При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования: а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работникам и обучающимся в прохождении обучения, их карьерном росте, обеспечения личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Организации, учета результатов исполнения ими обязанностей; б) персональные данные следует получать лично у работников или учащихся. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работников и учащихся заранее, получить их письменное согласие и сообщить работникам и обучающимся о целях, предполагаемых источниках и способах получения персональных данных; в) запрещается получать, обрабатывать и приобщать к личному делу работников и учащихся не установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" и Трудовым кодексом Российской Федерации персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах; г) при принятии решений, затрагивающих интересы работников и обучающихся, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей; д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 29.12.2012 N 273- ФЗ "Об образовании в Российской Федерации", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации; е) передача персональных данных третьей стороне не допускается без письменного согласия работников и обучающихся, за исключением случаев, установленных федеральными законами; ж) работники или обучающиеся и их представители должны быть ознакомлены под роспись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области; з) работники и обучающиеся не должны отказываться от своих прав на сохранение и защиту тайны; и) Организация, работники, учащиеся и их представители должны совместно вырабатывать меры защиты персональных данных. 1.10. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. 1.11. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается: в случае их обезличивания; по истечении 75 лет срока их хранения; в других случаях, предусмотренных федеральными законами.
1Понятие и состав персональных данных 2.1. Персональные данные участников образовательного процесса – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. 2.2. В состав персональных данных участников образовательного процесса входят: - анкетные и биографические данные; - образование; - сведения о трудовом и общем стаже; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника; - сведения о социальных льготах; - специальность, - занимаемая должность; - наличие судимостей; - адрес места жительства; - домашний телефон; - место работы или учебы членов семьи и родственников; - характер взаимоотношений в семье; - содержание трудового договора; - состав декларируемых сведений о наличии материальных ценностей; - содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; - копии отчетов, направляемые в органы статистики. 2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
3. Сохранение персональных данных в школе 3.1. Школа гарантирует безопасность и конфиденциальность персональных данных, используемых в целях информационного обеспечения проведения государственной итоговой аттестации учащихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема в образовательные организации для получения среднего профессионального и высшего образования. 3.2. При реализации образовательных программ с применением электронного обучения, дистанционных образовательных технологий школа также обеспечивает защиту персональных данных. 3.3. При поступлении в школу учащиеся представляют достоверные сведения. Школа вправе проверять достоверность представленных сведений. 4. Получение, обработка, хранение персональных данных 4.1. В Школе устанавливается следующий порядок получения персональных данных: 4.1.1. Работодатель не имеет права получать и обрабатывать персональные данные работника или учащегося о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. 4.1.2. В случаях, непосредственно связанных с вопросами трудовых отношений или образования, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни работника или обучающегося только с его письменного согласия. 4.2. Обработка персональных данных возможна только с согласия работников и обучающихся либо без их согласия в следующих случаях: персональные данные являются общедоступными; персональные данные относятся к состоянию здоровья работника или обучающегося, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно; по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом. 4.3. Школа вправе обрабатывать персональные данные работников и учащихся только с их письменного согласия. 4.4. Письменное согласие работника и учащегося на обработку своих персональных данных должно включать в себя: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва. 4.5. Согласие работника или обучающегося не требуется в следующих случаях: обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации; обработка персональных данных в целях исполнения трудового договора или договора на обучение; обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника или обучающегося, если получение его согласия невозможно. 4.6. Школа обеспечивает безопасное хранение персональных данных, в т.ч.: 4.6.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде и на бумажных носителях. 4.6.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 4.6.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. 4.6.4. При хранении персональных данных Школа обеспечивает: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных.
5. Передача персональных данных 5.1. Персональные данные передаются с соблюдением следующих требований: запрещается сообщать персональные данные третьей стороне без письменного согласия работника или обучающегося, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или обучающегося, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации"; не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных; предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации"; осуществлять передачу персональных данных в пределах школы в соответствии с локальным нормативным актом, с которым работник или обучающийся должен быть ознакомлен под роспись; разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций; не запрашивать информацию о состоянии здоровья работника или обучающегося, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции или получения образования; передавать персональные данные работника представителям работников или обучающегося представителям обучающихся в порядке, установленном Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций. 6. Доступ к персональным данным 6.1. Внутренний доступ (доступ внутри организации). 6.1.1. Право доступа к персональным данным сотрудника имеют: - директор школы; - руководители структурных подразделений по направлению деятельности (заместители директора школы, ответственный за делопроизводство); - сам работник, носитель данных; - другие сотрудники школы при выполнении ими своих служебных обязанностей. 6.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом директора школы. 6.2. Внешний доступ. 6.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления; 6.2.2. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции. 6.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения. 6.2.4. Другие организации. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ). 7. Защита персональных данных 7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. 7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. 7.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. 7.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом. 7.5. «Внутренняя защита». 7.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации. 7.5.2. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер: ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний; строгое избирательное и обоснованное распределение документов и информации между работниками; рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации; знание работником требований нормативно – методических документов по защите информации и сохранении тайны; наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника; организация порядка уничтожения информации; своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения; воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами; не допускается выдача личных дел сотрудников на рабочие места руководителей структурных подразделений. Личные дела могут выдаваться на рабочие места только директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению директора, - руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника). 7.5.3. Защита персональных данных сотрудника на электронных носителях. Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий 7.6. «Внешняя защита». 7.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. 7.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности школы, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала. 7.6.3. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер: порядок приема, учета и контроля деятельности посетителей; пропускной режим организации; технические средства охраны, сигнализации; порядок охраны территории, зданий, помещений, транспортных средств; требования к защите информации при интервьюировании и собеседованиях. 7.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников. 7.8. По возможности персональные данные обезличиваются. 7.9. Кроме мер защиты персональных данных, установленных законодательством, участники образовательного процесса и их представители могут вырабатывать совместные меры защиты персональных данных.
