ПОЛИТИКА
Муниципального автономного общеобразовательного учреждения города Владимира
«Лингвистическая гимназия № 23 им. А.Г. Столетова»
в отношении обработки персональных данных.
- Настоящая Политика в отношении обработки персональных данных (ПДн) в Муниципальном автономном учреждении города Владимира «Лингвистическая гимназия № 23 им. А.Г. Столетова» (далее по тексту – Гимназия, Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Политика вступает в силу с момента ее утверждения приказом директора Гимназии.
- Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Гимназии, а также в случаях изменения законодательства Российской Федерации в области ПДн.
- Политика подлежит опубликованию на официальном сайте Гимназии.
- Целью Политики является обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн в Гимназии.
- Для целей Политики используются следующие понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Обработка ПДн осуществляется Гимназией в следующих целях:
- обеспечение прав граждан на образование путем реализации образовательных программ, предусмотренных Уставом образовательной организации, в том числе реализация прав участников образовательных отношений;
- трудоустройство и выполнение функций работодателя;
- реализация гражданских правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.
- В соответствии с целями обработки ПДн Гимназией осуществляется обработка следующих категорий субъектов ПДн:
сотрудники, обучающиеся, родители (законные представители), третьи лица.
- Перечень обрабатываемых ПДн утвержден нормативным актом Гимназии.
- Обработка ПДн осуществляется в соответствии со следующими принципами:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПДн, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
- обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки;
- при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
- Гимназия принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому является субъект ПДн;
- обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- При обработке ПДн обеспечивается конфиденциальность ПДн.
Сотрудники, получившие доступ к ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
- Получение ПДн
- Все ПДн Гимназия получает от самого субъекта ПДн. В случаях, когда субъект ПДн- несовершеннолетний от его родителей (законных представителей).
- Гимназия сообщает субъекту ПДн цели, предполагаемые источники и способы получения ПДн, характер подлежащих обработке ПДн, перечень действий с ПДн, срок, в течении которого действует согласие, порядок его отзыва, а также последствия отказа субъекта ПДн дать письменное согласие на их получение.
- Обработка ПДн
- Гимназия обрабатывает ПДн в случаях:
– согласия субъекта ПДн на обработку его ПДн;
– когда обработка ПДн необходима для осуществления и выполнения образовательной организацией, возложенных законодательством Российской Федерацией функций, полномочий и обязанностей;
– когда осуществляется обработка общедоступных ПДн, доступ к которым субъект ПДн предоставил неограниченному кругу.
- Гимназия обрабатывает ПДн :
– без использования средств автоматизации;
– с использованием средств автоматизации в программах и информационных системах.
- Гимназия обрабатывает ПДн в сроки:
– которые необходимы для достижения целей обработки ПДн;
– действия согласия субъектов ПДн;
– которые определены законодательством для обработки отдельных видов ПДн.
- Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта ПДн;
4) цель обработки ПДн;
5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта ПДн.
- Хранение ПДн:
- Гимназия хранит ПДн в течении срока, необходимого для достижения целей их обработки, документы, содержащие ПДн, в течении срока хранения документов, предусмотренного номенклатурой дел с учетом архивных сроков хранения.
- Персональные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, сейфах, либо в запираемых помещениях с ограниченным правом доступа.
- Персональные данные, обрабатываемые с использованием средств автоматизации, в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
- При автоматизированной обработке ПДн не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) информационных систем.
- Хранение ПДн осуществляется не дольше чем этого требуют цели их обработки.
- Прекращение обработки ПДн.
Лица, ответственные за обработку ПДн, прекращают их обрабатывать:
- при достижении целей обработки ПДн;
- истечении срока действия согласия;
- отзыве субъектом ПДн своего согласия на обработку ПДн, при отсутствии правовых оснований для продолжения обработки без согласия;
- выявлении неправомерной обработки ПДн.
- Передача ПД.
- Гимназия передает имеющиеся ПДн третьим лицам в следующих случаях:
– субъект ПДн дал свое согласие на такие действия;
– передача ПДн осуществляется в соответствии с требованиями законодательства Российской Федерации в рамках установленной процедуры;
- Гимназия не осуществляет трансграничной передачи ПДн.
- Уничтожение ПДН:
- При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект ПДн.
- Комиссия, состав которой утверждается приказом директора Гимназии выделяет документы (носители) с персональным данными к уничтожению
- Документы (носители), содержащие ПДн, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения ПДн подтверждается актом об уничтожении документов (носителей), подписанный членами комиссии.
- Уничтожение документов (носителей), содержащих ПДн, производится путем измельчения. Для уничтожения бумажных документов используется шредер.
- Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
- Защита ПДн
Гимназия принимает нормативные, организационные и технические меры защиты ПДн.
- Нормативные меры защиты- комплекс локальных актов и распорядительных документов, обеспечивающих создание, функционирование, совершенствование механизмов обработки ПДн.
- Организационные меры защиты ПДн предполагают создание в образовательной организации разрешительной системы защиты информации во время работы с ПДн должностными лицами.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно – аппаратных средств, обеспечивающих защиту ПДн.
- Основными мерами защиты персональных данных в образовательной организации являются:
– Назначение ответственного за организацию обработки ПДн. Ответственный за обработку ПДн осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением образовательной организацией и ее работниками требований к защите ПДн.
– Издание локальных актов по вопросам обработки ПДн , а также локальных актов , определяющих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации , устранение последствий таких нарушений.
– Ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн , настоящей Политикой, , локальными актами по вопросам обработки ПДн.
– Определение актуальных угроз безопасности ПДн при их обработке с использованием средства автоматизации и разработка мер и мероприятий по защите ПДн.
– Установление правил доступа к ПДн, обрабатываемым с использованием средств автоматизации, а также регистрация и учет всех действий, совершаемых с ПДн в информационных системах, и контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем.
– Учет электронных носителей ПДн.
– Принятие мер по факту обнаружения несанкционированного доступа к ПДн, обрабатываемым с использование с средств автоматизации.
– Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства о ПДн, оценка соотношения указанного вреда и принимаемых мер.
– Внутренний контроль и (или) аудит соответствия обработки ПДн требованиям законодательства, настоящей Политики, принятых локальных актов.
– Публикация настоящей Политики.
- Основные права и обязанности Гимназии как оператора ПДн
- Предоставлять субъекту ПДн информацию о его ПДн на основании запроса либо отказывает в выполнении правового запроса субъекта ПДн при наличии правовых оснований.
- Разъяснять субъекту ПДн или его законному представителю юридические последствия отказа предоставить ПДн.
- Блокировать или удалять неправомерно обрабатываемые, неточные ПДн, либо обеспечивать блокирование или удаление таких данных. В случае подтверждения факта неточности ПДн Гимназия на основании сведений, представленных субъектом ПДн или его законным представителем, уточняет ПДн либо обеспечивает их уточнение и снимает блокирование ПДн.
- Прекращать обработку и уничтожает ПДн либо обеспечивать прекращение обработки и уничтожение ПДн при достижении цели обработки ПДн.
- Прекращать обработку ПДн или обеспечивать прекращение обработки ПДн в случае отзыва субъектом ПДн согласия на обработку его ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между образовательной организацией и субъектом ПДн.
- Субъект ПДн вправе:
- Получать информацию, касающейся обработки его персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.
- Потребовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Обжаловать действия или бездействие Гимназии в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.
- Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Права субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки их ПДн
Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы Гимназии, не осуществляется.
- При достижении целей ожидаются следующие результаты:
-обеспечение защиты прав и свобод субъектов ПДн при обработке его персональных данных;
– повышение общего уровня информационной безопасности Гимназии;
– минимизация юридических рисков Гимназии.
24. Для качественного предоставления услуг, наш сайт собирает метаданные всех зашедших пользователей: сведения о местоположении, ip-адрес, сведения об операционной системе (тип, язык, версия) и браузере (тип, язык, версия), тип устройства и разрешение экрана, источник, откуда пришел на сайт пользователь и какие страницы он открывает. На компьютере пользователя сохраняются файлы cookies.
Собранная информация используется для обработки статистических данных использования сайта посредством различных интернет-сервисов: Google Analytics, Яндекс.Метрика, LiveInternet, Awstats и др.