Общие положения Назначение документа

УТВЕРЖДЕНА

Приказом директора

ГБС(К)ОУ СКОШИ №4

от «___» __________ 2012 г. №___

ПОЛИТИКА

в отношении обработки персональных данных

1. Общие положения

   1. Назначение документа

      1. 
         Политика в отношении обработки персональных данных (далее – Политика) определяет систему взглядов ГБС(К)ОУ СКОШИ №4 (далее – Оператор) на обработку и защиту персональных данных (ПДн).
         
      2. 
         Настоящая Политика разработана в соответствии с:
         

• 
  Конституцией Российской Федерации;
  
• 
  Трудовым кодексом Российской Федерации;
  
• 
  Гражданским кодексом Российской Федерации;
  
• 
  Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  
• 
  Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных);
  
• 
  Законом Российской Федерации от 10 июля 1992 г. №3266-1 «Об образовании» (далее – Закон «Об образовании).
  

1. 
   Цель Политики – обеспечение соблюдения норм законодательства Российской Федерации и выполнения требований Правительства Российской Федерации в области обработки и защиты ПДн.
   

1. Область действия документа

   1. 
      Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
      
   2. 
      Положения настоящей Политики распространяются на весь объем ПДн, обрабатываемых Оператором, полученных как до, так и после вступления ее в силу, а также на всех субъектов ПДн.
      
2. 
   Вступление в силу документа
   
   1. 
      Настоящая Политика вступает в силу с момента ее утверждения директором Оператора и действует бессрочно до замены ее новой Политикой.
      
   2. 
      В соответствии с п. 2 ст. 18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.
      

1. Сведения об Операторе

   1. Реквизиты

      1. 
         Полное наименование Оператора: Государственное специальное (коррекционное) образовательное учреждение для обучающихся, воспитанников с ограниченными возможностями здоровья «Специальная (коррекционная) общеобразовательная школа-интернат №4 I и II вида» г. Сыктывкара.
         
      2. 
         ИНН: 1101486357.
         
      3. 
         Юридический адрес: 167905, республика Коми, г. Сыктывкар, пгт. Верхняя Максакова, Нювчимское шоссе, 62.
         
      4. 
         Телефон: (8212) 232-107.
         
      5. 
         Регистрационный номер в Реестре операторов, осуществляющих обработку ПДн: 11-0229789.
         

   2. Исполнение Политики

      1. 
         С целью исполнения настоящей Политики директором Оператора утверждены:
         

• 
  Положение об обработке и защите персональных данных»;
  
• 
  Перечень обрабатываемых персональных данных;
  
• 
  Перечень работников, допущенных к неавтоматизированной обработке персональных данных;
  
• 
  Перечни прав доступа работников к ресурсам информационных систем персональных данных;
  
• 
  Перечень защищаемых помещений;
  
• 
  Списки лиц, имеющих право самостоятельного доступа в защищаемые помещения;
  
• 
  Перечень хранилищ персональных данных и их материальных носителей;
  
• 
  Перечни данных, подлежащих резервному копированию в информационных системах персональных данных;
  
• 
  Частная модель угроз безопасности информационных систем персональных данных;
  
• 
  Акты классификации информационных систем персональных данных;
  
• 
  Перечень информационных систем персональных данных;
  
• 
  иные локальные документы, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки и защиты персональных данных.
  

3. Обрабатываемые персональные данные

   1. Субъекты ПДн

      1. 
         Обрабатываемые Оператором ПДн принадлежат следующим субъектам ПДн:
         

• 
  работникам Оператора;
  
• 
  родителям, законным представителям обучающихся, воспитанников (далее – заявители);
  
• 
  обучающимся, воспитанникам (далее – воспитанники).
  

1. Состав обрабатываемых ПДн

   1. 
      Оператором обрабатываются следующие категории ПДн:
      

• 
  ПДн работников:
  
  • 
    первичные сведения (Ф. И. О., дата, год и место рождения и др.);
    
  • 
    сведения о документе, удостоверяющем личность (серия, номер и др.);
    
  • 
    реквизиты (ИНН, СНИЛС, медицинский полис и др.);
    
  • 
    сведения о занимаемой должности (место работы, должность, трудовой договор и др.);
    
  • 
    сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование и др.);
    
  • 
    сведения о трудовой деятельности (трудовой стаж, места работы и др.);
    
  • 
    сведения о повышении квалификации (сведения о документах, подтверждающих квалификацию и др.);
    
  • 
    бухгалтерские сведения (тарифная ставка, надбавка, данные о начисленных суммах и др.);
    
  • 
    сведения о состоянии на воинском учете;
    
  • 
    сведения о составе семьи;
    
  • 
    иные сведения.
    
• 
  ПДн заявителей:
  
  • 
    первичные сведения (Ф. И. О., дата и год рождения и др.);
    
  • 
    сведения о документе, удостоверяющем личность (серия, номер и др.);
    
  • 
    сведения о месте работы;
    
  • 
    сведения о составе семьи;
    
  • 
    сведения социальных льготах и социальном статусе.
    
• 
  ПДн воспитанников:
  
  • 
    первичные сведения (Ф. И. О., дата и год рождения и др.);
    
  • 
    сведения о документе, удостоверяющем личность (серия, номер и др.);
    
  • 
    реквизиты (СНИЛС, пенсионное удостоверение, полис ОМС);
    
  • 
    сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование и др.);
    
  • 
    сведения о работе, проводимой с семьей;
    
  • 
    сведения, характеризующие ученика;
    
  • 
    медицинские сведения (сведения о состоянии здоровья, о прививках, о прохождении медицинских и профилактических осмотров и др.).
    

1. Цели обработки ПДн

   1. 
      Оператор осуществляет обработку ПДн работников Оператора в целях:
      

• 
  исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;
  
• 
  исполнения обязательств и функций работодателя;
  
• 
  исполнения обязанностей и функций специального образовательного учреждения;
  
• 
  ведения кадрового делопроизводства и бухгалтерского учета;
  
• 
  расчета, начисления и выдачи заработной и иной платы;
  
• 
  осуществления отчислений в пенсионные фонды, федеральную налоговую службу, фонды социального страхования;
  
• 
  содействия в трудоустройстве;
  
• 
  обучения, повышения квалификации и продвижения по службе;
  
• 
  предоставления льгот;
  
• 
  контроля количества и качества выполняемой работы;
  
• 
  обеспечения личной безопасности.
  

1. 
   Оператор осуществляет обработку ПДн заявителей в целях:
   

• 
  исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;
  
• 
  оформления воспитанников на обучение к Оператору;
  
• 
  исполнения обязанностей и функций специального образовательного учреждения;
  
• 
  представления интересов воспитанников и защиты их законных прав;
  
• 
  связи в случае необходимости.
  

1. 
   Оператор осуществляет обработку ПДн воспитанников в целях:
   

• 
  исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;
  
• 
  приема воспитанника на обучение к Оператору;
  
• 
  обеспечения и защиты их прав и законных интересов;
  
• 
  исполнения обязанностей и функций специального образовательного учреждения.
  

1. Биометрические ПДн

   1. 
      Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Оператором не обрабатываются.
      

2. Специальные категории ПДн

   1. 
      Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (специальные категории ПДн) Оператором не обрабатываются, за исключением случаев, указанных в п. 3.5.2 настоящей Политики.
      
   2. 
      Оператором обрабатываются сведения о состоянии здоровья воспитанников, исключительно в целях, установленных Законом «Об образовании» и иными нормативными актами Российской Федерации, на бумажных носителях информации (медицинские карты воспитанников), с письменного согласия их законных представителей (заявителей).
      

1. Обработка персональных данных

   1. Общие сведения

      1. 
         Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, определенных ст. 5 ФЗ «О персональных данных».
         
      2. 
         Обработка Оператором ПДн субъектов ПДн осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по внутренней сети Оператора и по сети Интернет.
         
      3. 
         ПДн субъектов ПДн используются Оператором в соответствии с теми целями, для которых они собираются.
         
      4. 
         Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн.
         

   2. Сбор ПДн

      1. 
         ПДн субъектов ПДн Оператор получает напрямую от субъектов ПДн.
         
      2. 
         В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Оператор извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
         
      3. 
         Для получения ПДн субъекта ПДн от третьей стороны Оператор сначала получает его письменное согласие.
         
      4. 
         ПДн воспитанников Оператор получает от их родителей, законных представителей.
         

   3. Хранение ПДн

      1. 
         Оператор хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
         
      2. 
         Оператор хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
         
      3. 
         Сроки хранения ПДн и их материальных носителей определяются в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Министерства культуры Российской Федерации от 25 августа 2010 года №558, номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
         
      4. 
         При обработке ПДн на бумажных носителях Оператором обеспечивается выполнение требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года №687.
         
      5. 
         При обработке ПДн на машинных носителях или в информационных системах персональных данных (ИСПДн) Оператором обеспечивается выполнение требований «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года №781.
         

   4. Передача ПДн

      1. 
         В целях соблюдения законодательства Российской Федерации, для достижения указанных в п. п. 3.3.1-3.3.3 настоящей Политики целей обработки, а также в интересах и с согласия субъектов ПДн, Оператор в ходе своей деятельности предоставляет ПДн субъектов ПДн следующим организациям:
         

• 
  Федеральной налоговой службе России;
  
• 
  Федеральному казначейству;
  
• 
  Федеральной инспекции труда;
  
• 
  Органам прокуратуры и ФСБ;
  
• 
  Правоохранительным органам;
  
• 
  Пенсионному фонду России;
  
• 
  Государственным и муниципальным органам управления;
  
• 
  Негосударственным пенсионным фондам;
  
• 
  Страховым компаниям;
  
• 
  Банкам;
  
• 
  Органам лицензирования и сертификации;
  
• 
  Органам статистики;
  
• 
  Медицинским учреждениям;
  
• 
  Военкомату;
  
• 
  Органам статистики;
  
• 
  лицу, осуществляющему обработку ПДн по поручению Оператора (см. п. 4.7 настоящей Политики).
  

1. Трансграничная передача ПДн

   1. 
      Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Оператором не осуществляется.
      

2. Общедоступные источники ПДн

   1. 
      Оператор не ведет формирование общедоступные источники ПДн (справочников, адресных книг), за исключением случаев, указанных в п. 4.6.2 настоящей Политики.
      
   2. 
      В соответствии с п. 1 ч. 4 и ч. 5 ст. 32 Закона «Об образовании», сведения о персональном составе педагогических работников с указанием уровня образования и квалификации подлежат размещению на официальном сайте Оператора в сети Интернет и обновлению в течение тридцати дней со дня внесения соответствующих изменений.
      

3. Поручение обработки ПДн

   1. 
      Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
      
   2. 
      Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать конфиденциальность полученных от Оператора ПДн субъектов ПДн и обеспечивать их безопасность при обработке в соответствии с требованиями законодательства Российской Федерации.
      
   3. 
      Субъект ПДн имеет право получить сведения о работниках лица, осуществляющего обработку по поручению Оператора (Ф. И. О., должность, рабочий телефон), которые имеют доступ к его ПДн.
      
   4. 
      Оператор самостоятельно осуществляет обработку ПДн субъектов ПДн и не поручает ее третьим лицам.
      

1. Права субъектов ПДн

4. 
   
   
5. 
   
   
   1. 
      Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.
      
   2. 
      Субъект ПДн вправе требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
      
   3. 
      Субъекты ПДн имеют право запрашивать у Оператора следующие сведения:
      

• 
  подтверждение факта обработки ПДн Оператором;
  
• 
  правовые основания и цели обработки ПДн;
  
• 
  используемые Оператором способы обработки ПДн;
  
• 
  наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
  
• 
  обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  
• 
  сроки обработки ПДн, в том числе сроки их хранения;
  
• 
  порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации;
  
• 
  информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  
• 
  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  
• 
  иные сведения, предусмотренные законодательством Российской Федерации.
  

1. 
   Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
   
2. 
   Для реализации своих прав и защиты законных интересов (см. п. 5.1-5.3 настоящей Политики), субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
   
3. 
   Субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.
   
4. 
   Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
   
5. 
   Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись к Оператору.
   

6. Защита персональных данных

5. 
   
   
6. 
   
   
   1. 
      Оператор гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.
      
   2. 
      Все работники Оператора, имеющие доступ к ПДн, соблюдают правила их обработки и исполняют требования по их защите.
      
   3. 
      Оператор принимает все необходимые правовые, организационные и инженерно-технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
      
   4. 
      Обеспечение ПДн достигается в частности:
      

• 
  назначением ответственных за организацию обработки и защиты ПДн;
  
• 
  осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
  
• 
  ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников.
  
• 
  определением угроз безопасности ПДн при их обработке в ИСПДн;
  
• 
  применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
  
• 
  оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  
• 
  учетом машинных носителей ПДн;
  
• 
  обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  
• 
  восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  
• 
  установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  
• 
  контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.
  

7. Контактная информация

   1. Оператор

      1. 
         Ответственное лицо Оператора за организацию обработки и защиты ПДн: заместитель директора по БТ и Ж – Дмитрий Аркадьевич Костров.
         
      2. 
         Почтовый адрес: 167905, республика Коми, г. Сыктывкар, пгт. Верхняя Максакова, Нювчимское шоссе, 62.
         
      3. 
         Контактный телефон: (8212) 232-107.
         
      4. 
         Электронная почта: [email protected].
         
      5. 
         Официальный сайт: www.shk-int4.clan.su.
         
      6. 
         Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки и защиты ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.
         
      7. 
         Также с настоящей Политикой можно ознакомиться на официальном сайте Оператора в сети Интернет по адресу: http://shk-int4.clan.su/load/0-0-0-233-20
         

   2. Территориальный орган Роскомнадзора по республике Коми

      1. 
         Руководитель Управления: Вежев Владимир Александрович.
         
      2. 
         Почтовый адрес: 167981, республика Коми, г. Сыктывкар, ул. Коммунистическая, 17.
         
      3. 
         Контактный телефон: (8212) 216-800.
         
      4. 
         Электронная почта: [email protected].
         
      5. 
         Официальный сайт: www.11.rsoc.ru.