Таймырское муниципальное бюджетное образовательное учреждение дополнительного образования "Хатангский центр детского творчества" Красноярский край

Таймырское муниципальное бюджетное образовательное
учреждение дополнительного образования
"Хатангский центр детского творчества"

25.01.2022 07:10

ПОЛИТИКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Введение

Настоящий Перечень персональных данных, подлежащих защите в информационных системах персональных данных (ИСПДн) ТМБ ОУДО «Хатангский центр детского творчества» (далее – Перечень) разработан в рамках приведения в соответствие нормативно-правовой базы образовательных учреждений Таймырского муниципального района.
Перечень разработан в соответствии со списком объектов защиты, изложенных в Концепции информационной безопасности ИСПДн Организации.
Перечень содержит полный список категорий данных, безопасность которых должна обеспечиваться системой защиты персональных данных (СЗПДн).

1 Общие положения
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень объектов защиты определен по результатам Отчета о результатах проведения внутренней проверки.
Объекты защиты каждой ИСПДн включают:
1) Обрабатываемая информация:
- персональные данные учащихся, воспитанников (раздел 2.1.1);
- персональные данные сотрудников (раздел 2.1.2);
- персональные данные родителей, законных представителей (раздел 2.1.3);
2) Технологическая информация
3) Программно-технические средства обработки
4) Средства защиты персональных данных
5) Каналы информационного обмена и телекоммуникации
6) Объекты и помещения, в которых размещены компоненты ИСПДн

2 Цели сбора персональных данных. И персональные данные используемые
Образовательной организацией в информационных системах
2.1 Обрабатываемая информация
2.1.1 Персональные данные учащихся, воспитанников включают:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- родной язык;
- обеспечение бесплатным питанием;
- пол;
- сведения о документах (свидетельство о рождении, паспорт, другой документ);
- полис медицинского страхования;
- Адрес фактического проживания;
- Адрес регистрации;
- ИНН
- СНИЛС
- Доход семьи (ниже прожиточного минимума, прожиточный минимум, выше прожиточного минимума);
- особенности (полная, нет отца/матери; отец\мать инвалид; беженцы, переселенцы);
- количество детей, в т.ч. несовершеннолетних;
- семья состоит на учете в органах внутренних дел;
- является сиротой, местонахождение (детский дом, опекаемый, школа-интернат и т.п.);
- имеется прикрепленное жилье – опекаемые (постановление, №, дата);
- состоянии здоровья (инвалид – обучается на дому/в ОУ);
- особенности в развитии (задержка умственного \ физического \ психического развития);
- отклонения в поведении (на внутришкольном учете; на учете в органах внутренних дел);
- Информация об успеваемости учащегося, его аттестации;
- Информация о пропусках, в том числе по болезни, по уважительной причине, без уважительной причины;
- инвалидность (зрение, слух, опорно-двигательный аппарат, другое);
- деятельность после выпуска из школы;
- документ об окончании школы;
- сведения об участии в ЕГЭ;
- зрение;
- группа здоровья;
- физкультурная группа;
- вес;
- рост;
- слух;
- дефекты речи;
- нарушения осанки;
- «Награды» дата; наименование; кем выдана; основание;
- «Внеклассная деятельность» направление деятельности; кружок, секция; учреждение;
- «Достижения» вид мероприятия; предметная область; результат; уровень;
- дата, номер постановки в очередь для зачисления в дошкольное учреждение;
- информация о зачислении в дошкольное образовательное учреждение;

2.1.2 Перечень персональных данных сотрудников образовательных учреждений, Организации;
Персональные данные сотрудников включают:
- фамилия, имя, отчество;
- табельный номер;
- СНИЛС
- место, год и дата рождения;
- адрес по прописке;
- паспортные данные (серия, номер паспорта, кем и когда выдан);
- информация об образовании (наименование образовательного Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- адрес по фактическому проживанию;
- телефонный номер (домашний, рабочий, мобильный);
- семейное положение и состав семьи (муж/жена, дети);
- информация о знании иностранных языков;
- оклад;
- данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- ИНН;
- стаж;
- состав семьи;
- данные об аттестации работников;
- данные о повышении квалификации;
- данные о наградах, медалях, поощрениях, почетных званиях;
- информация о приеме на работу, перемещении по должности, увольнении;
- информация об отпусках;
- информация о командировках;
- информация о болезнях;
- Информация о негосударственном пенсионном обеспечении.
- Фотографии, размещенные на официальном сайте организации, в социальной сети вконтакте.

2.1.3 персональные данные родителей, законных представителей включают:
Данные о родителях (законных представителях):
- фамилия, имя, отчество;
- дата рождения;
- контактный телефон;
- образование.

2.2 Технологическая информация
Технологическая информация, подлежащая защите, включает:
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

2.3 Программно-технические средства обработки
Программно-технические средства включают в себя:
- общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
- резервные копии общесистемного программного обеспечения;
- инструментальные средства и утилиты систем управления ресурсами ИСПДн;
- аппаратные средства обработки ПДн (АРМ и сервера);
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

2.4 Средства защиты персональных данных
Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:
- средства управления и разграничения доступа пользователей;
- средства обеспечения регистрации и учета действий с информацией;
- средства, обеспечивающие целостность данных;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- средства анализа защищенности;
- средства обнаружения вторжений;
- средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

2.5 Каналы информационного обмена и телекоммуникации
Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.
2.6 Объекты и помещения, в которых размещены компоненты ИС ПДн
Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в ТМБ ОУДО «ХЦДТ» осуществляется на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ТМБ ОУДО «ХЦДТ»;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения, созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.

2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи ТМБ ОУДО «ХЦДТ» своих персональных данных.

2.4. Держателем персональных данных является ТМБ ОУДО «ХЦДТ», которому субъект персональных данных добровольно передает во владение свои персональные данные. ТМБ ОУДО «ХЦДТ» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

2.6. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и обучающихся, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4. ПОРЯДОК И УСЛОВИЯ ОБАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. ТМБ ОУДО «ХЦДТ» получает сведения о персональных данных субъектов персональных данных из следующих документов:

- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;
- документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащий сведения об образовании, профессии;
- личный листок по учету кадров для педагогического работника;
- иные документы и сведения, предоставляемые субъектом персональных данных при приеме на работу, обучение, а также в процессе работы, обучения.

Субъект персональных данных обязан представлять ТМБ ОУДО «ХЦДТ» достоверные сведения о себе. ТМБ ОУДО «ХЦДТ» имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

4.2. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и качества освоения учебного материала, обеспечения сохранности имущества.

4.3. При определении объема и содержания обрабатываемых персональных данных субъектов ТМБ ОУДО «ХЦДТ» руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, законодательством в сфере образования и иными федеральными законами.

4.4. Все персональные данные субъекта персональных данных ТМБ ОУДО «ХЦДТ» получает непосредственно у указанных субъектов. Сотрудник, ответственный за документационное обеспечение кадровой и учебной деятельности, принимает от субъекта документы, проверяет их полноту и правильность указываемых сведений.

4.5. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. ТМБ ОУДО «ХЦДТ» должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение.

4.6. Условием обработки персональных данных субъекта персональных данных является его письменное согласие.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

4.7. Согласия субъекта на обработку его персональных данных не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и ТМБ ОУДО «ХЦДТ»;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия при данных обстоятельствах невозможно;

- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

4.8. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

4.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель.

В случае смерти субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.

4.10. В случае, если ТМБ ОУДО «ХЦДТ» на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

4.11. ТМБ ОУДО «ХЦДТ» не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной, частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением, если:

- субъект дал согласие в письменной форме на обработку своих соответствующих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта в данный момент невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных необходима в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

Обработка персональных данных, перечисленных в п.4.11. настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

4.12. Документы, содержащие персональные данные педагогического работника составляют его личное дело. Документы, содержащие персональные данные обучающегося составляют личную карту обучающегося.

Личное дело хранится уполномоченным лицом на бумажных носителях; помимо этого, может храниться в виде электронных документов, баз данных. Личное дело пополняется на протяжении всей трудовой деятельности педагогического работника, личная карта на протяжении курса обучения обучающегося.

Письменные доказательства получения оператором согласия субъекта персональных данных на их обработку хранятся в личном деле (карте обучающегося).

4.13. Круг лиц, допущенных к работе с документами, содержащими персональные данные субъектов, определяется приказом директора ТМБ ОУДО «ХЦДТ».

4.14. К получению, обработке, передаче и хранению персональных данных субъекта могут иметь доступ сотрудники администрации ТМБ ОУДО «ХЦДТ», сотрудники бухгалтерского учета, представители органов управления образования муниципального, регионального и федерального уровней.

4.15. Основная работа по обработке персональных данных возлагается на заместителя директора по УВР, курирующего вопросы информатизации в ТМБ ОУДО «ХЦДТ», специалиста по кадрам ТМБ ОУДО «ХЦДТ», заместителя директора по УВР, курирующего вопросы промежуточной аттестации в ТМБ ОУДО «ХЦДТ».

4.16. Методическое руководство и контроль за соблюдением требований по обработке персональных данных, контроль за соблюдением прав и свобод субъектов персональных данных возлагается на директора ТМБ ОУДО «ХЦДТ».

4.17. Правовую поддержку обеспечивает администрация путем рассмотрения и согласования инструкций по обработке персональных данных.

4.18. Организация обеспечения техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы организуется заместителем директора по УВР, курирующим вопросы информатизации.

4.24. Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

5.1. Внутренний доступ к персональным данным субъектов имеют сотрудники ТМБ ОУДО «ХЦДТ», которым эти данные необходимы для выполнения должностных обязанностей.

5.1.1. Право доступа к персональным данным субъекта – работника имеют:

-       директор;
-       заместитель директора по УВР;
-       заместитель директора по АХР;
-       специалист по кадрам;
-       секретарь - машинистка;
-       непосредственно субъект;

Право доступа к персональным данным субъекта – обучающегося в ТМБ ОУДО «ХЦДТ» имеют:

-       директор ;
-       заместитель директора по УВР;
-       заместитель директора по АХР;
-       специалист по кадрам;
-       секретарь- машинистка;
-       социальный педагог;
-       педагог-психолог;
-       учитель-логопед;
-       заведующий библиотекой;
-       медицинский работник;
-       классный руководитель;
-       непосредственно субъект;
После прекращения юридических отношений с субъектом персональных данных (увольнения работника, окончания обучения обучающегося и т.п.) документы, содержащие его персональные данные, хранятся в ТМБ ОУДО «ХЦДТ» в течение сроков, установленных архивным и иным законодательством РФ.

5.2. Внешний доступ.

5.2.1. К числу массовых потребителей персональных данных вне ТМБ ОУДО «ХЦДТ» относятся следующие структуры:

- налоговые органы;
- правоохранительные органы;
- органы лицензирования и сертификации;
- органы прокуратуры и ФСБ;
- органы статистики;
- страховые агентства;
- военкомат;
- органы социального страхования;
- пенсионный фонд;
- органы управления образования;
- учреждение «Централизованная бухгалтерия»;

5.2.2. Контрольно - надзорные органы имеют доступ к информации исключительно в сфере своей компетенции.

5.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

5.4. Оператор обязан сообщать персональные данные субъекта по надлежаще оформленным запросам суда, прокуратуры иных правоохранительных органов.

5.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника. Аналогичное правило применяется в отношении обучающихся (в том числе окончивших ТМБ ОУДО «ХЦДТ») и иных категорий обучающихся.

5.6. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

5.7. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.

5.8. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.

5.9. Не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции и возможности обучения.

5.10. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону.

5.11. Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.