ПОЛИТИКА

Муниципального автономного общеобразовательного учреждения города Владимира

«Лингвистическая гимназия № 23 им. А.Г. Столетова»

в отношении обработки персональных данных.

 

  1. Настоящая Политика в отношении обработки персональных данных (ПДн) в Муниципальном автономном учреждении города Владимира «Лингвистическая гимназия № 23 им. А.Г. Столетова» (далее по тексту – Гимназия, Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

  1. Политика вступает в силу с момента ее утверждения приказом директора Гимназии.

 

  1. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Гимназии, а также в случаях изменения законодательства Российской Федерации в области ПДн.

 

  1. Политика подлежит опубликованию на официальном сайте Гимназии.

 

  1. Целью Политики является обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн в Гимназии.

 

  1. Для целей Политики используются следующие понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

 

  1. Обработка ПДн осуществляется Гимназией в следующих целях:
  • обеспечение прав граждан на образование путем реализации образовательных программ, предусмотренных Уставом образовательной организации, в том числе реализация прав участников образовательных отношений;
  • трудоустройство и выполнение функций работодателя;
  • реализация гражданских правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

 

  1. В соответствии с целями обработки ПДн Гимназией осуществляется обработка следующих категорий субъектов ПДн:

сотрудники, обучающиеся, родители (законные представители), третьи лица.

 

  1. Перечень обрабатываемых ПДн утвержден нормативным актом Гимназии.

 

  1. Обработка ПДн осуществляется в соответствии со следующими принципами:

 

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
  • Гимназия принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому является субъект ПДн;
  • обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

  1. При обработке ПДн обеспечивается конфиденциальность ПДн.

Сотрудники, получившие доступ к ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

  1. Получение ПДн
  • Все ПДн Гимназия получает от самого субъекта ПДн. В случаях, когда субъект ПДн- несовершеннолетний от его родителей (законных представителей).
  • Гимназия сообщает субъекту ПДн цели, предполагаемые источники и способы получения ПДн, характер подлежащих обработке ПДн, перечень действий с ПДн, срок, в течении которого действует согласие, порядок его отзыва, а также последствия отказа субъекта ПДн дать письменное согласие на их получение.
  1. Обработка ПДн
  • Гимназия обрабатывает ПДн в случаях:

— согласия субъекта ПДн  на обработку его ПДн;

— когда обработка ПДн необходима для осуществления и выполнения образовательной организацией, возложенных законодательством Российской Федерацией функций, полномочий и обязанностей;

— когда осуществляется обработка общедоступных ПДн, доступ к которым субъект ПДн предоставил неограниченному кругу.

  • Гимназия обрабатывает ПДн :

— без использования средств автоматизации;

— с использованием средств автоматизации в программах и информационных системах.

  • Гимназия обрабатывает ПДн в сроки:

— которые необходимы для достижения целей обработки ПДн;

— действия согласия субъектов ПДн;

— которые определены законодательством для обработки отдельных видов ПДн.

  1. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта ПДн;

4) цель обработки ПДн;

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;

7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта ПДн.

 

  1. Хранение ПДн:
  • Гимназия хранит ПДн в течении срока, необходимого для достижения целей их обработки, документы, содержащие ПДн, в течении срока хранения документов, предусмотренного номенклатурой дел с учетом архивных сроков хранения.
  • Персональные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, сейфах, либо в запираемых помещениях с ограниченным правом доступа.
  • Персональные данные, обрабатываемые с использованием средств автоматизации, в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
  • При автоматизированной обработке ПДн не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) информационных систем.
  • Хранение ПДн осуществляется не дольше чем этого требуют цели их обработки.
  1. Прекращение обработки ПДн.

Лица, ответственные за обработку ПДн, прекращают их обрабатывать:

  • при достижении целей обработки ПДн;
  • истечении срока действия согласия;
  • отзыве субъектом ПДн своего согласия на обработку ПДн, при отсутствии правовых оснований для продолжения обработки без согласия;
  • выявлении неправомерной обработки ПДн.
  1. Передача ПД.
  • Гимназия передает имеющиеся ПДн третьим лицам в следующих случаях:

– субъект ПДн дал свое согласие на такие действия;

– передача ПДн осуществляется в соответствии с требованиями законодательства Российской Федерации в рамках установленной процедуры;

  • Гимназия не осуществляет трансграничной передачи ПДн.
  1. Уничтожение ПДН:
  • При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект ПДн.
  • Комиссия, состав которой утверждается приказом директора Гимназии выделяет документы (носители) с персональным данными к уничтожению
  • Документы (носители), содержащие ПДн, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения ПДн подтверждается актом об уничтожении документов (носителей), подписанный членами комиссии.
  • Уничтожение документов (носителей), содержащих ПДн, производится путем измельчения. Для уничтожения бумажных документов используется шредер.
  • Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
  1. Защита ПДн

Гимназия принимает нормативные, организационные и технические меры защиты ПДн.

  • Нормативные меры защиты- комплекс локальных актов и распорядительных документов, обеспечивающих создание, функционирование, совершенствование механизмов обработки ПДн.
  • Организационные меры защиты ПДн предполагают создание в образовательной организации разрешительной системы защиты информации во время работы с ПДн должностными лицами.
  • Подсистема технической защиты включает в себя комплекс технических, программных, программно – аппаратных средств, обеспечивающих защиту ПДн.
  • Основными мерами защиты персональных данных в образовательной организации являются:

— Назначение ответственного за организацию обработки ПДн. Ответственный за обработку ПДн осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением образовательной организацией и ее работниками требований к защите ПДн.

— Издание локальных актов по вопросам обработки ПДн , а также локальных актов , определяющих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации , устранение последствий таких нарушений.

— Ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн , настоящей Политикой, , локальными актами по вопросам обработки ПДн.

— Определение актуальных угроз безопасности ПДн при их обработке с использованием средства автоматизации и разработка мер и мероприятий по защите ПДн.

— Установление правил доступа к ПДн, обрабатываемым с использованием средств автоматизации, а также регистрация и учет всех действий, совершаемых с ПДн в информационных системах, и контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем.

— Учет электронных носителей ПДн.

— Принятие мер по факту обнаружения несанкционированного доступа к ПДн, обрабатываемым с использование с средств автоматизации.

— Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства о ПДн, оценка соотношения указанного вреда и принимаемых мер.

— Внутренний контроль и (или) аудит соответствия обработки ПДн требованиям законодательства, настоящей Политики, принятых локальных актов.

— Публикация настоящей Политики.

 

  1. Основные права и обязанности Гимназии как оператора ПДн
  • Предоставлять субъекту ПДн информацию о его ПДн на основании запроса либо отказывает в выполнении правового запроса субъекта ПДн при наличии правовых оснований.
  • Разъяснять субъекту ПДн или его законному представителю юридические последствия отказа предоставить ПДн.
  • Блокировать или удалять неправомерно обрабатываемые, неточные ПДн, либо обеспечивать блокирование или удаление таких данных. В случае подтверждения факта неточности ПДн Гимназия на основании сведений, представленных субъектом ПДн или его законным представителем, уточняет ПДн либо обеспечивает их уточнение и снимает блокирование ПДн.
  • Прекращать обработку и уничтожает ПДн либо обеспечивать прекращение обработки и уничтожение ПДн при достижении цели обработки ПДн.
  • Прекращать обработку ПДн или обеспечивать прекращение обработки ПДн в случае отзыва субъектом ПДн согласия на обработку его ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между образовательной организацией и субъектом ПДн.
  1. Субъект ПДн вправе:
  • Получать информацию, касающейся обработки его персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.
  • Потребовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Обжаловать действия или бездействие Гимназии в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.
  • Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  1. Права субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки их ПДн

Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы Гимназии, не осуществляется.

  1. При достижении целей ожидаются следующие результаты:

-обеспечение защиты прав и свобод субъектов ПДн при обработке его персональных данных;

— повышение общего уровня информационной безопасности Гимназии;

— минимизация юридических рисков Гимназии.

24.  Для качественного предоставления услуг, наш сайт собирает метаданные всех зашедших пользователей: сведения о местоположении, ip-адрес, сведения об операционной системе (тип, язык, версия) и браузере (тип, язык, версия), тип устройства и разрешение экрана, источник, откуда пришел на сайт пользователь и какие страницы он открывает. На компьютере пользователя сохраняются файлы cookies.
Собранная информация используется для обработки статистических данных использования сайта посредством различных интернет-сервисов: Google Analytics, Яндекс.Метрика, LiveInternet, Awstats и др.