Политика в отношении обработки персональных данных

1.  ВВЕДЕНИЕ
   1. Политика в отношении обработки персональных данных, обрабатываемых в информационных системах  персональных данных  ОГБОУ «Михайловская школа-интернат» (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. 2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах     ОГБОУ «Михайловская школа-интернат»

                          (наименование организации)

(далее – Учреждение).

1. 3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных обучающихся и сотрудников ОГБОУ «Михайловская школа-интернат»_________________________________________________________________________

                                                           (указать чьи данные обрабатываются)

в автоматизированных информационных системах персональных данных Учреждения (далее – ИСПДн Учреждения).

2.  ПЕРЕЧЕНЬ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
   1. Перечень персональных данных, подлежащих защите в Учреждении, формируется в соответствии с федеральным законодательством о персональных данных и утверждается приказом Учреждения, устанавливающим принимаемые меры по защите персональных данных и ответственность должностных лиц. Персональные данные граждан (любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)) включены в Перечень ПДн, утвержденный приказом Учреждения.
   2. В Учреждении обрабатываются следующие виды персональных данных (перечислить виды ПДн, пример, паспортные данные, ФИО и т.д.):

Персональные данные сотрудников Учреждения включают:

• Фамилия, имя, отчество;
• Место, год и дата рождения;
• Адрес по прописке;
• Адрес проживания (реальный);
• Паспортные данные (серия, номер паспорта, кем и когда выдан);
• Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• Информация о трудовой деятельности до приема на работу;
• Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
• Телефонный номер (домашний, рабочий, мобильный);
• Семейное положение и состав семьи (муж/жена, дети);
• Информация о знании иностранных языков;
• Форма допуска;
• Оклад;
• Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
• Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
• ИНН;
• Данные об аттестации работников;
• Данные о повышении квалификации;
• Данные о наградах, медалях, поощрениях, почетных званиях;
• Информация о приеме на работу, перемещении по должности, увольнении;
• Информация об отпусках;
• Информация о командировках;
• Информация о болезнях.

Персональные данные обучающихся включают:

• Данные свидетельства о рождении;
• Данные паспорта;
• Данные медицинской карты;
• Данные СНИЛС;
• Адрес проживания ребенка;
• Оценка успеваемости ребенка;
• Учебные работы ребенка.

1. 3. Перечисленные выше виды персональных данных относятся к следующим категориям:                         общедоступных персональных данных.

                                                 (указать категории ПДН)

3.  ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Под обработкой персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.2       Обработка персональных данных в ИСПДн Учреждения осуществляется в следующих целях: (перечислить цели обработки ПДн)

• оформление, выполнение, прекращение гражданско-правовых отношений работниками,  иными лицами в случаях, указанных в законодательстве РФ и в Уставе организации;
• организация работы с кадрами – учет сотрудников, обеспечение выполнения требований законодательства о труде, подписание и исполнение различных обязательств в отношении трудовых, гражданско-правовых соглашений;
• выполнение функций кадрового делопроизводства, помощь сотрудникам в оформлении на работу, освоении новой профессии, использовании льгот, компенсаций;
• реализация требований законов о налогообложении в вопросах начисления, внесения налоговых платежей с доходов физлиц, ЕСН, пенсионных законов во время формирования, передачи в Пенсионный фонд данных персонификации относительно каждого получателя страховых выплат;
• внесение данных в первичную статистическую документацию по Трудовому, Налоговому кодексам, а также федеральным законам.

3.3 В соответствии с Федеральным законом РФ от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ИСПДн Учреждения относится к государственным информационным

                        (относится / не относится)

системам персональных данных.

4.  СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1       Хранение персональных данных субъектов осуществляется оператором на бумажных и электронных носителях с ограниченным к ним доступом.

4.2       Оператор, хранящий персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства РФ 15 сентября 2008 г. N 687.

4.3       В случае расторжения трудового договора с Оператором, непосредственно осуществляющего обработку персональных данных, Оператор даёт обязательство прекратить обработку персональных данных.

4.4         Оператор, непосредственно осуществляющий обработку персональных данных, дают обязательство о неразглашении персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

4.5         Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей.

4.6         Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.  ПРАВА И ОБЯЗАННОСТИ

5.1       Учреждение, как оператор персональных данных, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

5.2       Учреждение обязано опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

5.3       Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.  ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1        Обработка персональных данных в ИСПДн Учреждения осуществляется на основе принципов:

• законности и справедливости целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

6.2        Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

7.  ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

7.1       Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.2       В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное непредусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

7.3       Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих данных.

7.4       Уничтожение персональных данных осуществляется специально сформированной комиссией по Акту уничтожения.

8.  ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1       С целью предотвращения нарушений законодательства Российской Федерации в сфере персональных данных проводятся следующие процедуры (мероприятия, работы):

- назначение оператора, ответственного за организацию обработки персональных данных;

- издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учёт машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

9.  ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1       Настоящая Политика является внутренним документом Учреждения, является общедоступной и подлежит размещению на официальном сайте Учреждения.

9.2       Настоящая Политика может быть изменена в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных или переутверждена при отсутствии изменений, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения приказом.

9.3.      Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.

9.4.      Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Учреждения.