Положение
об обработке персональных данных
в муниципальном общеобразовательном учреждении
«Средняя общеобразовательная школа №20 имени А.А.Хмелевского»
I. Общие положения
1.1. Положение об обработке персональных данных в муниципальном общеобразовательном учреждении «Средняя общеобразовательная школа №20 имени А.А.Хмелевского» (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N31, ст. 3215; 2006, N6, ст. 636; 2007, N10, ст. 1151; N 16, ст. 1828; N49, ст. 6070; 2008, N 13, ст. 1186; N30, ст. 3616; N52, ст. 6235; 2009, N 29, ст. 3597, 3624; N 48, ст. 5719; N 51, ст. 6150, 6159; 2010, N 5, ст. 459; N7, ст. 704; N49, ст. 6413; N51, ст. 6810; 2011, N1, ст. 31) (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), частью 2 статьи 4 Федерального закона от 27 июля 2006 г. N 152- ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N31, ст. 3451; 2009, N48, ст. 5716; N52, ст. 6439; 2010, N27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974) (далее - Федеральный закон "О персональных данных"), Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N1, ст. 3; N30, ст. 3014, ст. 3033; 2003, N 27, ст. 2700; 2004, N 18, ст. 1690; N 35, ст. 3607; 2005, N 1, ст. 27; N 13, ст. 1209; N 19, ст. 1752; 2006, N 27, ст. 2878; N 41, ст. 4285; N 52, ст. 5498; 2007, N1, ст. 34; N17, ст. 1930; N30, ст. 3808; N41, ст. 4844; N43, ст. 5084; N49, ст. 6070; 2008, N9, ст. 812; N30, ст. 3613; N30, ст. 3616; N52, ст. 6235, 6236; 2009, N 1, ст. 17, ст. 21; N 19, ст. 2270; N 29, ст. 3604; N 30, ст. 3732, 3739; N 46, ст. 5419; N 48, ст. 5717; N 31, ст. 4196; N 52, ст. 7002; 2011, N 1, ст. 49), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2008, N 43, ст. 4921), постановлением Правительства Российской Федерации от 17 ноября 2007 г. N781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384), постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320).
1.2. Положение определяет порядок и условия обработки персональных данных в муниципальном общеобразовательном учреждении «Средняя общеобразовательная школа №20 имени А.А.Хмелевского» (далее - МБОУ «СОШ №20 им. А.А.Хмелевского») с использованием средств автоматизации и без использования таких средств.
1.3. Обработка персональных данных в МБОУ «СОШ №20 им. А.А.Хмелевского» осуществляется в целях исполнения государственных функций по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, по организации образовательной деятельности, а также ведения кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек сотрудников, обеспечения личной безопасности работников, учета результатов исполнения им должностных обязанностей, в целях обеспечения сохранности имущества МБОУ «СОШ №20 им. А.А.Хмелевского», а также ведение и хранение личных дел, результатов образовательной деятельности обучающихся
II. Порядок обработки персональных данных обучающихся и сотрудников
МБОУ «СОШ №20 им. А.А.Хмелевского»
2.1. Обработка персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского» осуществляется с их письменного согласия, которое действует со дня их поступления.
2.2. Руководитель МБОУ «СОШ №20 им. А.А.Хмелевского», а также его заместители, заведующий канцелярией, работники бухгалтерии, классные руководители обеспечивают защиту персональных данных обучающихся и сотрудников, содержащихся в личных делах, от неправомерного их использования или утраты.
2.3. Обработка персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского» осуществляется как с использованием средств автоматизации, так и без использования таких средств.
2.4. При обработке персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского» в целях реализации возложенных на МБОУ «СОШ №20 им. А.А.Хмелевского», уполномоченные должностные лица обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
б) защита персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского» от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
в) передача персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского» не допускается без их письменного согласия, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных обучающихся и сотрудников либо отсутствует письменное согласие на передачу его персональных данных, МБОУ «СОШ №20 им. А.А.Хмелевского» вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского», за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;
е) опубликование и распространение персональных данных гражданских служащих допускается в случаях, установленных законодательством Российской Федерации.
2.5. Обработка биометрических и специальных категорий персональных данных обучающихся и сотрудников МБОУ «СОШ №20 им. А.А.Хмелевского», являющегося субъектом персональных данных, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
2.6. В целях обеспечения защиты персональных данных обучающиеся и сотрудники МБОУ «СОШ №20 им. А.А.Хмелевского» вправе:
а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";
в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
III. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации
3.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на МБОУ «СОШ №20 им. А.А.Хмелевского» полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес МБОУ «СОШ №20 им. А.А.Хмелевского», фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
IV. Порядок обработки персональных данных субъектов персональных
данных в информационных системах
4.1. Обработка персональных данных в МБОУ «СОШ №20 им. А.А.Хмелевского» осуществляется:
а) в Информационной системе персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, включающей:
фамилию, имя, отчество субъекта персональных данных;
тип документа, удостоверяющего личность субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
факс субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
б) в Единой информационной системе комитета образования города Курска, включающих:
фамилию, имя, отчество субъекта персональных данных;
тип документа, удостоверяющего личность субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
факс субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
в) в Информационной системе бухгалтерского учета и отчетности, включающей:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
ИНН субъекта персональных данных;
табельный номер субъекта персональных данных;
должность субъекта персональных данных;
номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;
г) в Информационной системе "1С: Предприятие 7.7", включающей:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
ИНН субъекта персональных данных;
табельный номер субъекта персональных данных;
должность субъекта персональных данных;
номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.
4.2. Персональные данные могут быть представлены для ознакомления:
а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;
б) уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.
4.3. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе, случайного доступа к персональным данным.
4.4. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
4.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.6. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
4.7. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных МБОУ «СОШ №20 им. А.А.Хмелевского» должен требовать обязательного прохождения процедуры идентификации и аутентификации.
4.8. Структурными подразделениями (должностными лицами) МБОУ «СОШ №20 им. А.А.Хмелевского», ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства МБОУ «СОШ №20 им. А.А.Хмелевского»;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах МБОУ «СОШ №20 им. А.А.Хмелевского», уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
Приложение N 1
Список должностей сотрудников
муниципального общеобразовательного учреждения «Средняя общеобразовательная школа №20 имени А.А.Хмелевского», уполномоченных
на обработку персональных данных и (или) имеющих доступ к
персональным данным сотрудников
1. Руководитель - директор МБОУ «СОШ №20 им. А.А.Хмелевского».
2. Заместители директора по учебно-воспитательной работе.
3. Заместитель директора по воспитательной работе.
4. Заместитель директора по хозяйственной работе.
5. Главный бухгалтер, бухгалтер.
6. Заведующий канцелярией.
Приложение N 2
Список должностей сотрудников
муниципального общеобразовательного учреждения «Средняя
общеобразовательная школа №20 имени А.А.Хмелевского», уполномоченных
на обработку персональных данных и (или) имеющих доступ к
персональным данным обучающихся
1. Руководитель - директор МБОУ «СОШ №20 им. А.А.Хмелевского».
2. Заместители директора по учебно-воспитательной работе.
3. Заместитель директора по воспитательной работе.
4. Заведующий канцелярией.
5. Классные руководители.
6. Воспитатели групп продлённого дня.
7. Руководители детских объединений.
