1. Общие положения
1.1. Настоящая политика обработки персональных данных разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые муниципальным бюджетным общеобразовательным учреждением «Гимназия №65 имени Н.Сафронова» (далее – Гимназия №65, Гимназия, Оператор).
1.2. При обработке персональных данных Оператор – Гимназия № 65 исходит из необходимости обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну в соответствии с требованиями законодательства Российской Федерации.
1.3. Соблюдение порядка, установленного настоящей Политикой, является главным условием обработки персональных данных Оператором и обязательно для всех работников гимназии.
1.4. Положение регулирует отношения между Гимназией № 65 и иными лицами, возникающие в связи с обработкой их персональных данных гимназией.
1.5. Гимназия № 65 принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.
1.6. В настоящую Политику могут вноситься изменения без предварительного уведомления субъектов персональных данных. Актуальная редакция Политики обработки персональных данных размещается на официальном сайте Гимназии в сети «Интернет».
2. Понятия, используемые в настоящей Политике
Термины и определения, используемые в настоящей Политике, используются в значении, определенном Законом о персональных данных:
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Оператор – Гимназия № 65 самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Условия обработки персональных данных
3.1. Обработка персональных данных осуществляется Гимназией исключительно для достижения целей, установленных настоящей Политикой в соответствии с уставными видами деятельности Оператора.
3.2. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.
3.3. Для каждой цели обработки персональных данных устанавливаются соответствующие:
3.3.1. категории (перечень) обрабатываемых персональных данных;
3.3.2. категории субъектов, персональные данные которых могут обрабатываться;
3.3.3. перечень действий и способы обработки персональных данных;
3.3.4. правовое основание обработки персональных данных.
3.4. Перечень целей обработки персональных данных Гимназии № 65 приведен в приложении № 1 к Политике.
3.5. Сроки обработки персональных данных определяются целями такой обработки исходя из видов деятельности, осуществляемых Гимназией № 65 в соответствии с компетенцией.
3.6. Срок хранения персональных данных устанавливается номенклатурой дел Гимназии №65 в соответствии с законодательством, определяющим перечень документов, образующихся в процессе образовательной деятельности и их сроки хранения.
3.7. Уничтожение персональных данных производится в следующих случаях:
3.5.1. при достижении целей обработки персональных данных или в случае утраты необходимости в достижении целей обработки персональных данных, если иное не установлено Политикой и требованиями действующего законодательства о персональных данных;
3.5.2. при истечении срока действия правовых оснований обработки персональных данных;
3.5.3. при выявлении факта обработки персональных данных, не соответствующей требованиям Положения и/или требованиям действующего законодательства о персональных данных;
3.5.4. при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено требованиями действующего законодательства о персональных данных;
3.5.5. при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не предусмотрено требованиями действующего законодательства о персональных данных;
3.5.6. при получении от надзорного органа решения об уничтожении персональных данных, в том числе решения о запрете или ограничении трансграничной передачи.
3.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, установленных Законом о персональных данных и другими федеральными законами, когда получение согласия не требуется.
3.7. Обработка персональных данных необходима и осуществляется для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.8. Уничтожение персональных данных производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационных системах и/или в результате которых уничтожаются материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в информационной системе персональных данных.
4. Права субъектов персональных данных
4.1. Субъект персональных данных имеет право:
4.1.1. на получение в доступной форме информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами;
4.1.2. на получение сведений, указанных в пункте 4.1.1. настоящей Политики, за исключением случаев, предусмотренных пунктом 4.2 Политики;
4.1.3. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.1.4. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы.
4.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Законом о персональных данных и иными федеральными законами.
5. Права и обязанности Оператора персональных данных
5.1. Оператор персональных данных имеет право:
5.1.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
5.1.2. в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
5.1.3. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
5.2. Оператор персональных данных обязан:
5.2.1. предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных и предусмотренную пунктом 4.1.1. настоящей Политики;
5.2.2. организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
5.2.3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
5.2.4. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
5.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
5.2.6. публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
5.2.7. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;
5.2.8. если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные Законом о персональных данных права субъекта персональных данных;
5) источник получения персональных данных.
Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения в случаях, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о персональных данных;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц;
5.2.9. устранить нарушения законодательства, допущенные при обработке персональных данных, уточнять, блокировать и уничтожать персональные данные в случаях и порядке, установленных Законом о персональных данных
6. Участники системы управления процессом обработки и защиты персональных данных
6.1. В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных законодательством Российской Федерации для операторов персональных данных, в Гимназии определяются основные участники указанной системы управления и их функции.
6.2. Директор Гимназии №65:
6.2.1. определяет, рассматривает и утверждает настоящую Политику;
6.2.2. назначает должностное лицо, ответственное за организацию обработки и защиту персональных данных в Гимназии.
6.3. Должностное лицо, ответственное за организацию обработки персональных данных в Гимназии №65:
6.3.1. осуществляет управление процессом организации обработки и защиты персональных данных в Гимназии в соответствии с требованиями законодательства Российской Федерации, Политики и иных локальных нормативных актов Гимназии № 65 по вопросам обработки и защиты персональных данных;
6.3.2. осуществляет внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
6.3.3. доводит до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
6.3.4. организует прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
7. Меры обеспечения конфиденциальности и безопасности персональных данных
7.1. Для обеспечения конфиденциальности и безопасности персональных данных субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с Законом о персональных данных Гимназии принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие. В частности, принимаются следующие меры:
7.1.1. определяются актуальные угрозы безопасности персональных данных, обрабатываемых в Гимназии, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
7.1.2. для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
7.1.3. проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
7.1.4. обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;
7.1.5. осуществляется организация учета технических средств, а также машинных носителей, используемых при обработке персональных данных;
7.1.6. определяется и при необходимости актуализируется перечень работников, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем работникам, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;
7.1.7. осуществляется ознакомление ответственных работников с требованиями законодательства и локальных нормативных актов;
7.1.8. обеспечивается недопущение к персональным данным лиц, не имеющих допуска к работе с персональными данными;
7.1.9. реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на и по реагированию на компьютерные инциденты;
7.1.10. осуществляется оценка вреда, наступление которого возможно при наступлении случая несоблюдения обязательных требований;
7.1.11. осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
7.1.12. проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
7.1.13. осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
7.1.14. осуществляется применение СКЗИ на автоматизированных рабочих местах;
7.1.15. передача сведений, содержащих персональные данные, осуществляется по защищенным каналам связи;
7.1.16. обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем применения электронной подписи, используется антивирусные средства защиты информации, межсетевое экранирование, присвоение персональных паролей для каждого рабочего места (конкретного работника), в обязанности которого входит обработка персональных данных;
7.1.17. установление сейфов для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установление пожарной сигнализации, видеонаблюдения, поста охраны.
Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://ulgimn65.gosuslugi.ru/policy/.
