ПОЛОЖЕНИЕ
об обработке и защите персональных данных
Настоящее Положение по обработке и защите персональных данных и проведению работ по обеспечению безопасности персональных данных при их обработке в МБОУ лицее № 3 (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными актами, действующими на территории Российской Федерации.
Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в МБОУ лицее №3, как с использованием средств автоматизации, так и без использования таких средств.
Настоящее Положение утверждается руководителем МБОУ лицея №3.
Действие Положения распространяется на все структурные подразделения МБОУ лицея №3.
Настоящее Положение доводится до сведения всех работников МБОУ лицея №3 в части, касающейся обработки их персональных данных, а также в полном объеме до работников, осуществляющих обработку персональных данных, под подпись.
Все изменения в настоящее Положение вносятся приказом руководителя МБОУ лицея №3.
Контроль за выполнением настоящего Положения возложен на лицо, ответственное за организацию обработки персональных данных в МБОУ лицее №3.
МБОУ лицеем №3 осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- Работники МБОУ лицея №3;
- Бывшие работники МБОУ лицея №3;
- Близкие родственники работников МБОУ лицея №3;
- Кандидаты на трудоустройство;
- Контингент обучающийся;
- Законные представители обучающихся;
- Поступающие;
- Законные представители поступающих;
- Победители торгов - индивидуальные предприниматели;
- Посетители сайта https://liczej3surgut-r86.gosweb.gosuslugi.ru/.
Обработка ПДн работников МБОУ лицея № 3 осуществляется в целях:
- выплаты заработной платы;
- оформления и вьшлаты пособий;
- кадрового администрирования;
- ведение военно-учетного стола;
- размещения информации о работниках МБОУ лицея №3 на сайте https://liczej3surgut- r86.gosweb.gosuslugi.ru/ в соответствующем разделе.
Обработка ПДн бывших работников МБОУ лицея №3 и родственников работников МБОУ лицея №3 осуществляется в целях кадрового администрирования.
Обработка ПДн кандидатов на трудоустройство осуществляется в целях принятия решения о трудоустройстве, а также ведения кадрового резерва.
Обработка ПДн контингента обочающихся и их законных представителей осуществляется в целях организации образовательного процесса.
Обработка ПДн поступающих и их законных представителей осуществляется в целях принятия решения о зачислении.
Обработка ПДн посетителей сайта https://Hczej3surgut-r86.gosweb.gosuslugi.ru/ осуществляется в целях:
- проведения аналитических исследований относительно использования сайта;
- обеспечения удобства использования сайта.
Перечень обрабатываемых ПДн субъектов и сроки обработки приведены в утвержденном организационно-распорядительном документе МБОУ лицея №3 «Перечень персональных данных, целей, сроков и правовых оснований их обработки в МБОУ лицее №3».
Действия и способы обработки персональных данных определены Политикой в отношении обработки персональных данных.
- Организация обработки персональных данных
- Назначение ответственных лиц
Лицо, ответственное за организацию обработки персональных данных в МБОУ лицее №3, назначается и освобождается от обязанностей приказом руководителя МБОУ лицея №3.
Лицо, ответственное за организацию обработки персональных данных, подчиняется непосредственно руководителю и подотчетно ему.
Лицо, ответственное за организацию обработки персональных данных, обязано:
- руководить работой комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных;
- осуществлять внутренний контроль за соблюдением работниками МБОУ лицея №3 законодательства о персональных данных;
- обеспечивать доведение до сведения работников МБОУ лицея №3 положений законодательства Российской Федерации о персональных данных, локальных актов МБОУ лицея №3 по вопросам обработки персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных (их представителей) и осуществлять контроль за приемом и обработкой таких обращений и запросов.
Лицо, ответственное за организацию обработки персональных данных, получает необходимую информацию от структурных подразделений МБОУ лицея №3 для взаимодействия с уполномоченным органом по защите прав субъектов персональных данных.
Допуск работников МБОУ лицея №3 к обработке персональных данных осуществляется на основании приказа о назначении на должность в соответствии с Перечнем лиц, доступ которых к защищаемой информации, в том числе обрабатываемой в информационных системах персональных данных МБОУ лицея №3, необходим для выполнения служебных (трудовых) обязанностей, после выполнения следующих мероприятий:
- ознакомления под подпись с руководящими документами МБОУ лицея №3 по обработке и защите персональных данных;
- оформления письменного обязательства о неразглашении персональных данных.
Работники МБОУ лицея №3, допущенные к обработке персональных данных, получают доступ только к тем персональным данным, которые необходимы им для выполнения служебных (трудовых) обязанностей.
Персональные данные субъекта получаются, как правило, от него самого, за исключением случаев, когда их получение возможно только у третьей стороны.
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных действующим законодательством. Формы согласий на обработку ПДн утверждаются отдельными локальными нормативно-правовыми актами МБОУ лицея №3.
Получение персональных данных субъекта у третьей стороны возможно только при уведомлении субъекта об этом заранее.
МБОУ лицеем №3 не осуществляется обработка персональных данных субъекта о его политических, религиозных и иных убеждениях, частной жизни, за исключением случаев, непосредственно связанных с вопросами трудовых отношений. В данных случаях, в соответствии со статьей 24 Конституции Российской Федерации, МБОУ лицей №3 вправе обрабатывать данные о частной жизни субъекта только с его письменного согласия.
МБОУ лицеем №3 не осуществляется обработка персональных данных субъекта, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные.
МБОУ лицеем №3 не осуществляется обработка персональных данных субъекта о его членстве в общественных объединениях, за исключением случаев, предусмотренных действующим законодательством.
Систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных.
Работники МБОУ лицея №3, допущенные к обработке персональных данных, обеспечивают их обработку, исключающую несанкционированный доступ к ним третьих лиц.
Передача (распространение, предоставление, доступ) персональных данных субъектов третьим лицам может осуществляться только при наличии письменного согласия субъекта, если иное не предусмотрено федеральным законодательством.
В случае если МБОУ лицей №3 заключает с третьим лицом договор, в рамках которого предполагается передача персональных данных, для принимающей персональные данные стороны в договоре должны быть определены цели обработки и перечень действий (операций) с персональными данными, а также обязанность соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации в области обработки и защиты персональных данных. При этом рекомендуется использовать типовую форму поручения на обработку персональных данных третьим лицам, приведенную в приложении №1 к настоящему Положению, или дополнять соответствующие договоры следующим пунктом:
«<Наименование юридического лица, принимающего персональные данные> должно обрабатывать получаемые в рамках договора персональные данные с целью(-ями) <указать цель (цели) обработки персональных данных>, совершать с ними (персональными данными) следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также обязуется соблюдать конфиденциальность и обеспечивать безопасность получаемых персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации в области персональных данных».
Передача персональных данных субъектов между подразделениями МБОУ лицея №3 осуществляется только между работниками, допущенными к обработке персональных данных.
Персональные данные включаются в состав конфиденциальной информации МБОУ лицея №3 и передача контрагенту электронных версий документов, содержащих персональные данные, осуществляется работником МБОУ лицея №3 в защищенном виде (архивирование с паролем).
Хранение персональных данных субъектов осуществляется на материальных носителях информации в специально выделенных хранилищах (запираемых шкафах или сейфах) подразделений МБОУ лицея №3, а также в информационных системах персональных данных, используемых МБОУ лицеем №3, обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа.
Хранение персональных данных субъектов осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
В каждом подразделении, имеющем доступ и (или) осуществляющем обработку персональных данных, должны быть определены места постоянного хранения материальных носителей персональных данных в запираемых шкафах или сейфах.
Обязанности по заполнению, хранению и выдаче документов, содержащих персональные данные субъектов, возлагаются на работника МБОУ лицея № 3, в чьи полномочия входит работа с такими документами.
Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации производится в соответствии с Федеральным законом 152-ФЗ и Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации производится в течение тридцати дней с даты достижения цели обработки (предельного срока хранения) персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем разделе, МБОУ лицей №3 осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБОУ лицея №3) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
Уничтожение персональных данных должно быть зафиксировано МБОУ лицеем №3 в следующих документах:
- Акт уничтожения персональных данных (форма акта приведена в приложении №2 к настоящему Положению);
- Журнал регистрации событий в ИСПДн, если персональные данные, обрабатывались с использованием средств автоматизации
по каждому такому факту, в том числе по истечении срока обработки.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 (трех) лет с момента уничтожения персональных данных.
Согласно ст. 22 Федерального закона 152-ФЗ МБОУ лицей №3 уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных.
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных МБОУ лицей №3 также уведомляет об этом уполномоченный орган в порядке и сроки указанным в п. 2 Порядка взаимодействия с уполномоченным органом по защите прав субъектов персональных данных.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Работники МБОУ лицей №3 и лица, заключившие с МБОУ лицеем №3 договоры гражданско-правового характера, перед обработкой персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется МБОУ лицеем №3 без использования средств автоматизации (форма подтверждения уведомления о неавтоматизированной обработке персональных данных приведена в приложении №3 к настоящему Положению).
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес МБОУ лицея №3, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых МБОУ лицеем №3 способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, персональные данные которых содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
При обработке персональных данных без использования средств автоматизации должно обеспечиваться раздельное хранение персональных данных (материальных носителей персональных данных), обработка которых осуществляется в различных целях.
Материальные носители персональных данных должны храниться в закрываемых на замок шкафах, тумбах или сейфах, доступ к которым имеют только работники с соответствующими должностными обязанностями. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
Организация приема и обработки запросов и предписаний уполномоченного органа по защите прав субъектов персональных данных осуществляется Лицом, ответственным за организацию обработки персональных данных.
При обработке запросов уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, а так же обращений субъектов персональных данных ответственное лицо руководствуется Федеральным законом 152-ФЗ.
Получаемые запросы (предписания), а также ответы на них не должны нарушать конституционные права и свободы других лиц.
Иные права и обязанности работников, в служебные обязанности которых входит обработка персональных данных, определяются также их должностными инструкциями.
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном федеральными законами.
В случае обнаружения фактов несоблюдения условий обработки и защиты ПДн ответственный за организацию обработки персональных данных проводит соответствующие разбирательства (порядок проведения разбирательств по фактам несоблюдения условий обработки и защиты ПДн приведен в приложении №4 к настоящему Положению).
Разглашение персональных данных, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) МБОУ лицея №3, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания - замечания, выговора, увольнения.
Работники, допущенные к обработке персональных данных и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения его действиями ущерба МБОУ лицею №3 (пункт 7 статьи 243 Трудового кодекса Российской Федерации).
Работники МБОУ лицея №3, имеющие доступ к персональным данным, виновные в их незаконном разглашении или использовании без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со статьей 183 Уголовного кодекса Российской Федерации
