Защита персональных данных

Приложение

к приказу комитета по образованию

администрации Ханты-Мансийского района

от 10.05.2017 г. №_346-О

ПОЛИТИКА

в области обработки и защиты персональных данных

в комитете по образованию

I.Общие положения

        1. В настоящемдокументе используются следующие основные понятия:

        Оператор – комитет по образованию администрация Ханты-Мансийского района, подведомственные образовательные организации, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

        субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных (далее – ПДн).

        Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзораза соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (далее – Уполномоченный орган).

        2. Настоящий документ определяет политику Оператора в области обработки и защиты персональных данных (далее –Политика). Целью Политики является защита интересов Оператора, субъектов ПДн, обрабатываемых Оператором, а также выполнение законодательства Российской Федерации о ПДн.

        3. Политика раскрывает цели, способы и принципы обработки ПДн Оператором, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.

        4. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

        5. Положения Политики распространяются на отношенияпо обработке и защите ПДн, полученных как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защиты ПДн, полученных до его утверждения.

II.Правовые основания и цели обработки персональных данных

         1. Политика Оператора в области обработки ПДн определяется в соответствии с действующим законодательством и принятыми в соответствии с ним нормативными правовыми актами.      Обработка ПДн Оператором осуществляется в связи с исполнением возложенных на него полномочий, функций и обязанностей. Кроме того, обработка ПДн осуществляется в ходе трудовых и иных, непосредственно связанныхс ними отношений.

         2.      Во исполнение настоящей Политики руководителем Оператора принимаются (утверждаются в виде правового акта комитета по образованию администрации Ханты-Мансийского района) следующие документы:

         приказ о назначении ответственного за организацию обработки ПДн;

         приказ об организации работ по обеспечению безопасности ПДн при их обработке, в том числе в информационных системах ПДн;

         приказ об утверждении перечня ПДн;

         приказ об утверждении перечня должностей, замещение которых предусматривает осуществление обработки ПДн, либо осуществление доступа кПДн;

         приказ об утверждении перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;

         приказ об утверждении правил рассмотрения запросов субъектов ПДн или их представителей;

         приказ о проведении внутреннего контроля соответствия обработки ПДн;

         приказ об утверждении правил работы с обезличенными ПДн;

         форма обязательства о неразглашении информации, содержащей ПДн, утвержденная приказом комитета по образованию об организации работ по обеспечению безопасности ПДн при их обработке, в том числе в информационных системах ПДн;

         форма согласия на обработку ПДн работников Оператора, а также иных субъектов ПДн;

         приказ об утверждении типовой формы разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн.

         3. Обработка ПДн осуществляется в целях:

         ведения кадрового учета работниковОператора и начисления им заработной платы, кадрового учета руководителей подведомственных Оператору учреждений, оплаты услуг по договорам гражданско-правового характера;

         проведения конкурсов по замещению вакантных должностей, по включению в кадровый резерв;

         ведения работы с обращениями граждан;

         учёта сведений о доходах, имуществе и обязательствах имущественного характера работниковОператора, руководителей подведомственных Операторумуниципальных учреждений, членов их семей;

         исполнения иных полномочий, функций и обязанностей,возложенных на комитет по образованию.

III.Перечень персональных данныхи источники их получения

         1. Перечень ПДн утверждается правовым актом комитета по образованию.

         2. Получение сведений о ПДн осуществляется на основании документов и информации, представленных лично субъектом ПДн, подлежащих обработке.

IV.Основные принципы обработки, передачи и хранения

персональных данных

         1.Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в соответствии со статьей 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).

         2.Оператор осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья, с использованием и без использования средств автоматизации.

         3.Трансграничная передача ПДн осуществляется в соответствии с Федеральным законом № 152-ФЗ.

         4.Оператором используются общедоступные источники ПДн (справочник, официальный информационный сайт комитета по образованию). ПДн, сообщаемые субъектом ПДн (фамилия, имя, отчество, абонентский номер, сведения о замещаемой должности), включаются в такие источники только с письменного согласия субъекта         ПДн.

V.Сведения о других лицах, осуществляющих обработку

персональных данных

         1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

         Федеральной налоговой службе России;

         Пенсионному фонду России;

         негосударственным пенсионным фондам;

         кредитным организациям;

         лицензирующим и/или контролирующим органам государственной власти и местного самоуправления.

         2.Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

VI. Меры по обеспечению безопасности персональных данных

при их обработке

         1.Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Обеспечение безопасности ПДн достигается, в частности:

         назначением ответственного за организацию обработки ПДн;

         осуществлением внутреннего контроля соответствия обработки ПДн Федеральному закону № 152-ФЗ и принятым в соответствии с ним правовым актам, требованиям к защите ПДн;

         ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, правовыми актами в отношении обработки ПДн, и (или) обучением указанных работников;

         применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), необходимых для выполнения требований к защите ПДн;

         учетом машинных носителей ПДн;

         обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

         восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

         контролем за принимаемыми мерами по обеспечению безопасности ПДн.

VII.Права субъектов персональных данных

         1.Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.

         2.Субъект ПДн вправе требовать от Оператора уточнения обрабатываемых Оператором ПДн субъекта ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

         3.Право субъекта ПДн на доступ к его ПДн может быть ограничено в случаях, установленных статьей 14 Федерального закона №152-ФЗ.

         4.Для реализации своих прав и защиты законных интересов субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

         5.Субъект ПДн вправе обжаловать действия или бездействие Оператора путем обращения в Уполномоченный орган по защите прав субъектов ПДн.

         6.Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

VIII.Сроки обработки (хранения) персональных данных

         1.Течение срока обработки ПДн начинается с момента их получения Оператором.

         2.Оператор осуществляет хранение ПДн в форме, позволяющей определить субъект ПДн, не дольше, чем того требуют цели их обработки.

         3.ПДн работников Оператора, в том числе родственников работникаОператора, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).

         4.ПДн участников кадровых конкурсов хранятся в отделе кадровой работы и муниципальной службы Операторав течение трех лет.

         5.ПДн граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора.

         6.Персональные данные субъектов ПДн при составлении протоколов административных правонарушений хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора.

         7.ПДн граждан, обрабатываемые при подготовке и оформлении документов по представлению к награждению.хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора.

         8.ПДн, обрабатываемые в связи с исполнением полномочий, функций и обязанностей, в том числесвязанных с оказанием муниципальных услуг и осуществлением муниципальных функций, хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора.

IX.Уточнение, блокирование и уничтожение

персональных данных

         1.Целью уточнения ПДн, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности ПДн, обрабатываемых Оператором.

         2.Уточнение ПДн осуществляется Оператором по собственной инициативе, по требованию субъекта ПДн или его представителя, по требованию Уполномоченного органа в случаях, когда установлено, что ПДн являются неполными, устаревшими, недостоверными.

         3.Целью блокирования ПДн является временное прекращение обработки ПДн до момента устранения обстоятельств, послуживших основанием для блокирования ПДн.        

         4.Блокирование ПДн осуществляется Оператором по требованию субъекта ПДн или его представителя, а также по требованию уполномоченного органа по защите прав субъектов ПДн в случае выявления недостоверных ПДн или неправомерных действий с ними.

         5.Уничтожение ПДн осуществляется Оператором:

         по достижении цели обработки ПДн;

         в случае утраты необходимости в достижении целей обработки ПДн;

         в случае отзыва субъектом ПДн согласия на обработку своих ПДн;

         по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн в случае выявления фактов совершения Оператором неправомерных действий с ПДн, когда устранить соответствующие нарушения не представляется возможным.

         6.При уничтожении материальных носителей ПДн составляется акт об уничтожении носителей, содержащих ПДн.

XI. Ответственность должностных лиц Оператора

         1.Ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.

Документы

Политика Комитета  по образованию в оношении обработки ПДн Политика Комитета по образованию в оношении обработки ПДн

Политика Комитета  по образованию администрации Ханты-Мансийского района  в отношении обработки персональных данных