Положение о порядке обработки персональных данных в ГОУ Гимназии №45 г. Москвы

  1. Общие положения

    1. Ведение документооборота с персональными данными (далее ПДн) осуществляется на основании

      • законодательства РФ, в частности,

        • Конституции РФ
        • ТК глава 14 «О защите персональных данных работника»
        • N 152-ФЗ «О персональных данных»
        • ПП РФ N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

      • Письма Рособразования от 29.07.2009 N 17-110 «Об обеспечении защиты персональных данных»

      • Приказа №К-70/1 от 10.09.2009 о приведении документооборота в соответствие с федеральным законом «О персональных данных»

      • «Положения о ведении учета учебно-педагогической деятельности средствами дистанционных образовательных технологий в ГОУ Гимназии №45 г. Москвы».

    2. Локальные нормативные акты гимназии о ПДн должны быть доступны на сайте гимназии и в печатном виде (в канцелярии).

  2. Получение и хранение ПДн

    1. Субъекты ПДн или их законные представители должны дать письменное согласие на обработку ПДн в гимназии, кроме случаев, когда это не требует законодательство РФ. При этом они должны быть предупреждены о необходимости ознакомиться с законодательством РФ и принятыми в гимназии локальными нормативными актами, в том числе, о возможностях и последствиях своего согласия. Согласие на обработку ПДн может быть отозвано или изменено субъектом ПДн.

    2. Все ПДн сотрудников, обучающихся и их родителей (законных представителей), а также их согласия на обработку ПДн, хранятся в папках «Личное дело». Все «Личные дела» хранятся под уникальными номерами.

    3. Субъекты самостоятельно сдают документы с ПДн, необходимые для исполнения гимназией своих обязательств перед ними в рамках уставной деятельности, и отвечают за достоверность и своевременность передаваемой информации. Исправления в ПДн могут вноситься только на основании письменных заявлений субъектов ПДн; заявления об изменениях также должны храниться в их «Личных делах».

    4. Для внесения изменений в ПДн, получения информации о работе с ПДн, изменения режима обработки ПДн необходимо представить документ, удостоверяющий личность, и письменное заявление. Заявление необходимо передать под роспись ответственному лицу гимназии или послать заказным письмом с уведомлением на адрес гимназии. При отсутствии очевидных признаков получения заявления ответственным лицом гимназии претензии субъекта ПДн в отношении этого заявления считаются несостоятельными.

    5. Состав получаемых гимназией ПДн определяется действующим законодательством РФ и необходимыми для ведения согласованной деятельности данными. Согласие субъекта на обработку ПДн распространяется на все документы в «Личном деле», если иное не указано в тексте согласия.

      Запрещается, за исключением случаев, предусмотренных федеральными законами, получать и обрабатывать ПДн субъекта о его

      • политических, религиозных и иных убеждениях
      • членстве в общественных объединениях
      • профсоюзной деятельности

      В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации гимназия вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

    6. В случаях, когда гимназия может получить необходимые ПДн субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении гимназия обязана сообщить о целях, способах и источниках получения ПДн, а также о характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится в «Личном деле».

    7. Хранение ПДн субъектов осуществляется кадровой службой, учебной частью, бухгалтерией, медицинской службой, психологической службой на бумажных носителях. Они обеспечивают защиту ПДн от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.

    8. Все сотрудники, имеющие доступ к хранению ПДн, обязаны подписать соглашение об их неразглашении. Руководитель, разрешающий доступ сотрудника к документу с ПДн, несет персональную ответственность за данное разрешение.

    9. В целях ведения электронного документооборота ПДн могут заноситься в информационные системы (ИС) гимназии. В ИС гимназии в целях обезличивания, когда это нужно, должны использоваться уникальные номера «Личных дел».

    10. Право доступа к ПДн субъекта имеют в гимназии сам субъект, носитель данных, а также, в части, касающейся соответствующего направления деятельности:

      • директор
      • администраторы
      • бухгалтер
      • сотрудник кадровой службы
      • непосредственные руководители субъекта
      • сотрудник учебной части
      • классный руководитель
      • учитель (где он ведет занятия)
      • медработник
      • психолог
      • администратор информационной системы, содержащей ПДн

  3. Принципы обработки ПДн в гимназии

    1. Обработка ПДн специальной категории (статья 10 №152-ФЗ) осуществляется исключительно на основании нормативных актов федерального или отраслевого уровня. Если в рамках отдельных соглашений с субъектом предусмотрена дополнительная обработка ПДн специальной категории (например, связанные с психологическими техниками), в них должны быть уточнены правила обработки в соответствии с действующим законодательством. ПДн специальной категории в ИС гимназии не обрабатываются.

    2. Чтобы освободить гимназию от необходимости согласовывать с уполномоченными организациями использование ИС и упростить согласования о передаче ПДн третьим лицам в интересах субъектов ПДн, субъекты ПДн дают такое согласие на обработку своих данных, которое позволяет размещение их в общедоступных источниках.

      Обработка персональных данных, которые не разрешили размещать в общедоступных источниках, должна вестись в ИС гимназии обезличено, т.е. под условным именем (кодом «Личного дела») пока не будет условий для иного варианта, обеспечивающего соблюдение законодательства РФ о ПДн.

      Это позволяет гимназии оценивать степень защищенности своих ИС по классу К4 для ИСПДн.

    3. Поскольку факт ведения ПДн в ГОУ Гимназии №45 г. Москвы не может рассматриваться как обязательное наличие согласия на общедоступность данных, он не дает права другим операторам ПДн ссылаться на него для обоснования любых не предусмотренных законодательством РФ действий - они обязаны получать согласие на обработку ПДн непосредственно от субъекта этих ПДн.

    4. Использование ПДн осуществляется сотрудниками гимназии исключительно для реализации своих должностных обязанностей в рамках уставной деятельности гимназии. Более широкое использование ПДн сотрудниками категорически не допускается независимо от широты согласия на обработку ПДн.

    5. Гимназия не передает содержания хранимых в гимназии согласий на обработку ПДн и самих данных субъекта третьей стороне без согласования с субъектом или его законным представителем, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных законодательством РФ или локальными актами гимназии.

    6. Частичный доступ к ПДн может предоставляться для осуществления плановой или согласованной с субъектами ПДн деятельности лицам, ответственным за соответствующее направление работы гимназии.

    7. Доступ к ПДн обучающихся и их родителей (законных представителей) для обмена информацией в отношении обучающихся предоставляется только классным руководителям и ответственным администраторам.

    8. Контроль за соблюдением законодательства и принятых в гимназии правил по работе с ПДн обучающихся и их родителей (законных представителей) осуществляет заместитель директора, курирующий работу классных руководителей.

    9. Соблюдение актуального состояния ПДн, исправления в ПДн, отчет об используемых ПДн, изменение режима обработки ПДн в рамках своих должностных обязанностей должны выполнять:

      • для сотрудников гимназии - ответственный за кадры сотрудник и сотрудники бухгалтерии

      • для обучающихся и их родителей (законных представителей) - классный руководитель и сотрудники учебной части

      • для медицинской и психологической информации - сотрудники соответствующих служб

    10. Все случаи передачи конфиденциальных ПДн, обращения субъектов по поводу отчета или изменения режима обработки должны регистрироваться в журнале учета.

    11. Ответственные за обработку ПДн лица должны обновлять измененные данные в течение одного рабочего дня, кроме периода массового приема; в период массового приема - в течение недели.

    12. Подготовка отчета об использовании ПДн и изменение режима обработки ПДн осуществляются в соответствии с законодательством РФ.

    13. Нарушения при работе с ИС, с ПДн, задержка с актуализацией измененных данных влекут административную ответственность как нарушение трудовой дисциплины, если законодательством РФ не предусмотрено иное.

  4. Принципы построения ИС гимназии для защиты данных

    1. Для построения ИС гимназии используются современные средства и организационные подходы, позволяющие надежно защитить хранимые и обрабатываемые данные:

      • При выборе технических и программных средств строго соблюдаются принципы лицензионности прав, совместимости используемых средств и адекватности их задачам

      • При передаче ответственных данных по компьютерным сетям используются проверенные протоколы шифрации

      • Для организации доступа к ИС реализуются индивидуальные и групповые политики ограничения в соответствии с должностными обязанностями и зонами ответственности

      • Для сохранности данных регулярно осуществляется резервное копирование в соответствии с уровнем важности данных и имеющимися ресурсами

      • Для обеспечения надежной работы всех ИС выполняется комплекс мероприятий по системному и оперативному администрированию технических и программных ресурсов

    2. Пользователи ИС гимназии обязаны ответственно относиться к сохранности и безопасности данных, в том числе, к данным своей авторизации, которая обеспечивает их индивидуальные права доступа. Грубыми нарушениями правил работы в ИС являются:

      • передача данных авторизации другим лицам

      • хранение и использование данных авторизации, допускающие без значительных трудозатрат их хищение, подсматривание или подбор (простые пароли, открыто размещенные записи и т.п.)

      • оставление компьютера без присмотра после авторизации в ИС, не совершая выход из нее

      • несоблюдение мер по предотвращению заражения техники гимназии компьютерными вирусами и иными вредоносными программами

      • действия, несанкционированные ответственными за безопасность данных лицами:

        • копирование ПДн на внешние носители информации

        • обработка ПДн на технике и/или программном обеспечении, неподконтрольных гимназии

        • выход с компьютеров гимназии во внешние сети через неподконтрольные гимназии устройства доступа

    3. По мере формирования условий в отношении ИС гимназии осуществляются все необходимые мероприятия для проведения предусмотренных законодательством РФ процедур аттестации (сертификации).