Политика в отношении обработки персональных данных

ПОЛОЖЕНИЕ об обработке и защите персональных данных в муниципальном автономном общеобразовательном учреждении «Средняя общеобразовательная школа № 4»

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных в муниципальном автономном общеобразовательном учреждении «Средняя общеобразовательная школа № 4» в соответствии с законодательством Российской Федерации.

1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными нормативными актами, действующими на территории Российской Федерации.

1.3. Настоящее Положение вступает в силу с 26.03.2021 2. Основные понятия

2.1. Для целей настоящего Положения используются следующие понятия:

2.1.1. Работник - физическое лицо, состоящее в трудовых отношениях с работодателем.

2.1.2. Учащийся – физическое лицо, обучающееся в МАОУ «Средняя общеобразовательная школа №4».

2.2. Работодатель - муниципальное автономное общеобразовательное учреждение «Средняя общеобразовательная школа №4».

2.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.4. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 2.5. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.9. К персональным данным относятся:

2.9.1. Сведения, содержащиеся в документе, удостоверяющем личность работника, учащегося.

2.9.2. Информация, содержащаяся в трудовой книжке работника, в личном деле учащегося.

2.9.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования, в медицинском полисе учащегося.

2.9.4. Сведения, содержащиеся в документах воинского учета.

2.9.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

2.9.6. Информация медицинского характера, в случаях, предусмотренных законодательством.

2.9.7. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации. 2.9.8. Сведения о семейном положении работника.

2.9.9. Другая информация

2.10. изменения, внесенные в статью 10 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в редакции Федерального закона от 30 декабря 2020 г. № 519-ФЗ “О внесении изменений в Федеральный закон «О персональных данных») «Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом»

2.11. изменения, внесенные в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в редакции Федерального закона от 30 декабря 2020 г. № 519-ФЗ “О внесении изменений в Федеральный закон «О персональных данных») «Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.";

3. Обработка персональных данных работников и учащихся

3.1. Получение персональных данных.

3.1.1. Все персональные данные работника следует получать лично у работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.2. Все персональные данные учащихся следует получать от родителей (законных представителей), а также возможно получать персональные данные от третьей стороны. Обработка персональных данных учащихся осуществляется с письменного согласия родителей (законных представителей).

3.2. Хранение персональных данных.

3.2.1. Хранение персональных данных работников, учащихся осуществляется кадровой службой, бухгалтерией, архивом, классными журналами, личными делами, медицинскими картами на бумажных и электронных носителях.

3.2.2. В кадровой службе персональные данные хранятся на бумажных носителях в личных карточках по форме N Т-2 и личных делах. Учетные данные работников хранятся кадровой службой на электронных носителях. Кадровая служба обеспечивает их защиту от несанкционированного доступа и копирования.

3.2.3. В бухгалтерии персональные данные хранятся на съемных носителях.

3.3. Уничтожение персональных данных.

3.3.1. Персональные данные работников, учащихся хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.3.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

3.4. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения (пункт 2 части 2 статьи 10 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в редакции Федерального закона от 30 декабря 2020 г. № 519-ФЗ “О внесении изменений в Федеральный закон «О персональных данных»)

3.4.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 3.4.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3.4.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3.4.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения. 3.4.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

3.4.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: 1) непосредственно; 2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

3.4.7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных. 3.4.8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 3.4.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

3.4.10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

3.4.11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

3.4.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

3.4.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

3.4.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

3.4.15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.";

4. Права и обязанности работников и учащихся

4.1. В целях обеспечения защиты персональных данных, хранящихся в личных делах работников, работники имеют право: а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной); б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства; г) при отказе работодателя или уполномоченного им лица исключить или исправить персональные данные работника - заявить в письменной форме о своем несогласии, представив соответствующее обоснование; д) дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения; е) требовать от работодателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них изменениях или исключениях из них; ж) обжаловать в суд любые неправомерные действия или бездействие работодателя или уполномоченного им лица при обработке и защите персональных данных работника.

4.2. Для защиты персональных данных работников, учащихся руководитель обязан: а) за свой счет обеспечить защиту персональных данных работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ; б) ознакомить работника, учащихся и его родителей с настоящим Положением и их правами в области защиты персональных данных под расписку; в) осуществлять передачу персональных данных работника только в соответствии с настоящим Положением и законодательством Российской Федерации; г) предоставлять персональные данные работника только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации; д) обеспечить работнику свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством; е) по требованию работника предоставить ему полную информацию о его персональных данных и обработке этих данных; ж) работодатель не вправе получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать персональные данные работника о его личной жизни только с письменного согласия работника; з) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.3. Работники обязаны сообщать работодателю обо всех изменениях в персональных данных в письменной форме в двухнедельный срок с момента внесения изменений в соответствующие документы работника.

4.4. Родители (законные представители) обязаны сообщать руководителю обо всех изменениях в персональных данных в письменной форме в двухнедельный срок с момента внесения изменений в соответствующие документы учащегося.

5. Передача персональных данных работника, учащегося

5.1. Передача персональных данных работников, учащихся в пределах МАОУ «СОШ № 4».

5.1.1. Право доступа к персональным данным работника, учащегося имеют: - руководитель; - секретарь; - медработник, бухгалтер, классные руководители. 5.1.2. Право доступа к персональным данным других работников определяется приказом руководителя. Работники должны быть ознакомлены с указанным приказом под роспись.

5.1.3. Секретарь вправе передавать персональные данные работника в бухгалтерию в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

5.2. Передача персональных данных работников третьим лицам и сторонним организациям.

5.2.1. Работодатель вправе передавать персональные данные работника третьим лицам и сторонним организациям только при наличии письменного согласия работника. При отсутствии письменного согласия работника передача персональных данных производится исключительно в целях предупреждения угрозы жизни и здоровья работника, а также в других случаях, установленных законодательством.

5.2.2. При передаче персональных данных работника лица, получающие данную информацию, должны быть предупреждены представителем работодателя о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, от этих лиц должно быть получено письменное подтверждение соблюдения этого условия.

6. Ответственность за разглашение персональных данных

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.