Политика в отношении обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

МУНИЦИПАЛЬНОГО БЮДЖЕТНОГО ОБЩЕОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА С. ВЕРХНЯЯ МАТРЕНКА ДОБРИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

ЛИПЕЦКОЙ ОБЛАСТИ

1. Общие положения
   1. Настоящая Политика обработки персональных данных Автономной некоммерческой общеобразовательной организации МБОУ СОШ с.Верхняя Матренка (далее - Политика, Школа) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, Субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в Школе.
   2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Школе, разрабатываются с учетом положений настоящей Политики.
   3. Действие настоящей Политики распространяется на персональные данные, которые Школа обрабатывает с использованием и без использования средств автоматизации.
   4. В настоящей Политике используются следующие термины и определения:

• персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому Субъекту персональных данных;
• персональные данные Субъекта персональных данных являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 (далее – ФЗ о персональных данных);
• оператор персональных данных (оператор) – Школа, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• персональные данные, разрешенные Субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном ФЗ о персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• учетная запись пользователя (аккаунт/личный кабинет) - интернет-пространство, защищенное паролем, содержащее информацию о пользователе и учет его работы на Сайте, содержащая личные и контактные данные, предоставленные пользователем при регистрации на Сайте и в ходе работы на Сайте (ФИО, адрес электронной почты, контактный телефон, наименование предоставляемой пользователем организации, должность пользователя);
• сайт - веб-сайт Школы, расположенный по адресу: https://sh-verxnyaya-matrenka-r42.gosweb.gosuslugi.ru;
• пользователь - посетитель Сайта, являющийся субъектом персональных данных по факту прохождения процедуры регистрации на Сайте в установленном порядке.

1.5 Настоящая Политика регулирует отношения, связанные с обработкой и защитой персональных данных лиц, являющихся Субъектами персональных данных в соответствии с настоящей Политикой (далее – Субъектов персональных данных), с целью определения порядка обработки и защиты персональных данных, относящихся к личности и частной жизни Субъектов персональных данных в АНОО «Школа 800» от несанкционированного доступа, их неправомерного использования или утраты.

1.6. Персональные данные Субъекта персональных данных являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено ФЗ о персональных данных.

2. Правовые основания обработки персональных данных
   1. Настоящая Политика разработана в соответствии с положениями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006, Федерального закона от 29.12.2012 № 273-ФЗ

«Об образовании в Российской Федерации», ФЗ о персональных данных и других определяющих случаи и особенности обработки персональных данных нормативно-правовых актов Российской Федерации.

2. 2. Правовыми основаниями обработки персональных данных в Школе являются Устав и иные локальные нормативные акты Школы, а также договоры с физическими лицами, заявления (согласия, доверенности) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, согласия на обработку персональных данных.
3. Цели сбора персональных данных
   1. Обработка персональных данных осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей:

• организация образовательной деятельности по образовательным программам начального общего, основного общего и среднего общего образования, а также дополнительного образования в соответствии с законодательством и Уставом Школы;
• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов;
• организации воспитательно-образовательного процесса в соответствии с законодательством и Уставом Школы;
• регулирование трудовых отношений с работниками Школы;
• реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является Субъект персональных данных;
• обеспечение безопасности;
• иных целей, предусмотренных Положением об обработке и защите персональных данных.

4. Субъекты персональных данных, их права и обязанности, объем и категории обрабатываемых персональных данных
   1. Школа обрабатывает персональные данные:

• кандидатов на замещение вакантных должностей;
• работников, в том числе бывших; родственников работников, в том числе бывших;
• обучающихся;
• родителей (законных представителей) обучающихся;
• физических лиц по гражданско-правовым договорам;
• физических лиц, указанных в заявлениях (согласиях, доверенностях) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся;
• пользователей Сайта Школы;
• физических лиц – посетителей Школы.
  2. Субъект персональных данных в целях обеспечения защиты своих персональных данных, хранящихся в Школе, имеет право:

• получать полную информацию о своих персональных данных и их обработке;
• определять своих представителей для защиты своих персональных данных;
• требовать исключения или исправления неверных или неполных персональных данных, также данных, обработанных с нарушениями настоящей Политики и законодательства РФ.
• при отказе Школы исключить или исправить его персональные данные, Субъект персональных данных вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;
• требовать от Школы извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
• дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;
• обжаловать действия или бездействие Школы в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
  3. Субъект персональных данных обязан:

• в случаях, предусмотренных законодательством, предоставлять Школе достоверные персональные данные;
• при изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Школе.
  4. Перечень персональных данных, обрабатываемых в Школе, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Школы с учетом целей обработки персональных данных, указанных в разделе 3 настоящей Политики.
  5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, допускается только в случаях и в порядке, предусмотренных законом.
  6. Биометрические персональные данные Школа не обрабатывает.
  7. Обработка персональных данных, разрешенных Субъектом персональных данных для распространения, осуществляется в Школе на основании согласия Субъекта персональных данных на распространение с соблюдением установленных Субъектом персональных данных запретов и условий на обработку персональных данных.

5. Порядок и условия обработки персональных данных
   1. Персональные данные хранятся в форме, позволяющей определить Субъекта персональных данных, не дольше чем этого требуют цели обработки, имеется необходимость в достижении этих целей, и (или) действует срок согласия Субъекта персональных данных на обработку его персональных данных, если иное не установлено ФЗ о персональных данных. По истечению срока хранения, обрабатываемые персональные данные подвергаются уничтожению либо обезличиванию.
      1. В случае предоставления Субъектом персональных данных, его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Школа актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях Субъекта персональных данных.
   2. Школа осуществляет: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
   3. Школа – оператор персональных данных – обязана:
      1. Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия Субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.
      2. Обеспечить Субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.
      3. По запросу Субъекта персональных данных или его законного представителя Школа сообщает ему информацию об обработке его персональных данных.
      4. Разъяснять Субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.
      5. Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.
      6. Прекратить обработку и уничтожить персональные данные либо обеспечить прекращение обработки и уничтожение персональных данных при достижении цели их обработки.
      7. Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, или иным соглашением между Школой и Субъектом персональных данных.
      8. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
   4. Получение персональных данных:

5. 4. 1. Все персональные данные Школа получает от Субъекта персональных данных, а в случаях, когда Субъект персональных данных несовершеннолетний, – от его родителей (законных представителей) либо, если Субъект персональных данных достиг возраста 14 лет, с их согласия.
      2. В случае когда Субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, Школа вправе получить персональные данные такого физического лица от обучающихся, их родителей (законных представителей).
      3. Молчание или бездействие Субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных Субъектом персональных данных для распространения.
      4. Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных.
   5. Хранение персональных данных
      1. Школа хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.
      2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.
      3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
      4. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.
   6. Организация обработки персональных данных
      1. Доступ к обрабатываемым в Школе персональным данным предоставляется исключительно работникам Школы, занимающим должности, функциональные обязанности которых предусматривают обработку соответствующих персональных данных.
      2. Работники Школы осуществляют обработку, включая сбор накопление, хранение, систематизацию, уточнение, извлечение и передачу персональных данных Субъектов, а также обеспечивают их защиту от несанкционированного доступа, неправомерного использования, утраты и уничтожения.
      3. Обработка персональных данных в Школе осуществляется:
         • без использования средств автоматизации на материальных носителях персональных данных (личные дела, справки, отчеты, ведомости и пр.);
         • с использованием средств автоматизации в программах и информационных системах персональных данных, защищенных по требованиям безопасности в соответствии с нормативными и методическими документами ФСТЭК и ФСБ России.
      4. Школа обрабатывает персональные данные в сроки:
         • необходимые для достижения целей обработки персональных данных;
         • определенные законодательством для обработки отдельных видов персональных данных;
         • указанные в согласии Субъекта персональных данных.
      5. Персональные данные Субъектов не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, либо его законных представителей, если иное не предусмотрено международным и российским законодательством.
      6. Школа вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ о персональных данных.
   7. Обеспечение информационной безопасности персональных данных
      1. Безопасность персональных данных, обработка которых осуществляется в Школе, обеспечивается за счет реализации системы защиты персональных данных, включающей организационные и технические меры по защите, необходимые и достаточные для обеспечения выполнения требований нормативных правовых актов в области обработки и защиты персональных данных.
      2. В Школе обеспечивается применение следующих основных организационных и технических мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ о персональных данных, требований подзаконных нормативных правовых актов, а также документов уполномоченных федеральных органов исполнительной власти в сфере защиты информации:
         • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
         • ограничение состава работников, имеющих доступ к персональным данным;
         • ознакомление работников с требованиями федерального законодательства и нормативных документов в Школе, регламентирующих порядок и правила обработки и защиты персональных данных;
         • регистрация и учёт действий пользователей информационных систем персональных данных;
         • защита персональных данных, обрабатываемых в информационных системах персональных данных, от несанкционированного доступа;
         • осуществление антивирусного контроля;
         • применение средств резервного копирования и восстановления информации;
         • ограничение физического доступа в помещения, в которых осуществляется обработка персональных данных.
   8. Прекращение обработки персональных данных:
      1. Школа прекращает обработку персональных данных в следующих случаях:
         • достигнуты цели обработки персональных данных;
         • истек срок действия согласия на обработку персональных данных;
         • отозвано согласие на обработку персональных данных;
         • обработка персональных данных неправомерна.
      2. Решение об уничтожении документов (носителей) с персональными данными принимает комиссия, состав которой утверждается приказом Директора Школы.
      3. Документы (носители), содержащие персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается актом об уничтожении документов (носителей), подписанным членами комиссии.
      4. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер.
      5. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
   9. Передача персональных данных:
      1. Школа обеспечивает конфиденциальность персональных данных.
      2. Школа передает персональные данные третьим лицам в следующих случаях:
         • Субъект персональных данных дал согласие на передачу своих данных;
         • передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.
      3. Школа не осуществляет трансграничную передачу персональных данных.
      4. Работники Школы, имеющие доступ к персональным данным Субъектов персональных данных, при передаче этих данных должны соблюдать следующие требования:
         • не передавать персональные данные без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъектов персональных данных, если получить такое согласие невозможно, для статистических или исследовательских целей (при обезличивании), а также в других случаях, напрямую предусмотренных федеральными законами.
         • предупреждать лиц, которым переданы персональные данные Субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены Субъектами персональных данных. Директор Школы и уполномоченные им лица вправе требовать подтверждения исполнения этого правила.
         • передавать без согласия Субъекта персональных данных информацию в государственные и негосударственные функциональные структуры, в том числе в налоговые инспекции, фонды медицинского и социального страхования, пенсионный фонд, правоохранительные органы, страховые агентства, военкоматы, медицинские организации, контрольно-надзорные органы при наличии оснований, предусмотренных в федеральных законах, или мотивированного запроса от данных структур. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
         • передавать персональные данные представителям Субъектов персональных данных в порядке, установленном законодательством, ограничивая эту информацию только теми персональными данными, которые необходимы для выполнения функций представителя, подтвержденных документально.
         • передавать персональные данные Субъектов персональных данных работникам другого структурного подразделения в порядке и на условиях, определенных локальным актом Школы.
6. Заключительные положения
   1. Настоящая Политика утверждается Директором Школы, вступает в силу со дня её утверждения и действует до принятия новой.
   2. Иные вопросы обработки персональных данных, не урегулированные настоящей Политикой, регулируются действующим законодательством РФ и локальными нормативными актами Школы.
   3. Подлинный экземпляр настоящей Политики хранится в Школе постоянно, а в случае принятия новой – в течение 3 лет.
   4. Школа обеспечивает неограниченный доступ к настоящему документу.