Политика в отношении обработки персональных данных

I.    ОБЩИЕ ПОЛОЖЕНИЯ

1.1.    Настоящее Положение об обработке и защите персональных данных в образовательном учреждении (далее - Положение) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в образовательном учреждении (далее - ОУ) на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативами и распорядительными документами Минобрнауки РФ, Рособразования, Рособрнадзора и Роскомнадзора, а также в соответствии с уставом и локальными актами ОУ.
1.2.    Основной целью обработки персональных данных обучающихся (далее - ПДн) является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также целями обработки персональных данных обучающихся являются:
•    обеспечение соблюдения законов и иных нормативных правовых актов;
•    учет детей, подлежащих обязательному обучению в образовательном учреждении;
•    соблюдение порядка и правил приема в образовательное учреждение;
•    индивидуальный учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
•    учет реализации права обучающихся на получение образования в соответствии с государственными стандартами в форме самообразования, экстерната, на обучение в пределах этих стандартов по индивидуальным учебным планам;
•    учет обучающихся, нуждающихся в социальной поддержке и защите;
•    учет обучающихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование и профессиональную подготовку, содействие в обучении, трудоустройстве;
•    использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно--телекоммуникационных сетях с целью предоставления доступа к ним;
•    заполнение базы данных краевой информационной автоматизированной системы управления образования (далее - КИАСУО) в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
•    обеспечение личной безопасности обучающихся;
•    планирование, организация, регулирование и контроль деятельности образовательного учреждения в целях осуществления государственной политики в области образования. 
1.3.    Должностные лица ОУ, в обязанности которых входит обработка персональных данных субъектов, обеспечивают каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.4.    Порядок обработки персональных данных в ОУ утверждается руководителем ОУ. Все работники ОУ должны быть ознакомлены под роспись с настоящим Положением в редакции, действующей на момент ознакомления.
1.5.    Учащиеся ОУ и их родители обязаны ознакомиться с настоящим Положением на сайте ОУ по адресу: http://licey2.ru/svedeniya-ob-obrazovatelnoj-organizaczii/dokumenty.html.

II.    ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

2.1.    В настоящем Положении используются следующие термины и определения.
2.1.1.    Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.2.    Документированная информация - зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.1.3.    Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.4.    Информация - сведения (сообщения, данные) независимо от формы их представления.
2.1.5.    Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.1.6.    Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.7.    Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.8.    Оператор - юридическое лицо (ОУ), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.9.    Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.10.    Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.11.    Субъекты персональных данных ОУ (далее - субъекты) - носители персональных данных, в т.ч. работники ОУ, обучающиеся, воспитанники и их родители (законные представители), передавшие свои персональные данные ОУ на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их обработки.
2.1.12.    Съемные носители данных - материальные объекты или устройства с определенными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных.
2.1.13.    Типовая форма документа - документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов.
2.1.14.    Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

III.    СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

3.1.    Персональные данные обучающихся и их родителей (законных представителей) хранятся в личных делах учащихся ОУ, краевой информационной автоматизированной системе управления образования (далее - КИАСУО), базе одаренные дети Красноярска, региональной базе данных по государственной итоговой аттестации и электронном журнале ОУ.
3.2.    В состав персональных данных обучающихся обрабатываемых ОУ входят:
3.2.1.    фамилия, имя, отчество;
3.2.2.    дата рождения;
3.2.3.    пол;
3.2.4.    гражданство;
3.2.5.    адрес места жительства;
3.2.6.    адрес регистрации
3.2.7.    паспортные данные;
3.2.8.    данные свидетельства о рождении;
3.2.9.    данные медицинского страхового полиса;
3.2.10.    контактный телефон;
3.2.11.    результаты успеваемости и тестирования;
3.2.12.    номер класса;
3.2.13.    данные о состоянии здоровья;
3.2.14.    дата поступления в образовательное учреждение;
3.2.15.    дата и причина отчисления из образовательного учреждения;
3.2.16.    иная необходимая информация, которую субъект добровольно сообщает о себе для получения услуг предоставляемых лицеем, если ее обработка не запрещена законом.

IV.    ОРГАНИЗАЦИЯ ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.    В целях обеспечения прав и свобод человека и гражданина МБОУ Лицей № 2 и ее представители при обработке персональных данных обязаны соблюдать следующие общие требования:
4.1.1.    Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, регламентирующих образовательную деятельность учреждения;
4.1.2.    При определении объема и содержания обрабатываемых ПДн МБОУ Лицей № 2 руководствуется Конституцией Российской Федерации, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, устава ОУ;
4.1.3.    Получение персональных данных осуществляется путем представления их родителем (законным представителем) ребенка, не достигшего 14 лет. Персональные данные обучающегося, достигшего 14-летнего возраста, могут быть получены от него самого.
4.1.4.    Родитель (законный представитель) ребенка и учащиеся, достигнувшие 14-летнего возраста, обязаны предоставлять ОУ достоверные сведения о себе, своем ребенке и своевременно сообщать об изменении этих персональных данных. ОУ имеет право проверять достоверность сведений, предоставленных родителем (законным представителем) и учащимися, достигнувших 14-летнего возраста, сверяя данные с оригиналами предоставленных документов.
4.1.5.    МБОУ Лицей № 2 не имеет права получать и обрабатывать ПДн о политических, религиозных и иных убеждениях и частной жизни субъектов персональных данных, а также о членстве в общественных объединениях или профсоюзной деятельности субъектов персональных данных, за исключением случаев, предусмотренных федеральным законом.
4.2.    К обработке, передаче и хранению ПДн могут иметь доступ сотрудники, список которых утвержден приказом директора МБОУ Лицей № 2.
4.3.    Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
4.4.    Передача персональных данных учащихся, их родителей (законных представителей) возможна только с согласия родителей (законных представителей), или в случаях, прямо предусмотренных законодательством.
4.5.    При передаче ПДн МБОУ Лицей № 2 должно соблюдать следующие требования:
4.5.1.    при передаче ПДн ОУ не должно сообщать эти данные третьей стороне без письменного согласия родителей (законных представителей) и учащегося, достигнувшего 14¬летнего возраста, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или в случаях, установленных федеральным законом;
4.5.2.    предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПДн, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн в порядке, установленном федеральными законами;
4.5.3.    разрешать доступ к ПДн только специально уполномоченным лицам, определенным приказом директора, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
4.5.4.    не запрашивать информацию о состоянии здоровья субъектов персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности осуществления образовательного процесса;
4.6.    Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.7.    Все меры обеспечения безопасности при сборе, обработке и хранении ПДн распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.8.    Порядок обработки персональных данных на бумажных и иных материальных носителях осуществляется согласно Инструкции обработки персональных данных без средств автоматизации, утвержденной директором лицея.
4.9.    Обработка персональных данных в автоматизированных информационных системах осуществляется на основании Инструкции обработки персональных данных в автоматизированных ИС, а также Регламентов обработки персональных данных учащихся и их родителей (законных представителей) в различных информационных системах.
4.10.    Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
4.11.    Документы, содержащие ПДн, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

V.    ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1.    Внутренний доступ (доступ внутри ОУ) определяется перечнем лиц, имеющих доступ к персональным данным учащихся, их родителей (законных представителей) по приказу директора МБОУ Лицей № 2.
5.2.    Внешний доступ:
5.2.1.    к числу массовых потребителей персональных данных вне ОУ можно отнести государственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, военкоматы, органы социального страхования, пенсионные фонды, подразделения муниципальных органов управления;
5.2.2.    надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;
5.2.3.    другие организации: Министерство образования Красноярского края, Главное управление по образованию администрации города Красноярска, Минобрнауки РФ.

VI.    УГРОЗА УТРАТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.    Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
6.2.    Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
6.3.    Защита персональных данных представляет собой предупреждение нарушения доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечение безопасности информации в процессе управленческой и производственной деятельности организации.
6.4.    Защита ПДн от неправомерного их использования или утраты должна быть обеспечена ОУ за счет его средств в порядке, установленном федеральным законом.
6.5.    «Внутренняя защита»:
6.5.1.    регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и сотрудниками ОУ;
6.5.2.    для обеспечении внутренней защиты ПДн необходимо соблюдать ряд мер: ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний; избирательное и обоснованное распределение документов и информации между работниками; рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации; знание работником требований нормативно-методических документов по защите информации и сохранении тайны; наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; организация порядка уничтожения информации; своевременное выявление нарушения требований разрешительной системы доступа работниками ОУ; воспитательная и разъяснительная работа с сотрудниками ОУ по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
6.5.3.    защита персональных данных на электронных носителях. Все папки, содержащие персональные данные учащихся и их родителей (законных представителей), должны быть защищены паролем, который сообщается заместителям директора по УВР, отвечающим за информатизацию и защиту ПДн.
6.6.    «Внешняя защита»:
6.6.1.    для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, и др.;
6.6.2.    под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к ОУ, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов;
6.6.3.    для обеспечения внешней защиты ПДн необходимо соблюдать ряд мер: порядок приема, учета и контроля деятельности посетителей; пропускной режим ОУ; технические средства охраны, сигнализация; требования к защите информации при интервьюировании и собеседованиях.
6.7.    Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных учащихся, родителей (законных представителей).
6.8.    По возможности персональные данные обезличиваются.

VII.    ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.    Закрепление прав субъектов персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
7.2.    Родители (законные представители) детей, а также и учащиеся, достигнувшие 14-летнего возраста, должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных учащихся, их родителей (законных представителей), а также об их правах и обязанностях в этой области.
7.3.    В целях защиты персональных данных, хранящихся в МБОУ Лицей № 2, родители (законные представители) и учащиеся, достигнувшие 14-летнего возраста, имеют право:
7.3.1.    требовать исключения или исправления неверных или неполных персональных данных,
7.3.2.    на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
7.3.3.    определять своих представителей для защиты своих персональных данных;
7.3.4.    на сохранение и защиту своей личной и семейной тайны.
7.4.    Родители (законные представители) детей и учащиеся, достигнувшие 14-летнего возраста, обязаны передавать ОУ комплекс достоверных, документированных персональных данных, состав которых установлен нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, уставом МБОУ Лицей № 2, своевременно сообщать об изменении своих персональных данных.
7.5.    Родители (законные представители) детей ставят лицей в известность об изменении фамилии, имени, отчества, адреса проживания, контактных телефонов.
7.6.    В целях защиты частной жизни, личной и семейной тайны родители (законные представители) детей не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

VIII.    ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.    Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
8.2.    Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
8.3.    Директор, разрешающий доступ сотрудника к документу, содержащему персональные сведения учащихся, их родителей (законных представителей) несет    персональную
ответственность за данное разрешение.
8.4.    Каждый сотрудник ОУ, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
8.5.    Сотрудник МБОУ Лицей № 2, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:
8.5.1.    обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих ПДн;
8.5.2.    при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, обязан передать документы и иные носители, содержащие ПДн лицу, на которое локальным актом МБОУ Лицей № 2 (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае, если такое лицо не назначено, то документы и иные носители, содержащие ПДн, передаются другому сотруднику, имеющему доступ к ПДн по указанию директора МБОУ Лицей № 2;
8.5.3.    при увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому сотруднику, имеющему доступ к персональным данным по указанию директора лицея.
8.6.    Доступ к персональным данным учащихся, их родителей (законных представителей) имеют сотрудники МБОУ Лицей № 2, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.
8.7.    В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией директора ОУ, доступ к ПДн может быть предоставлен иному работнику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.
8.8.    В случае, если работодателю оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных учащихся и их родителей (законных представителей).
8.9.    Процедура оформления доступа к ПДн включает в себя:
8.9.1.    ознакомление работника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту ПДн, с данными актами также производится ознакомление работника под роспись.
8.9.2.    истребование с сотрудника (за исключением директора ОУ) письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки, подготовленного по установленной форме.
8.10.    Допуск к персональным данным учащихся, их родителей (законных представителей) других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.
8.11.    Передача (обмен и т.д.) персональных данных между подразделениями ОУ осуществляется только между сотрудниками, имеющими доступ к персональным данным учащихся, их родителей (законных представителей).
8.12.    Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:
8.12.1.    за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом РФ дисциплинарные взыскания;
8.12.2.    должностные лица, в обязанность которых входит ведение персональных данных учащихся и их родителей (законных представителей), обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации, влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях;
8.12.3.    в соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки;
8.12.4.    уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
8.13.    Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
8.14.    МБОУ Лицей № 2 обязан сообщить родителям (законным представителям) детей о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа родителей (законных представителей) дать письменное согласие на их получение.

IX.    ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1.    Изменения в Положение вносятся согласно установленному в ОУ порядку.
9.2.    Право ходатайствовать о внесении изменений в Положение имеет руководитель и    заместители    руководителя ОУ.