыдущего места учебы и т.п.);
• данные о зачислении, движении, выбытии;
• сведения, указанные в оригиналах и копиях приказов и материалах к ним;
• домашний адрес и телефон;
• копия страхового свидетельства государственного пенсионного страхования;
• медицинское заключение об отсутствии противопоказаний для обучения в образовательном учреждении конкретного вида и типа;
• медицинское заключение о возможности изучения предметов, представляющих повышенную опасность для здоровья (физкультура, информатика и т.п.);
• паспорт одного из родителей (законных представителей) обучающегося;
• полис медицинского страхования;
• медицинские данные;
• семейное и социальное положение;
• документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.);
• другая аналогичная информация, на основании которой возможна безошибочная идентификация обучающегося или родителя (законного представителя).

Родители (законные представители) могут сообщать иные сведения, с которыми считают нужным ознакомить работников МКОУ «РВСОШ».

4. Обработка персональных данных
   1. Обработка персональных данных должна осуществляться на основе принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
  2. Обработка персональных данных может осуществляться Оператором с согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  3. Все персональные данные представляются субъектом персональных данных. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то Оператор обязан уведомить об этом субъекта персональных данных и получить его письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
  4. Оператор не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни, о членстве в общественных объединениях или о профсоюзной деятельности, состояния здоровья без письменного согласия субъекта персональных данных.
  5. Использование персональных данных возможно только в соответствии с целями, определившими их получение:

• осуществления обучения и воспитания в интересах личности, общества, государства;
• обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности;
• информационного обеспечения управления образовательным процессом
  6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
  7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  8. В случае выявления неправомерных действий с персональными данными Оператор обязан в течение трех рабочих дней с даты такого выявления устранить допущенные нарушения. При невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.
  9. В случаях достижения цели обработки персональных данных, отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней.
  10. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
  11. Безопасность персональных данных при их обработке обеспечивает Оператор.

5. Доступ к информационной системе.

Хранение персональных данных.

• 1. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе приказом директора лицея назначаются работники, ответственные за обеспечение безопасности персональных данных.
  2. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:
• директор МКОУ «РВСОШ»  или иное уполномоченное лицо;
• сам работник, носитель данных,

К обработке, передаче и хранению персональных данных обучающихся и их родителей (законных представителей) могут иметь доступ сотрудники:

• директор МКОУ «РВСОШ»;

                     педагогические работники МКОУ «РВСОШ»

• 3. К числу потребителей персональных данных вне МКОУ «РВСОШ» можно отнести:
• налоговые инспекции;
• правоохранительные органы;
• органы статистики;
• страховые агентства;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения органов местного самоуправления,
• медицинские учреждения,
• учреждения образования, культуры, спорта и туризма, имеющие государственную аккредитацию и лицензию на право ведения соответствующей деятельности, если они являются организаторами проведения конкурсов и массовых мероприятий.

Надзорно-контрольные органы имеют доступ к информации только в пределах своей компетенции.

• 4. Запросы на получение персональных данных, включая лиц, указанных в п. 5.2.,5.3., а также факты предоставления персональных данных по этим запросам регистрируются в журнале обращений. Содержание журнала обращений периодически не реже 1 раза в квартал проверяется директором лицея.
  5. При обнаружении нарушений порядка предоставления персональных данных работодатель незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
  6. Персональные данные и документы их содержащие хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях:
• кабинете директора;

6. Защита персональных данных
   1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
   2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
   3. Защита персональных данных представляет собой процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации.
   4. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном федеральным законом.
   5. Электронные носители, содержащие файлы с персональными данными сотрудника, должны быть защищены паролем.
   6. Обеспечению защиты персональных данных способствуют следующие меры:

• порядок приема, учета и контроля деятельности посетителей;
• технические средства охраны, сигнализации;
• порядок охраны территории, зданий, помещений, транспортных средств;
• требования к защите информации при интервьюировании и собеседованиях.
  7. Все лица, связанные с получением, обработкой и защитой персональных данных, в обязательном порядке дают подписку о неразглашении персональных данных, к которым они имеют доступ.
  8. По возможности персональные данные обезличиваются.
  9. Совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации подлежит обязательной классификация. Присвоение информационной системе соответствующего класса оформляется приказом директора МКОУ «РВСОШ».

Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

• ограничение и регламентация состава работников, должностные и функциональные обязанности которых требуют конфиденциальных знаний;
• строгое избирательное и обоснованное распределение документов и информации между работниками;
• рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• знание работником требований законодательных и локальных актов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• организация порядка уничтожения информации;
• своевременное выявление нарушения требований в работе с персональными данными;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
  10. Не допускается передача персональных данных посторонних лицам, кроме потребителей, указанных в п.5.3.
  11. Не допускается передача персональной информации по телефону или факсу.

7. Передача персональных данных.
   1. Передача персональных данных субъекта персональных данных возможна только с его согласия или в случаях, предусмотренных законодательством.
   2. При передаче персональных данных субъекта персональных данных Оператор должен соблюдать следующие требования:

• не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности
• конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;
• разрешать доступ к персональным данным только специально уполномоченным лицам, определенным приказом по школе, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
  3. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
  4. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

8. Права и обязанности субъектов персональных данных.
   1. Закрепление прав субъектов персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
   2. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

• требовать исключения или исправления неверных или неполных персональных данных.
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
• персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
• определять своих представителей для защиты своих персональных данных;
• на сохранение и защиту своей личной и семейной тайны.
  3. Работник обязан:

• передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;
• своевременно сообщать работодателю об изменении своих персональных данных.
  4. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

В целях защиты персональных данных, обучающихся, родители (законные представители) имеют право:

• требовать исключения или исправления неверных или неполных персональных данных;
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
• определять своих представителей для защиты своих персональных данных;
• на сохранение и защиту своей личной и семейной тайны.
  5. Родитель (законный представитель) обязан:

• передавать учреждению комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;
• своевременно сообщать об изменении персональных данных обучающегося.
  6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

9. Ответственность за разглашение конфиденциальной информации,
   связанной с персональными данными
   1. Директор МКОУ «РВСОШ»  несет ответственность за выдачу разрешения на доступ к конфиденциальной информации.
   2. Работник МКОУ «РВСОШ», получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
   3. Должностные лица, в обязанность которых входит ведение персональных д