Политика обработки персональных данных

Мальгин Валерий Евгеньевич

Приложение

                                                                                                    к приказу директора МБОУДОД

                                                                                                    ДЮСШ ЗАТО г. Радужный

                                                                                                    от 01.06.2012  №  36-ОД

 

ПОЛИТИКА

обработки персональных данных

в муниципальном бюджетном образовательном учреждении дополнительного образования детей «Детско-юношеская спортивная школа»  

ЗАТО г. Радужный Владимирской области 

1.      Общие положения


            1.1.Настоящая Политика в отношении обработки персональных данных (далее - Политика) в МБОУДОД ДЮСШ ЗАТО г. Радужный Владимирской области (далее – ДЮСШ) составлена в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и действует в отношении персональных данных, обрабатываемых в информационных системах персональных данных (далее - ИСПДн) ДЮСШ.

            1.2.Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных в ИСПДн ДЮСШ.

            1.3.Настоящая Политика в области обработки персональных данных определяется в соответствии со следующими нормативно-правовыми актами РФ:

-     Конституцией Российской Федерации;

-     Трудовым кодексом Российской Федерации;

-     Гражданским Кодексом Российской Федерации;

-     Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

-     Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-     Указом Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

-     Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-     Постановлением Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в  ИСПДн»;

-     Постановлением Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

-     Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации ИСПДн»;

-     Приказом ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн»;

1.4.ДЮСШ является оператором персональных данных и внесен в реестр операторов, осуществляющих обработку персональных данных.

1.5.Во исполнение настоящей Политики в ДЮСШ утверждаются следующие нормативно - правовые акты:

-     Положения об обработке персональных данных в ИСПДн ДЮСШ;

-     Перечень ИСПДн ДЮСШ;

-     Разрешительная система (матрица) доступа ИСПДн ДЮСШ;

-     Положение об уничтожении персональных данных;

-     Типовая форма согласия на обработку персональных данных субъектов;

-     Инструкция по работе пользователей на АРМ в ИСПДн ДЮСШ;

-     Инструкция по антивирусному контролю на АРМ в ИСПДн ДЮСШ;

-     Акты классификации ИСПДн ДЮСШ;

-     Иные нормативно-правовые акты ДЮСШ, принимаемые во исполнение требований Законодательства Российской Федерации.

              1.6.Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 

2.      Условия обработки персональных данных

2.1.Условия обработки персональных данных ИСПДн ДЮСШ:

2.1.1. Соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;

2.1.2.Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;

2.1.3.Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.1.4.Обработка только тех персональных данных, которые отвечают целям их обработки;

2.1.5.Недопущение обработки избыточных персональных данных по отношению к заявленным целям их обработки;

2.1.6.Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

2.1.7.Выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

2.1.8.Соблюдение прав субъекта персональных данных на доступ к его персональным данным;

2.1.9.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

2.1.10.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

2.1.11.ДЮСШ при обработке персональных данных обязана принимать необходимые, правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а так же от иных неправомерных действий в отношении персональных данных.

3.      Состав персональных данных

3.1.Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

3.2.Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

-      фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-      фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

-      наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

-      цель обработки персональных данных;

-      перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

-      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

-      перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

-      срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

-      подпись субъекта персональных данных.

3.3.В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

3.4.Перечень персональных данных, обрабатываемых в ИСПДн ДЮСШ, определяется исходя из «Перечня персональных данных, обрабатываемых в ИСПДн». По  мере изменения состава обрабатываемых персональных данных перечень подлежит пересмотру и уточнению.

3.5.ДЮСШ обрабатывает:

-     персональные данные, содержащиеся в обращениях граждан;

-      персональные данные работников ДЮСШ;

-      персональные данные учащихся ДЮСШ и их родителей (законных представителей).

3.6.Документы, содержащие персональные данные создаются путем:

-      копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

-      внесения сведений в учетные формы;

-      получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.7.Обработка персональных данных в ДЮСШ осуществляется как с использованием средств автоматизации, так и без использования таких средств.

4.      Цели обработки персональных данных

4.1.Осуществление трудовых отношений.

4.2.Осуществление гражданско-правовых отношений.

4.3.Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

5.      Обеспечение безопасности персональных данных

5.1.   Безопасность персональных данных достигается:

5.1.1.Назначением лица ответственного за обработку персональных данных;

5.1.2.Определением угроз безопасности персональных данных при их обработке в ИСПДн;

5.1.3.Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований установленных Правительством Российской Федерации;

5.1.4.Оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона  от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

5.1.5.Применением сертифицированных средств защиты информации;

5.1.6.Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;

5.1.7.Учетом машинных носителей персональных данных;

5.1.8.Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их защиты;

5.1.9.Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.1.10.Установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

5.1.11.Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн;

5.1.12.Разработкой и утверждением нормативно-правовых актов по вопросам обработки и защиты персональных данных;       

5.1.13.Ознакомлением работников ДЮСШ, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, нормативно-правовых актами по вопросам обработки и защиты персональных данных, и их обучением;

5.1.14.Осуществлением внутреннего контроля и аудита.

  1. Доступ к персональным данным 

6.1.Доступ работников ДЮСШ к персональным данным осуществляется в соответствии с  «Разрешительной системой (матрицей) доступа ИСПДн». При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.

6.2.Предоставление персональных данных третьим лицам осуществляется по запросу, с письменного согласия субъекта  персональных данных.

6.3.Порядок доступа субъекта персональных данных к его персональным данным:

6.3.1.Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3.2.Сведения должны быть предоставлены субъекту персональных данных ДЮСШ в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.3.3.Сведения предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ДЮСШ либо сведения, иным образом подтверждающие факт обработки персональных данных ДЮСШ, подпись субъекта персональных данных или его представителя.

6.3.4.ДЮСШ вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ДЮСШ.

6.3.5.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-      подтверждение факта обработки персональных данных ДЮСШ;

-      правовые основания и цели обработки персональных данных;

-      цели и применяемые ДЮСШ способы обработки персональных данных;

-      наименование и место нахождения ДЮСШ, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ДЮСШ или на основании федерального закона;

-      обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-      сроки обработки персональных данных, в том числе сроки их хранения;

-      порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

-      информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ДЮСШ, если обработка поручена или будет поручена такому лицу.

6.3.6.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.3.7.Использование и хранение биометрических персональных данных вне ИСПДн  могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

7.      Обязанности ДЮСШ

7.1.ДЮСШ обязана безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ДЮСШ обязана внести в них необходимые изменения.

7.2.В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных ДЮСШ обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению администрации) с момента такого обращения или получения указанного запроса на период проверки.

7.3.В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных ДЮСШ обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом,  действующим по поручению ДЮСШ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

7.4.В случае подтверждения факта неточности персональных данных ДЮСШ на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ДЮСШ) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.5.В случае выявления неправомерной обработки персональных данных, осуществляемой ДЮСШ или лицом, действующим по поручению директора ДЮСШ, ДЮСШ в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению директора ДЮСШ.

8.      Условия прекращения обработки персональных данных

8.1.Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Минкультуры РФ от 25.08.2010 г. № 558 «Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

9.      Ответственность

            10.1.Лица, виновные в нарушении требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

            10.2.Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.