ПОЛОЖЕНИЕ об обработке персональных данных
Положение
об обработке персональных данных работников, учащихся, родителей (законных представителей)
МБОУ СОШ№4 села Горькая Балка
МО Новопокровский район
I. Общие положения
1.1. Положение об обработке персональных данных работников, учащихся, родителей (законных представителей) МБОУ СОШ№4 села Горькая Балка МО Новопокровский район (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации,
Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», иными нормативными актами, действующими на территории Российской Федерации.
1.2. Положение определяет порядок и условия обработки персональных данных работников, учащихся, родителей (законных представителей) в МБОУ СОШ№4 села Горькая Балка МО Новопокровский район (далее – школа) в соответствии с законодательством Российской Федерации.
1.3. Обработка персональных данных работников школы осуществляется в целях:
- исполнения трудового договора;
- содействия в осуществлении работником трудовой деятельности, наиболее полного исполнения им обязанностей и компетенции, определенных
Федеральным законом «Об образовании»;
- содействия в обучении, повышении квалификации и должностном росте;
- обеспечения личной безопасности, защиты жизни и здоровья работника;
- учёта результатов исполнения работником должностных обязанностей;
- статистических и иных научных целях;
- ведения финансово-хозяйственной деятельности;
- формирования и ведения делопроизводства и документооборота, в том числе и в электронном виде.
1.4. Обработка персональных данных учащихся школы, их родителей (законных представителей) осуществляется в целях:
- обеспечения соблюдения федеральных законов и иных нормативных правовых актов;
- учёта детей;
- соблюдения порядка и правил приема в школу;
- индивидуального учёта результатов освоения учащимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
- учёта реализации права учащихся на получение образования в соответствии с государственными стандартами в форме самообразования, экстерната, на обучение в пределах этих стандартов по индивидуальным учебным планам; - учёта учащихся, нуждающихся в социальной поддержке и защите; - учёта учащихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование и профессиональную подготовку, содействие в обучении, трудоустройстве;
- использования в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
- заполнения базы данных по проведению ЕГЭ и аттестации педагогических работников с целью повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
- обеспечения личной безопасности учащихся;
- планирования, организации, регулирования и контроля деятельности школы в целях осуществления государственной политики в области образования.
1.5. В настоящем Положении используются следующие понятия и термины:
а) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
б) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
в) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
г) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
д) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
е) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
ж) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
з) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
и) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
II. Состав персональных данных
2.1. Персональные данные работника – информация, необходимая школе как работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
2.2. К персональным данным работника школы относятся:
- сведения, содержащиеся в документах, удостоверяющих личность;
- информация, содержащаяся в трудовой книжке;
- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
- сведения, содержащиеся в документах воинского учета;
- сведения об образовании, квалификации или наличии специальных знаний или подготовки;
- информация о состоянии здоровья в случаях, предусмотренных законодательством;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о семейном положении; - информация о заработной плате; - другая персональная информация.
2.3. К документам, содержащим информацию персонального характера работника школы, относятся:
- документы, удостоверяющие личность или содержащие информацию персонального характера;
- учетные документы по личному составу, а также вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера;
- трудовые договоры с работниками, изменения к трудовым договорам, договоры о материальной ответственности с работниками;
- распорядительные документы по личному составу (подлинники и копии); - документы по оценке деловых и профессиональных качеств работников при приеме на работу;
- документы, отражающие деятельность конкурсных и аттестационных комиссий;
- документы о результатах служебных расследований;
- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководителю учреждения, руководителям структурных подразделений и служб;
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, органы управления и другие учреждения;
- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;
- медицинские документы, справки;
- другие документы, содержащие сведения персонального характера.
2.3. Персональными данными учащихся, их родителей (законных представителей) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, должность, запись системы видеонаблюдения школы, другая информация.
2.4. При поступлении в школу родителями (законными представителями) учащихся представляется:
- заявление о приеме;
- копия свидетельства о рождении ребёнка;
- копия медицинского полиса ребёнка;
- паспорт одного из родителей;
- медицинская карта ребёнка установленного образца.
III. Условия обработки персональных данных
3.1. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, составленного по форме согласно приложению 1(для работников школы) или приложения 2 (для родителей, законных представителей учащихся) к настоящему Положению. 3.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
3.3. При обработке персональных данных уполномоченные лица обязаны соблюдать следующие требования:
- персональные данные предоставляются самим субъектом персональных данных;
- если персональные данные работника возможно получить только у третьей стороны, то работник уведомляется об этом заранее, от него должно быть получено письменное согласие; работнику сообщается о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; - объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
- защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
- передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами;
- обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных; не допускается обработка персональных данных в присутствии лиц, не допущенных к их обработке;
- хранение персональных данных должно осуществляться в форме, позволяющей определить лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки; указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации; факт уничтожения персональных данных оформляется соответствующим актом;
- опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.
3.4. Структурные подразделения и лица, в ведение которых входит работа с персональными данными, обеспечивают защиту персональных данных от несанкционированного доступа и копирования.
3.5. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:
- получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
- требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, отозвать согласие на обработку персональных данных (форма согласно приложению 3); - обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных лиц.
IV. Порядок обработки персональных данных
4.1. Порядок обработки персональных данных без использования средств автоматизации
4.1.1. При обработке персональных данных без использования средств автоматизации не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
4.1.2. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес школы, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.1.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.1.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
4.2. Порядок обработки персональных данных в информационных системах
4.2.1. Обработка персональных данных в школе осуществляется:
4.2.2. В локальной компьютерной сети, включающей данные работников:
- фамилию, имя, отчество;
- должность;
- служебные сообщения; - иные сведения.
4.2.3. В целях обеспечения антитеррористических мер защищённости объекта, профилактики нарушений правил внутреннего распорядка в школе установлена система видеонаблюдения.
4.2.4. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
4.2.5. Уполномоченными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации.
4.2.6. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
3.2.7. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям не допускается.
3.2.8. Доступ пользователей к данным в информационных системах осуществляется с применением индивидуальных логинов и паролей.
3.2.9. Лицами, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, обеспечивается:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководителя школы;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; - учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.2.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными лицами принимаются меры по установлению причин нарушений и их устранению.
V. Доступ к персональным данным
5.1. Приказом директора школы назначается сотрудник, ответственный за организацию обработки персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных в рамках служебной деятельности.
5.2. Документы персонального характера на бумажных носителях хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.
5.3. Право внутреннего доступа к персональным данным работника имеют:
- директор школы;
- руководители структурных подразделений школы по направлению деятельности (доступ к документам, содержащим персональные данные подчиненного им сотрудника);
- руководитель иного подразделения при переводе работника из одного структурного подразделения в другое;
- работник-субъект персональных данных;
- работник по кадровым вопросам;
- работники бухгалтерии (к данным, которые необходимы для выполнения функций налогового агента, страхователя по видам обязательного социального страхования, оплаты труда);
- системный администратор (к данным, которые необходимы для выполнения функций заполнения и функционирования школьного сайта).
5.5. Руководители структурных подразделений имеют право ознакомиться с документами, содержащими персональные данные подчиненного им работника, в присутствии сотрудника, ответственного за работу с соответствующими документами.
5.6. Работник имеет право ознакомиться с документами, содержащими его персональные данные, в присутствии лица, ответственного за работу с соответствующими документами.
5.7. Право внутреннего доступа к персональным данным обучающихся и, их родителей (законных представителей) имеют:
- директор школы;
- родители (законные представители) обучающегося, воспитанника;
- работники бухгалтерии (к данным, которые необходимы для выполнения функций по приёму платы за организацию питания, платы за содержание ребёнка в дошкольном образовательном учреждении, платы за оказание
дополнительных платных образовательных услуг);
- классный руководитель;
- руководители структурных подразделений (к данным, которые необходимы для выполнения должностных функций);
- учителя, педагоги дополнительного образования (к данным, которые необходимы для выполнения функций индивидуального учёта успеваемости и посещаемости);
- системный администратор (к данным, которые необходимы для выполнения функций заполнения и функционирования школьного сайта).
5.8. Внешний доступ к персональным данным осуществляется при соблюдении требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.9. Организации, в которые работник может перечислять денежные средства (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только при наличии его письменного разрешения.
5.10. Сведения о работающем или уволенном работнике могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника.
54.11. Персональные данные работника могут быть предоставлены его уполномоченному представителю.
5.12. Получателями персональных данных работника на законном основании являются:
- органы социального страхования, органы пенсионного обеспечения, а также иные органы в соответствии с Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования» – по всем видам обязательного социального страхования с момента заключения с работником трудового договора;
- налоговые органы в соответствии со ст. 24 Налогового кодекса Российской Федерации в целях контроля за правильностью исчисления, удержания и перечисления налогов налоговым агентом;
- федеральная инспекция труда в соответствии со ст. 357 Трудового кодекса Российской Федерации при осуществлении надзорно-контрольной деятельности – непосредственно по предмету проверки;
- другие органы и организации в случаях, предусмотренных федеральным законом.
5.13. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных, либо отсутствует письменное согласие субъекта на передачу его персональных данных, Гимназия вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.
VI. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Работники школы, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Приложение к приказу от 27 августа 2015г. № 217
Директор МБОУ СОШ №4: М.А. Беляева