Положение об обработке персональных данных субъектов образовательного процесса (работников, обучающихся и их родителей) МОУ Кагальницкой СОШ №1.

ОТДЕЛ ОБРАЗОВАНИЯ КАГАЛЬНИЦКОГО РАЙОНА

МУНИЦИПАЛЬНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ КАГАЛЬНИЦКАЯ СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА № 1

(МОУ Кагальницкая СОШ № 1)

ДИРЕКТОР

______________Н.А. МОЛОДОВА

«___»___________2017

Приказ от 19.02.2017 № 53


Положение

об обработке персональных данных субъектов образовательного процесса

(работников, обучающихся и их родителей)

МОУ Кагальницкой СОШ №1.

I. Общие положения

1.1. Настоящее Положение об обработке персональных данных субъектов образовательного процесса (работников, обучающихся и их родителей) - (далее - субъекты ОП) МОУ Кагальницкой СОШ №1 (далее – Положение) разработано в целях защиты персональных данных работников, обучающихся и их родителей от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об образовании», Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка Учреждения, Уставом.

1.3. Положение определяет порядок обработки персональных данных субъектов ОП; обеспечение защиты их прав и свобод при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов ОП, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Персональные данные не могут быть использованы в целях:

· причинения имущественного и морального вреда гражданам;

· затруднения реализации прав и свобод граждан Российской Федерации

1.5. Положение утверждается директором Учреждения, является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным. Положение действует бессрочно, до замены его новым Положением.

1.6. Все изменения в Положение вносятся приказом директора.

II. Основные понятия и состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия:

· персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации человеку, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Учреждению для осуществления уставной деятельности;

· обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов ОП;

· конфиденциальность персональных данных - обязательное для соблюдения назначенных ответственных лиц, получивших доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания;

· распространение персональных данных - действия, направленные на передачу персональных данных субъектов ОП определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов ОП в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;

· использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов ОП либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

· блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов ОП, в том числе их передачи;

· уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов ОП или в результате которых уничтожаются материальные носители персональных данных субъектов ОП;

· обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;

· общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

· информация - сведения (сообщения, данные) независимо от формы их представления ;

· документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных субъектов ОП Учреждения входят документы, содержащие следующую информацию:

· анкетные и биографические данные;

· сведения об образовании;

· сведения о трудовом и общем стаже;

· сведения о составе семьи;

· паспортные данные;

· сведения о воинском учете;

· сведения о заработной плате;

· сведения о социальных льготах;

· наименование специальности;

· занимаемая должность;

· сведения о наличии судимостей;

· адрес места жительства;

· домашний телефон, контактный телефон;

· место работы или учебы членов семьи и родственников;

· содержание трудового договора;

· подлинники и копии приказов по личному составу;

· личные дела и трудовые книжки;

· основания к приказам по личному составу;

· дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

· копии отчетов, направляемые в органы статистики и другие данные, необходимые для осуществления уставной деятельности Учреждения.

2.3. Комплект документов, сопровождающий процесс оформления ребенка в Учреждение:

2.3.1. Информация, представляемая родителем (законным представителем) при оформлении ребенка в Учреждение, должна иметь документальную форму. Для зачисления в Учреждение родители (законные представители) представляют следующие документы:

· заявление установленной формы на имя директора;

· копию свидетельства о рождении ребенка,

· медицинскую карту ребенка,

· заключение ПМПК (если таковое имеется).

2.3.2. При оформлении в Учреждение ребенка классным руководителем заполняются унифицированная форма «Личное дело учащегося», а также в классный журнал, в которых в том числе отражаются следующие данные о родителях: фамилия, имя, отчество, адрес, контактный телефон, место работы.

III. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Обработка персональных данных субъектов ОП возможна только с их согласия либо без их согласия в следующих случаях:

· персональные данные являются общедоступными;

· по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом .

3.1.2. Учреждение вправе обрабатывать персональные данные субъектов ОП только с их письменного согласия.

3.1.3. Если персональные данные субъекта ОП возможно получить только у третьей стороны, то субъект ОП должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных.

3.1.4. Работодатель не имеет права требовать у субъектов ОП данные о его политических, религиозных и иных убеждениях и частной жизни, о членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством.

3.1.5. Письменное согласие субъекта ОП на обработку своих персональных данных должно включать в себя:

· фамилию, имя, отчество, адрес субъекта персональных данных;

· наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

· цель обработки персональных данных

· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

3.1.6. Согласие субъекта ОП не требуется в следующих случаях:

· обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

· обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

· обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта , если получение его согласия невозможно.

3.1.7. Для защиты персональных данных работников необходимо соблюдать ряд мер:

· ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

· строгое избирательное и обоснованное распределение документов и информации между работниками;

· рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

· знание работником требований нормативно-методических документов по защите информации и сохранению тайны;

· наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

· определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

· организация порядка уничтожения информации;

· своевременное выявление нарушений требований разрешительной системы доступа работниками подразделения;

· воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

· не допускается выдача личных дел сотрудников на рабочие места руководителей.

3.1.8. Личные дела работников и учащихся могут выдаваться на рабочие места только директору или его заместителям.

3.1.9. Все папки, содержащие персональные данные работников, должны быть защищены паролем, который сообщается директору.

3.1.10. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

· порядок приема, учета и контроля деятельности посетителей;

· технические средства охраны, сигнализации;

· порядок охраны территории, зданий, помещений;

· требования к защите информации при интервьюировании и собеседованиях.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.1. В целях обеспечения прав и свобод человека и гражданина директор Учреждения и его представители при обработке персональных данных субъектов должны соблюдать следующие общие требования:

3.2.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в обучении, воспитании и оздоровлении, обеспечения личной безопасности субъектов, обеспечения сохранности имущества субъекта.

3.2.1.2. При определении объема и содержания, обрабатываемых персональных данных необходимо руководствоваться Конституцией Российской Федерации, Законом РФ «Об образовании» и иными федеральными законами.

IV. Передача и хранение персональных данных

4.1. При передаче персональных данных работника необходимо соблюдать следующие требования:

4.1.1. Не сообщать персональные данные субъекта ОП третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.

4.1.2. Предупредить лиц, получивших персональные данные субъекта ОП, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).

4.1.3. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретной функции.

4.2. Персональные данные субъектов обрабатываются и хранятся в специально отведенных помещениях (приемная директора, кабинеты заместителей, архив и др.).

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.

4.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.5. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

4.6. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных работников Экземпляр Соглашения хранится у директора.

4.7. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации.

4.8. Помещения, в которых хранятся персональные данные работников, должны быть оборудованы надежными замками.

4.9. Помещения, где хранится информация о персональных данных, в рабочее время при отсутствии в них работников должны быть закрыты.

4.10. Проведение уборки помещения, где хранится информация о персональных данных, должно производиться в присутствии работников.

V. Доступ к персональным данным субъектов

5.1. Право доступа к персональным данным имеют:

· директор Учреждения;

· секретарь Учреждения;

· заместители руководителя Учреждения;

· медицинский работник Учреждения;

· классные руководители, воспитатели Учреждения;

· социальный педагог, психолог;

· сотрудники МУ КР «Расчетный центр».

5.2. право доступа к персональным данным вне организации имеют государственные и негосударственные функциональные структуры:

· налоговые органы;

· правоохранительные органы;

· органы статистики;

· страховые агентства;

· военкоматы;

· органы социального страхования;

· пенсионные фонды;

· подразделения муниципальных органов управления.

5.3. Субъект персональных данных Учреждения имеет право:

5.3.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.

5.3.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Учреждения персональных данных.

5.3.3. Получать от Учреждения

· сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

· перечень обрабатываемых персональных данных и источник их получения;

· сроки обработки персональных данных, в том числе сроки их хранения;

· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.3.4. Требовать извещения Учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.3.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Учреждения при обработке и защите его персональных данных.

5.4. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения директора.

5.5. Передача информации третьей стороне возможна только при письменном согласии субъекта данных.

VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта.

YII Заключительные положения

7.1. Настоящее Положение вступает в силу с момента его утверждения директором и вводится в действие приказом директора.

7.2. Положение обязательно для всех работников учреждения, если иные условия не предусмотрены в трудовом договоре работника.

7.3. Директор вправе вносить изменения и дополнения в Положение. Работники должны быть поставлены в известность о вносимых изменениях и дополнениях за 5 дней до вступления их в силу посредством издания директором приказа и ознакомления с ним всех работников.