1.Общие положения
Согласно Статье Федерального закона от 25.07.2006 г. № 152‑ФЗ МБОУ «Кандатская СШ» как оператор персональных данных обязан опубликовать, или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
МБОУ «Кандатская СШ» в рамках выполнения своей деятельности осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом № 152 от 27.07.2006 г. «О персональных данных» и иными нормативными правовыми актами Российской Федерации (далее - РФ). Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются МБОУ «Кандатская СШ», цели и правовые основания их обработки закреплены для каждой информационной системы МБОУ «Кандатская СШ» «Перечнем персональных данных, обрабатываемых в ИСПДН».
С целью поддержания деловой репутации и обеспечения выполнения законодательных требований МБОУ «Кандатская СШ» считает для себя обязательным обеспечение соответствия обработки персональных данных требованиям законодательства РФ в области защиты информации и персональных данных, и требует аналогичных мер от третьих лиц, которым передаются и (или) могут передаваться персональные данные на основании п.3 Постановления Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Принципы, правила и цели обработки персональных данных
Обработка персональных данных осуществляется МБОУ «Кандатская СШ» с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152‑ФЗ «О персональных данных»:
‑ обработка персональных данных осуществляется на законной и справедливой основе;
‑ обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
‑ не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
‑ не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
‑ обработке подлежат только персональные данные, которые отвечают целям их обработки;
‑ содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
‑ обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
‑ при обработке персональных данных обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- МБОУ «Кандатская СШ» принимает необходимые меры по удалению или уточнению неполных или неточных данных;
‑ хранение персональных данных в МБОУ «Кандатская СШ»осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, к примеру Федеральный Закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации» или договором, стороной которого является субъект персональных данных;
‑ обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ;
Обработка персональных данных осуществляется МБОУ «Кандатская СШ» только в случаях:
‑ наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;
- наличия заключенного договора, по которому МБОУ «Кандатская СШ» обязуется осуществлять обработку персональных данных субъектов по поручению оператора;
‑ необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на МБОУ «Кандатская СШ» функций, полномочий и обязанностей;
‑ необходимости осуществления прав и законных интересов МБОУ «Кандатская СШ» или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
‑ когда персональные данные открыты для неограниченного круга лиц, доступ к которым предоставлен субъектом персональных данных либо по его просьбе;
‑ обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;
- организации пропускного режима на территории МБОУ «Кандатская СШ».
Согласно требованиям Федерального закона № 152 от 27.07.2006 г. «О персональных данных», МБОУ «Кандатская СШ»в установленном порядке прошел регистрацию как оператор персональных данных. В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного лица по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:
‑ адрес МБОУ «Кандатская СШ»;
‑ цели обработки персональных данных;
‑ категории персональных данных;
‑ категории субъектов, персональные данные которых обрабатываются;
‑ правовое основание обработки персональных данных;
‑ перечень действий с персональными данными, общее описание используемых МБОУ «Кандатская СШ» способов обработки персональных данных;
‑ фамилия, имя, отчество физического лица, ответственного в МБОУ «Кандатская СШ» за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
‑ описание мер, которые МБОУ «Кандатская СШ» обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке
‑ дата начала обработки персональных данных;
‑ срок или условие прекращения обработки персональных данных;
‑ сведения о наличии трансграничной передачи персональных данных в процессе их обработки.
МБОУ «Кандатская СШ» обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ и договором с субъектом.
МБОУ «Кандатская СШ» не обрабатывает специальные и биометричесике категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. (данный абзац необходимо рассматривать субъективно для каждой информационной системы персональных данных оператора.)
МБОУ «Кандатская СШ» не осуществляет трансграничную передачу персональных данных субъектов персональных данных.
МБОУ «Кандатская СШ» не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
Меры, направленные на обеспечение выполнения МБОУ «Кандатская СШ» обязанностей, предусмотренных законодательством РФ.
МБОУ «Кандатская СШ» осуществляет следующие организационно-технические меры для защиты персональных данных:
‑ назначение МБОУ «Кандатская СШ» лица, ответственного за организацию обработки персональных данных;
‑ издание документов, определяющих политику МБОУ «Кандатская СШ» в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
‑ применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152 «О персональных данных», включая:
‑ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных МБОУ «Кандатская СШ»
‑ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МБОУ «Кандатская СШ», необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
‑ применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
‑ оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных МБОУ «Кандатская СШ»‑ учет машинных носителей персональных данных;
‑ обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
‑ восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
‑ установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных МБОУ «Кандатская СШ», а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных МБОУ «Кандатская СШ»;
‑ контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных МБОУ «Кандатская СШ»
‑ осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике МБОУ «Кандатская СШ» в отношении обработки персональных данных, локальным актам МБОУ «Кандатская СШ»;
‑ оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых МБОУ «Кандатская СШ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
‑ ознакомление работников МБОУ «Кандатская СШ», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику МБОУ «Кандатская СШ» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- доступ к содержанию электронного журнала сообщений возможен исключительно для администратора безопасности, или структурного подразделения, ответственного за обеспечение безопасности персональных дынных в информационных системах МБОУ «Кандатская СШ»
Право субъекта персональных данных на доступ к его персональным данным
4.1. Субъект персональных данных имеет право на получение сведений, указанных в части 6 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе требовать от законных представителей МБОУ «Кандатская СШ»уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.2. Сведения, указанные в части 6 настоящего раздела, предоставляются законными представителями МБОУ «Кандатская СШ» субъекту персональных данных в доступной форме.
4.3. Сведения, указанные в части 6 настоящего раздела, предоставляются субъекту персональных данных или его представителю законными представителями МБОУ «Кандатская СШ» при получении запроса субъекта персональных данных или его представителя в письменной форме.
4.4. В случае, если сведения, указанные в части 6 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к законным представителям МБОУ «Кандатская СШ» или направить МБОУ «Кандатская СШ» повторный запрос в письменной форме в целях получения сведений, указанных в части 6 настоящего раздела, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
4.5. Субъект персональных данных вправе обратиться повторно к законному представителю МБОУ «Кандатская СШ» или направить повторный письменный запрос в МБОУ «Кандатская СШ» в целях получения сведений, указанных в части 6 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящего раздела, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
4.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных МБОУ «Кандатская СШ» ;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые МБОУ «Кандатская СШ» способы обработки персональных данных;
4) наименование и место нахождения МБОУ «Кандатская СШ» , сведения о лицах (за исключением работников образовательного учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с МБОУ «Кандатская СШ» или на основании законодательства РФ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению МБОУ «Кандатская СШ» , если обработка поручена или будет поручена такому лицу.
Правила работы с обезличенными персональными данными
МБОУ «Кандатская СШ»
ОБЩИЕ ПОЛОЖЕНИЯ
-
- Настоящие Правила работы с обезличенными персональными данными МБОУ «Кандатская СШ» разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
- Настоящие Правила определяют порядок работы с обезличенными данными МБОУ «Кандатская СШ» Настоящие Правила утверждаются директором МБОУ «Кандатская СШ» и действует постоянно.
УСЛОВИЯ ОБЕЗЛИЧИВАНИЯ.
-
- Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных МБОУ «Кандатская СШ» и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
- Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
- Для обезличивания персональных данных годятся любые способы явно не запрещенные законодательно.
- Перечень должностей государственных гражданских служащих МБОУ «Кандатская СШ» ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в п.4 настоящих Правил;
- Руководитель МБОУ «Кандатская СШ» принимает решение о необходимости обезличивания персональных данных;
- Начальники отделов, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания, если это необходимо;
- Сотрудники подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
ПОРЯДОК РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ
-
- Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
- Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
- При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем;
- иных предусмотренных законодательством РФ законов и правовых актов.
- При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся;
- иных предусмотренных законодательством РФ законов и правовых актов.
ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ МБОУ «Кандатская СШ»
ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Директор (и.о.диретора)
- Заместители директора
- Методист
- Секретарь школы
- Заведующий филиалом
- Бухгалтер
- Педагоги
- Классные руководители
- Социальный педагог
- Операторы баз данных МБОУ «Кандатская СШ»
- Педагоги
- Классные руководители
- Социальный педагог
- Операторы баз данных МБОУ «Кандатская СШ»