1.1. Целью данного Положения является защита персональных данных сотрудников и учащихся МБОУ СОШ с. Киселёвка их родителей (законных представителей) от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статьи 24 Конституции Российской Федерации, ст. 85-90 Трудового Кодекса Российской Федерации, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федеральными законами от 27.07.2006 № 149-ФЗ «Об информации, информатизации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иных нормативно-правовых актов, действующих на территории Российской федерации.

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом директора МБОУ СОШ с. Киселёвка и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников и/или учащихся МБОУ СОШ с. Киселёвка их родителей (законных представителей) далее по тексту родителей.

 2. Понятие и состав персональных данных.

2.1. Персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

2.2. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

2.2. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:

     - анкетные и биографические данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);

       -  паспортные данные работника;

       -  ИНН;

       -  копия страхового свидетельства государственного пенсионного страхования;

       - копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

        - профессия, специальность;

        - сведения о трудовом и общем стаже;

        - сведения о составе семьи;

        -  документы о возрасте малолетних детей и месте их обучения;

        - документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);

        - документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);

        - иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);

        - сведения о воинском учете;

        - сведения о заработной плате сотрудника;

        - сведения о выплатах различного характера;

        - сведения о социальных льготах;

        - занимаемая должность;

        - наличие судимостей;

        - адрес места жительства;

        - домашний телефон;

    - место работы или учебы членов семьи и родственников;

        - характер взаимоотношений в семье;

        - содержание трудового договора;

        - состав декларируемых сведений о наличии материальных ценностей;

        - содержание декларации, подаваемой в налоговую инспекцию;

        -   подлинники и копии приказов по личному составу;

        -    личные дела и трудовые книжки сотрудников;

      - документы о прохождении работником аттестации, повышения квалификации, содержащие материалы по повышению квалификации и переподготовке сотрудников, служебным расследованиям;

        -  копии отчетов, направляемые в органы статистики;

        -  заявления, объяснительные и служебные записки работника;

        -  личная карточка по форме Т-2;

        -  копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

         - иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности).

2.3. Персональные данные обучающихся – информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и образовательным учреждением.

2.4. К персональным данным обучающихся, получаемым образовательным учреждением и подлежащим хранению в образовательном учреждении в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах учащихся:

    - документы, удостоверяющие личность обучающегося (свидетельство о рождении и/или паспорт);

       -  анкетные и биографические данные;

       - документы о составе семьи;

       -  сведения о воинском учете;

       -  сведения о социальных льготах;

      - полис медицинского страхования;

      - документы о месте проживания;

      - домашний телефон;

      - место работы или учебы членов семьи и родственников;

      - характер взаимоотношений в семье;

      - документы о получении образования, необходимого для поступления в соответствующий класс (личное дело, справка с предыдущего места учебы и т.п.);

      -  паспортные данные родителей (законных представителей) обучающегося;

      - документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии      

     противопоказаний для обучения в образовательном учреждении конкретного вида и типа, о возможности изучения предметов, представляющих повышенную опасность для здоровья и т.п.);

       - документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.);

       - иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством).

2.5. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных.

3.1. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

3.2. Образовательное учреждение определяет объем, содержание обрабатываемых персональных данных работников и обучающихся, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Законом РФ от 10.07.1992 № 3266-1 «Об образовании» и иными федеральными законами.

3.3. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие общие требования:

3.3.1. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных

нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Обработка персональных данных обучающегося может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия обучающимся в обучении, трудоустройстве; обеспечения их личной безопасности; контроля качества обучения и обеспечения сохранности имущества.

3.3.2. При определении объема и содержания обрабатываемых персональных данных сотрудников, учащихся, родителей (законных представителей) директор школы и его представители должны руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

3.3.3. Получение персональных данных может осуществляться как путем представления их самим работником, учащимся, родителем (законным представителем), так и путем получения их из иных источников.

3.3.4. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.3.5. Все персональные данные несовершеннолетнего обучающегося в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.3.6. Персональные данные несовершеннолетнего обучающегося в возрасте старше 14 лет предоставляются самим обучающимся с письменного согласия своих законных представителей – родителей, усыновителей или попечителя. Если персональные данные обучающегося возможно получить только у третьей стороны, то обучающийся, должен быть уведомлен об этом заранее. От него и его родителей (законных представителей) должно быть получено письменное согласие на получение персональных данных от третьей стороны. Обучающийся и его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа, дать письменное согласие на их получение.

3.3.7. Образовательное учреждение не имеет права получать и обрабатывать персональные данные работника, обучающегося о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника, обучающегося. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.3.8. Образовательное учреждение не имеет права получать и обрабатывать персональные данные работника, обучающегося о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3.9. Образовательное учреждение вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений:

- работника только с его письменного согласия или на основании судебного решения.

- обучающегося только с его письменного согласия (согласия родителей (законных представителей) малолетнего несовершеннолетнего обучающегося) или на основании судебного решения.

4. Хранение и использование персональных данных.

4.1. Персональные данные работников и обучающихся образовательного учреждения хранятся на бумажных и электронных носителях, на персональных компьютерах имеющих защищенный доступ по локальной сети и (или) в специально предназначенных для этого помещениях.

4.2. В процессе хранения персональных данных работников и обучающихся образовательного учреждения должны обеспечиваться:

   - требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;

   - сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;

   - контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

4.3. Доступ к персональным данным работников и обучающихся образовательного учреждения имеют:

       - директор;                                                                                                                            

       -  секретарь;

       - бухгалтер; 

        - иные работники, определяемые приказом директора школы в пределах своей компетенции.

4.4. Помимо лиц, указанных в п. 4.3. настоящего Положения, право доступа к персональным данным работников и обучающихся имеют только лица, уполномоченные действующим законодательством.

4.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников и обучающихся лишь в целях, для которых они были предоставлены.

4.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

4.7. Ответственными за организацию и осуществление хранения персональных данных работников и обучающихся образовательного учреждения является назначенный приказом директора педагогический работник.

4.8. Персональные данные работника отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных шкафах в алфавитном порядке.

4.9. Персональные данные обучающегося отражаются в личных делах обучающихся, которые заполняются после издания приказа о его зачислении в образовательное учреждение. Личные дела обучающихся хранятся в папках классных руководителей в алфавитном порядке в специально оборудованных шкафах.

4.10. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

4.11. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5. Передача персональных данных.

5.1. При передаче персональных данных работников и обучающихся образовательного учреждения другим юридическим и физическим лицам образовательное учреждение должно соблюдать следующие требования:

5.1.1. Персональные данные работника (обучающегося) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося, родителей (законных представителей) несовершеннолетнего (малолетнего) обучающегося, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом.

5.1.2. Лица, получающие персональные данные работника (обучающегося) должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Образовательное учреждение должно требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

5.1.3. Разрешать доступ к персональным данным, только специально уполномоченным лицам, определенным в п. 4.3. настоящего Положения, приказом по школе, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

5.1.4. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

5.1.5. При передаче персональных данных работника потребителям за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

5.2. Передача персональных данных работника (обучающегося) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.

5.3. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

6. Права работников, обучающихся на обеспечение защиты персональных данных.

6.1. В целях обеспечения защиты персональных данных, хранящихся у образовательного учреждения, работники, обучающиеся (родители (законные представители) малолетнего несовершеннолетнего обучающегося), имеют право:

6.1.1. Получать полную информацию о своих персональных данных и их обработке.

6.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, обучающегося (для малолетнего несовершеннолетнего – его родителей, законных представителей) – к заместителю директора, ответственному за организацию и осуществление хранения персональных данных работников.

6.1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника на имя руководителя образовательного учреждения.

6.1.4. При отказе руководителя образовательного учреждения исключить или исправить персональные данные работника работник, обучающийся (родитель, законный представитель несовершеннолетнего обучающегося) имеет право заявить в письменном виде руководителю образовательного учреждения о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, обучающийся (родитель, законный представитель несовершеннолетнего обучающегося) имеет право дополнить заявлением, выражающим его собственную точку зрения.

6.1.5. Требовать об извещении образовательным учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обучающегося (воспитанника) обо всех произведенных в них исключениях, исправлениях или дополнениях. 6.1.6. Обжаловать в суде любые неправомерные действия или бездействия образовательного учреждения при обработке и защите его 

СОГЛАСИЕ РОДИТЕЛЯ/ЗАКОННОГО ПРЕДСТАВИТЕЛЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО

Я, _____________________________________________________________________________,

                                                      ^{(ФИО родит./ законного представителя)}

паспорт ___________________ выдан _____________________________________________________,

         ^{(серия, номер)                                                                        (когда и кем выдан)}

являясь законным представителем несовершеннолетнего ______________________________________

_______________________________________________________________________________________,

^{(ФИО несовершеннолетнего)}

приходящегося мне _____________________, зарегистрированного по адресу:___________________

______________________________________________________________________________________,

даю свое согласие на обработку в _________________________________________________________

^{(наименование образовательной организации)}

персональных данных несовершеннолетнего, относящихся исключительно к перечисленным ниже категориям персональных данных: фамилия, имя, отчество; пол; дата рождения; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность; гражданство; образовательная организация; класс; информация о праве на прохождение государственной итоговой аттестации; информация о форме прохождения государственной итоговой аттестации;, информация о выбранных экзаменах; информация о результатах экзаменов.

Я даю согласие на использование персональных данных несовершеннолетнего исключительно в целях формирования региональной информационной системы обеспечения проведения государственной итоговой аттестации, а также хранение данных об этих результатах на электронных носителях.

Настоящее согласие предоставляется мной на осуществление действий в отношении персональных данных несовершеннолетнего, которые необходимы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу третьи лицам для осуществления действий по обмену информацией: Министерству образования и науки Пермского края, Государственному бюджетному учреждению дополнительного профессионального образования "Институт развития образования Пермского края", Федеральному бюджетному государственному учреждению «Федеральный центр тестирования», Федеральной службе по надзору в сфере образования и науки,- обезличивание, блокирование персональных данных, а также осуществление любых иных действий, предусмотренных действующим законодательством Российской Федерации.

Я проинформирован, что _________________________________________________ гарантирует

                                                                                                           ^{(наименование образовательной организации)}

 обработку персональных данных несовершеннолетнего в соответствии с действующим законодательством Российской Федерации как неавтоматизированным, так и автоматизированным способами.

Данное согласие действует до достижения целей обработки персональных данных или в течение срока хранения информации.

Данное согласие может быть отозвано в любой момент по моему  письменному заявлению.

Я подтверждаю, что, давая такое согласие, я действую по собственной воле и в интересах несовершеннолетнего.

"____" ___________ 202__ г.                           _____________ /_________________/

                      Подпись                Расшифровка подписи                                         

Что такое ПДн?

Персональные данные

 / Персональные данные

Сегодня реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете; у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Мы создаем своего виртуального (информационного) прототипа на страничках в социальных сетях, выкладывая информацию о себе.

Используя электронное пространство, мы полагаем, что это безопасно, потому что мы делимся всего лишь информацией о себе и к нашей обычной жизни вроде бы это не относится.

Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

• кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;
• кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе;
• с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия;
• и многое другое.

Поэтому защита личной информации может приравниваться к защите реальной личности. И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными. 

 / Персональные данные / Что такое ПДн?

• Кибербуллинг или киберзапугивание.
• Специальные персональные данные
• Биометрические персональные данные
• Набор цифр как персональные данные
• Большие данные
• Персональные данные

Персональные данные представляют собой информацию о конкретном человеке. Это те данные, которые позволяют нам узнать человека в толпе, идентифицировать и определить как конкретную личность.

Таких идентифицирующих данных огромное множество, к ним относятся:

фамилия, имя, отчество, дата рождения, место рождения, место жительства, номер телефона, адрес электронной почты, фотография, возраст и пр.

Так, если мы кому-то скажем, свои фамилию, имя, отчество и адрес места жительства, то нас вполне можно будет опознать как конкретное лицо. Но если мы исключим из этого набора данных фамилию или адрес места жительства, то понять, о каком человеке идет речь будет невозможно.

Получается, что персональные данные - это не просто ваши фамилия или имя, персональные данные - это набор данных, их совокупность, которые позволяют идентифицировать вас.

В целом можно сказать, что персональные данные – это совокупность данных, которые необходимы и достаточны для идентификации какого-то человека.

http://персональныеданные.дети...

Политика обработки и защиты персональных данных

 1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных муниципального бюджетного общеобразовательного учреждения средней общеобразовательной школы с. Киселёвка (далее – Политика) определяет правовые основания для обработки муниципальным бюджетным общеобразовательным учреждением средней общеобразовательной школы с. Киселёвка (далее – образовательная организация) персональных данных, необходимых для выполнения образовательной организацией уставных целей и задач, основные права и обязанности образовательной организации и субъектов персональных данных, порядок и условия обработки, взаимодействия с субъектами персональных данных, а также принимаемые образовательной организацией меры защиты данных.

1.2. Действие Политики распространяется на персональные данные субъектов, обрабатываемых образовательной организацией с применением средств автоматизации и без них.

 2. Понятия, которые используются в Политике

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

– сбор;

– запись;

– систематизацию;

– накопление;

– хранение (до передачи в архив);

– уточнение (обновление, изменение);

– извлечение;

– использование;

– передачу (распространение, предоставление, доступ);

– обезличивание;

– блокирование;

– удаление;

– уничтожение.

2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели сбора персональных данных

3.1. Обеспечение права граждан на образование путем реализации образовательных программ, предусмотренных уставом образовательной организации, в том числе реализация прав участников образовательных отношений.

3.2. Трудоустройство и выполнение функций работодателя.

3.3. Реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями для обработки персональных данных образовательной организацией являются нормативно-правовые акты, регулирующие отношения, связанные с деятельностью организации, в том числе:

– Трудовой кодекс РФ, а также нормативно-правовые акты, содержащие нормы трудового права;

– Бюджетный кодекс РФ;

– Налоговый кодекс РФ;

– Гражданский кодекс РФ;

–                 Семейный кодекс РФ;

– Закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации».

4.2. Основанием для обработки персональных данных также являются договоры с физическими лицами, заявления (согласия, доверенности и т. п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, согласия на обработку персональных данных.

 5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Образовательная организация обрабатывает персональные данные:

– работников, в том числе бывших;

– кандидатов на замещение вакантных должностей;

– родственников работников, в том числе бывших;

– обучающихся;

– родителей (законных представителей) обучающихся;

– физических лиц по гражданско-правовым договорам;

– физических лиц, указанных в заявлениях (согласиях, доверенностях и т. п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся;

– физических лиц – посетителей образовательной организации.

5.2. Биометрические персональные данные образовательная организация не обрабатывает.

5.3. Образовательная организация обрабатывает специальные категории персональных данных только в соответствии и на основании требований федеральных законов.

5.4. Образовательная организация обрабатывает персональные данные в объеме, необходимом:

– для осуществления образовательной деятельности по реализации основных и дополнительных образовательных программ, присмотра и ухода за детьми, обеспечения охраны, укрепления здоровья и создания благоприятных условий для разностороннего развития личности, в том числе обеспечения отдыха и оздоровления обучающихся;

– выполнения функций и полномочий работодателя в трудовых отношениях;

– выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета, бюджетного учета;

– исполнения сделок и договоров гражданско-правового характера, в которых образовательная организация является стороной, получателем (выгодоприобретателем).

6. Порядок и условия обработки персональных данных

6.1. Образовательная организация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.2. Получение персональных данных:

6.2.1. Все персональные данные образовательная организация получает от самого субъекта персональных данных.

В случаях когда субъект персональных данных несовершеннолетний – от его родителей (законных представителей) либо с их согласия, если субъект персональных данных достиг возраста 14 лет.

В случае когда субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях и т. п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, образовательная организация может получить персональные данные такого физического лица от обучающихся, родителей (законных представителей) обучающихся.

6.2.2. Образовательная организация сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

6.2.3. Документы, содержащие персональные данные, создаются путем:

– копирования оригиналов документов;

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов.

6.3. Обработка персональных данных:

6.3.1. Образовательная организация обрабатывает персональные данные в случаях:

– согласия субъекта персональных данных на обработку его персональных данных;

– когда обработка персональных данных необходима для осуществления и выполнения образовательной организацией возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

– когда осуществляется обработка общедоступных персональных данных, доступ к которым субъект персональных данных предоставил неограниченному кругу.

6.3.2. Образовательная организация обрабатывает персональные данные:

– без использования средств автоматизации;

– с использованием средств автоматизации в программах и информационных системах: «1С: Зарплата и кадры», «1С: Библиотека», «Электронный дневник», «Проход и питание».

6.3.3. Образовательная организация обрабатывает персональные данные в сроки:

– которые необходимы для достижения целей обработки персональных данных;

– действия согласия субъекта персональных данных;

– которые определены законодательством для обработки отдельных видов персональных данных.

6.4. Хранение персональных данных:

6.4.1. Образовательная организация хранит персональные данные в течение срока, необходимого для достижения целей их обработки, документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел с учетом архивных сроков хранения.

6.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

6.4.3. Персональные данные, обрабатываемые с использованием средств автоматизации, – в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.

6.4.4. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.

6.4.5. Хранение персональных данных осуществляется не дольше чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6.5. Прекращение обработки персональных данных:

6.5.1. Лица, ответственные за обработку персональных данных, прекращают их обрабатывать:

– при достижении целей обработки персональных данных;

– истечении срока действия согласия;

– отзыве субъектом персональных данных своего согласия на обработку персональных данных, при отсутствии правовых оснований для продолжения обработки без согласия;

– выявлении неправомерной обработки персональных данных.

6.6. Передача персональных данных:

6.6.1. Образовательная организация обеспечивает конфиденциальность персональных данных.

6.6.2. Образовательная организация передает имеющиеся персональные данные третьим лицам в следующих случаях:

– субъект персональных данных дал свое согласие на такие действия;

– передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в рамках установленной процедуры.

6.6.3. Образовательная организация не осуществляет трансграничной передачи персональных данных.

6.7. Уничтожение персональных данных:

6.7.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.

6.7.2. Выделяет документы (носители) с персональными данными к уничтожению комиссия, состав которой утверждается приказом руководителя образовательной организации.

6.7.3. Документы (носители), содержащие персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается документально актом об уничтожении документов (носителей), подписанным членами комиссии.

6.7.4. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер.

6.7.5. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

 7. Защита персональных данных

7.1. Образовательная организация принимает нормативные, организационные и технические меры защиты персональных данных.

7.2. Нормативные меры защиты персональных данных – комплекс локальных и распорядительных актов, обеспечивающих создание, функционирование, совершенствование механизмов обработки персональных данных.

7.3. Организационные меры защиты персональных данных предполагают создание в образовательной организации разрешительной системы, защиты информации во время работы с персональными данными работниками, партнерами и сторонними лицами.

7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

7.5. Основными мерами защиты персональных данных в образовательной организации являются:

7.5.1. Назначение ответственного за организацию обработки персональных данных. Ответственный осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением образовательной организацией и его работниками требований к защите персональных данных.

7.5.2. Издание локальных актов по вопросам обработки персональных данных, а также локальных актов, определяющих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.5.3. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных.

7.5.4. Определение актуальных угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработка мер и мероприятий по защите персональных данных.

7.5.5. Установление правил доступа к персональным данным, обрабатываемым с использованием средств автоматизации, а также регистрация и учет всех действий, совершаемых с персональными данными в информационных системах, и контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем.

7.5.6. Учет электронных носителей персональных данных.

7.5.7. Принятие мер по факту обнаружения несанкционированного доступа к персональным данным, обрабатываемым с использованием средств автоматизации, в том числе восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.

7.5.8. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.

7.5.9. Внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства, настоящей Политики, принятых локальных актов.

7.5.10. Публикация настоящей Политики на официальном сайте образовательной организации.

8. Основные права и обязанности образовательной организации как оператора персональных данных и субъекта персональных данных

8.1. Образовательная организация:

8.1.2. Предоставляет субъекту персональных данных информацию о его персональных данных на основании запроса либо отказывает в выполнении повторного запроса субъекта персональных данных при наличии правовых оснований.

8.1.3. Разъясняет субъекту персональных данных или его законному представителю юридические последствия отказа предоставить его персональные данные.

8.1.4. Блокирует или удаляет неправомерно обрабатываемые, неточные персональные данные либо обеспечивает блокирование или удаление таких данных.

В случае подтверждения факта неточности персональных данных образовательная организация на основании сведений, представленных субъектом персональных данных или его законным представителем, уточняет персональные данные либо обеспечивает их уточнение и снимает блокирование персональных данных.

8.1.5. Прекращает обработку и уничтожает персональные данные либо обеспечивает прекращение обработки и уничтожение персональных данных при достижении цели обработки персональных данных.

8.1.6. Прекращает обработку персональных данных или обеспечивает прекращение обработки в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между образовательной организацией и субъектом персональных данных либо если образовательная организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

8.2. Субъект персональных данных вправе:

8.2.1. Потребовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2.2. Получать информацию, касающуюся обработки его персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.

8.2.3. Обжаловать действия или бездействие образовательной организации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.2.4. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.

Данная Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей на объектах информатизации МБОУ СОШ с. Киселёвка, предназначенных для обработки информации ограниченного распространения, а также контроль за действиями пользователей при работе с паролями.

 ПОРЯДОК РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ПАРОЛЬНОЙ ЗАЩИТЫ

 1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах автоматизированной системы и контроль за действиями пользователей при работе с паролями возлагается на администратора безопасности.

2. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:

·        длина пароля должна быть не менее шести символов;

·        в числе символов пароля обязательно должны присутствовать символы из следующих категорий: строчные буквы латинского алфавита, прописные буквы латинского алфавита, десятичные цифры;

·        символы паролей должны вводиться в режиме латинской раскладки клавиатуры;

·        пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии,  наименования  АРМ  и  т.д.),  а также общепринятые сокращения (ADMIN, SECRET, USER и т.п.);

·        использование трех и более подряд идущих на клавиатуре символов, набранных в одном регистре, недопустимо;

·        использование двух и более подряд одинаковых символов недопустимо;

·        при смене пароля новое значение должно отличаться от предыдущего минимум в 6-ти символах;

·        новый пароль не должен совпадать с одним из 10-ти предыдущих паролей;

·        пользователь обязан сохранять в тайне свой личный пароль.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за разглашение парольной информации.

3. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в один квартал.

4. При смене пароля администратором безопасности производится тестирование функций средств защиты информации от несанкционированного доступа путем ввода с клавиатуры заведомо ложного пароля, при наличии считывателя – предъявления стороннего идентификатора.

5. Внеплановая смена личного пароля или удаление учетной записи пользователя объекта  информатизации в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором безопасности немедленно после  окончания  последнего сеанса работы данного пользователя с системой.

6. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.

7. В случае компрометации (утеря, передача парольной информации) личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.4 или п.5 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

8. Хранение сотрудником (исполнителем) значений своих паролей на любом носителе не допускается.

             Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19 декабря 2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных», Федерального закона от 27 июля 2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю  от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» с целью обеспечения уважения прав и основных свобод каждого обучающегося при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1. Общие положения

1.1. Персональные данные обучающегося - сведения о фактах, событиях и обстоятельствах жизни обучающегося, позволяющие идентифицировать его личность, необходимые администрации  (далее – администрация) в связи с отношениями обучения и воспитания обучающегося и касающиеся обучающегося.

1.2. К персональным данным обучающегося относятся:

- сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность;

- информация, содержащаяся в личном деле обучающегося;

- информация, содержащаяся в личном деле обучающегося, лишенного родительского попечения;

- сведения, содержащиеся в документах воинского учета (при их наличии);

- информация о состоянии здоровья;

         - документ о месте проживания;

- иные сведения, необходимые для определения отношений обучения и воспитания.

1.3. Администрация может получить от самого обучающегося данные о:

- фамилии, имени, отчестве, дате рождения, месте жительстве обучающегося,

- фамилии, имени, отчестве родителей (законных представителей) обучающегося.

Иные персональные данные обучающегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством:

- документы о составе семьи;

- документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний и т.п.);

- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.).

В случаях, когда администрация может получить необходимые персональные данные обучающегося только у третьего лица, администрация должна уведомить об этом одного из родителей (законного представителя) заранее и получить от него письменное согласие.

1.4. Администрация обязана сообщить одному из родителей (законному представителю) о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа одного из родителей (законного представителя) дать письменное согласие на их получение.

1.5. Персональные данные обучающегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.

1.6. При определении объема и содержания персональных данных обучающегося администрация руководствуется Конституцией Российской Федерации, федеральными законами и настоящим Положением.