Политика в отношении обработки персональных данных

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

РАБОТНИКОВ МБОУ «СШ № 17»

1. Общие положения

1.1. Настоящее положение об обработке персональных данных (далее ПДн) работников МБОУ «СШ № 17» (далее – Положение, школа) разработано в соответствии с:

- Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;

- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Правилами размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации, утвержденными постановлением Правительства от 10.07.2013 № 582;

- иными федеральными и региональными нормативными актами в сфере защиты персональных данных;

- Политикой обработки персональных данных МБОУ «СШ № 17».

1.2. Положение определяет порядок работы с персональными данными в школе соискателей на вакантные должности, работников, в том числе бывших, их родственников, а также гарантии конфиденциальности личной информации, которую соискатели и работники предоставляют администрации школы.

1.3. Целью Положения является защита персональных данных соискателей, работников и их родственников от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

2. Условия и порядок обработки ПДн, связанных с реализацией трудовых отношений

1. 1. ПДн работников учреждения, граждан, претендующих на замещение вакантных должностей, рабочих мест в учреждении (далее – работники), обрабатываются в целях обеспечения кадровой работы, в том числе в целях формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения работниками учреждения должностных обязанностей, обеспечения работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
   2. В целях, указанных в пункте 2.1 настоящих Правил, обрабатываются следующие категории ПДн работников:
      1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и

(или) отчества, в случае их изменения);

1. 1. 2. дата и место рождения;
      3. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
      4. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения;
      5. адрес места жительства (адрес регистрации, фактического проживания);
      6. номер контактного телефона или сведения о других способах связи;
      7. реквизиты страхового свидетельства государственного пенсионного страхования;
      8. идентификационный номер налогоплательщика;
      9. реквизиты страхового медицинского полиса обязательного медицинского страхования;
      10. реквизиты свидетельства государственной регистрации актов гражданского состояния;
      11. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
      12. сведения о трудовой деятельности;
      13. сведения о воинском учете и реквизиты документов воинского учета;
      14. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
      15. сведения об ученой степени;
      16. информация о владении иностранными языками, степень владения;
      17. медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего выполнению должностных обязанностей; заключение по результатам предварительного или периодического медицинского осмотра;
      18. фотография;
      19. сведения о работе, в том числе: дата, основания поступления (приема) на работу и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность, наименование занимаемых (замещаемых) должностей, размера заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежнем месте работы;
      20. информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовым договорам;
      21. информация о наличии или отсутствии судимости;
      22. сведения о профессиональной переподготовке и (или) повышении квалификации;
      23. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
      24. номер расчетного счета;

2.2.26. иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящего Положения.

1. 3. Обработка ПДн (за исключением биометрических ПДн) работников, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   4. Обработка ПДн работников осуществляется при условии получения согласия указанных лиц в следующих случаях:
      1. при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
      2. при трансграничной передаче ПДн;
      3. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные   интересы, на основании исключительно автоматизированной обработки их ПДн.
   5. Обработка ПДн, предусмотренных пунктом 2.2 настоящих Правил, осуществляется с письменного согласия работника, составленного по форме, утвержденной директором учреждения, если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
   6. Обработка ПДн работников осуществляется специалистами Администрации учреждения, бухгалтерских служб и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
   7. Перечисленные в пункте 2.2 ПДн предоставляются непосредственно работником в виде:
      1. оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровую службу);
      2. копий оригиналов документов;
      3. сведений в учетных формах (на бумажных и электронных носителях).
   8. В случае возникновения необходимости получения ПДн работника у третьей стороны, следует известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения ПДн (если иное не предусмотрено федеральным законодательством).
   9. Запрещается получать, обрабатывать и приобщать к личному делу работника ПДн, не предусмотренные пунктом 2.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
   10. При сборе ПДн Администрация учреждения, специалист бухгалтерской службы, осуществляющий сбор (получение) ПДн непосредственно от работников, обязан разъяснить работникам юридические последствия отказа предоставить их персональные данные.
   11. Передача (распространение, предоставление) и использование ПДн работников осуществляется лишь в случаях и в порядке, предусмотренных федеральным законодательством.

3. Условия и порядок обработки ПДн граждан в связи с предоставлением услуг, реализацией их права на обращение

1. 1. В учреждении обработка ПДн граждан осуществляется в связи с предоставлением учреждением услуг, а также в связи с реализацией их права на обращение в учреждение.
   2. ПДн граждан, обратившихся в учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения. 
   3. Перечень ПДн граждан, подлежащих обработке в связи с предоставлением учреждением услуг, а также в связи с реализацией их права на обращение в учреждение:
      1. фамилия, имя, отчество (последнее - при наличии);
      2. данные документа, удостоверяющего личность;
      3. реквизиты страхового свидетельства государственного пенсионного страхования; 
      4. идентификационный номер налогоплательщика;
      5. адрес места жительства (адрес регистрации, фактического проживания);
      6. почтовый адрес;
      7. адрес электронной почты;
      8. указанный в обращении контактный телефон;
      9. иные ПДн, указанные заявителем в обращении (жалобе) или ставшие известными в ходе рассмотрения такого обращения, а также ПДн, содержащиеся в документах, представленных гражданином.
   4. Обработка ПДн, необходимых в связи с предоставлением услуг, указанных в пункте 3.1 настоящих Правил, осуществляется без согласия граждан в соответствии с пунктом 4 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральными законами от 27.07.2010 № 210ФЗ «Об организации предоставления государственных и муниципальных услуг», от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление услуги.
   5. Обработка ПДн, необходимых в связи с исполнением услуг, указанных в пункте 3.3 настоящих Правил, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение, (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
   6. Перечисленные в пункте 3.3 ПДн предоставляются непосредственно гражданами, обратившимися в учреждение для получения услуги в виде:
      1. оригиналов необходимых документов (заявление, документ, удостоверяющий личность и др.);
      2. копий документов;
      3. сведений учетных форм (на бумажных и электронных носителях).
   7. При предоставлении услуги запрещается запрашивать у граждан и третьих лиц, а также обрабатывать ПДн в случаях, не предусмотренных законодательством Российской Федерации.
   8. При сборе ПДн должностное лицо Администрации учреждения, осуществляющее получение ПДн непосредственно от граждан, обратившихся за предоставлением услуги, обязано разъяснить указанным гражданам юридические последствия отказа предоставить ПДн.
   9. Передача (распространение, предоставление) и использование ПДн заявителей Администрацией учреждения осуществляется лишь в случаях и в порядке, предусмотренных федеральным законодательством.

4. Порядок обработки ПДн субъектов ПДн в информационных системах

1. 1. Обработка ПДн в учреждении осуществляется в информационных системах (далее – ИС), перечень которых утвержден директором учреждения. 
   2. В состав ПДн, обрабатываемых в ИСПДн учреждения и бухгалтерской службы, входят категории ПДн, указанные в пунктах 2.2, 3.3 настоящих Правил.
   3. Информация вносится в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
   4. Ответственный за обеспечение безопасности ПДн в обрабатываемых ПДн в ИСПДн учреждения и бухгалтерской службы, обеспечивает:
      1. своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное доведение этой информации до ответственного за организацию обработки ПДн в учреждении и бухгалтерской службе;
      2. недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
      3. возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      4. постоянный контроль за обеспечением уровня защищенности ПДн;
      5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
      6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;
      7. при обнаружении нарушений порядка предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям информационной системы ПДн до выявления причин нарушений и устранения этих причин;
      8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей ПДн, использования средств зашиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
   5. Обмен ПДн при их обработке в ИСПДн учреждения и бухгалтерской службе осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
   6. Доступ работников учреждения и бухгалтерской службы к ПДн, находящимся в ИПСДн учреждения и бухгалтерской службы, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
   7. В случае выявления нарушений порядка обработки ПДн в ИСПДн учреждения и бухгалтерской службы уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

5. Сроки обработки и хранения ПДн

5.1 Обработка и хранение ПДн в учреждении и бухгалтерской службе осуществляются не дольше, чем этого требуют цели обработки ПДн. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки ПДн или максимальных сроков хранения - в течение 30 календарных дней;
• утрата необходимости в достижении целей обработки ПДн - в течение 30 календарных дней;
• предоставление субъектом ПДн или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней;
• невозможность обеспечения правомерности обработки ПДн - в течение 10 рабочих дней;
• отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн - в течение 30 календарных дней.

В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в абзацах 2 - 6 настоящего пункта, осуществляется блокирование таких ПДн или обеспечивается их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Администрации) и обеспечивается уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральным законодательством.

6. Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований

1. 1. Работником учреждения и специалистом бухгалтерской службы, ответственными за архивирование, осуществляется систематический контроль и выделение документов, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.
   2. Вопрос об уничтожении выделенных документов (образующихся в процессе деятельности учреждения), содержащих Пдн, рассматривается на заседании Комиссии по уничтожению документов, содержащих персональные данные, создаваемой в учреждении и бухгалтерской службе приказами ответственных за организацию обработки ПДн в учреждении и бухгалтерской службе (далее - Комиссия).
   3. По итогам заседания Комиссии составляется акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами Комиссии.
   4. Сведения об уничтожении вносятся в акт о выделении к уничтожению документов.

Уничтожение документов на бумажных носителях, содержащих ПДн, как правило, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение производится, в том числе с помощью бумагорезательной машины (шредера).

1. 5. Уничтожение всех сведений о субъекте ПДн, содержащихся на электронных носителях, осуществляется путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или стиранием информации с электронных носителей.
   6. Уничтожение всех сведений о субъекте ПДн, содержащихся в ИСПДн в электронном виде, производится «вручную». После чего производится проверка отсутствия записей о субъекте ПДн, которые были удалены, с помощью поиска по фамилии субъекта ПДн.

7. Общедоступные источники ПДн

7.1. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество (последнее - при наличии), год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом ПДн.

7.2. Сведения о субъекте ПДн в любое время могут быть исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.