ПОЛОЖЕНИЕ
об обработке персональных данных в МУ «Управление образования Курчалоевского муниципального района»
1.1. Положение об обработке персональных данных в МУ «Управление
образования Курчалоевского муниципального района» (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации», постановлением Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 17.11.2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением РФ от 21.03.2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Положение определяет порядок и условия обработки персональных данных в МУ «Управление образования Курчалоевского муниципального района».
1.3. В соответствии с пунктом 1 статьи 3 Федерального закона «О персональных данных» под персональными данными (далее - персональные данные) понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. Обработка персональных данных в МУ «Управление образования Курчалоевского муниципального района» осуществляется в целях осуществления полномочий МУ «Управление образования Курчалоевского муниципального района», ведения кадровой работы, защиты прав и свобод субъектов персональных данных при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Порядок обработки персональных данных в МУ «Управление образования Курчалоевского муниципального района»
2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
2.2. Список должностей работников МУ «Управление образования Курчалоевского муниципального района», уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным, утверждается приказом МУ «Управление образования Курчалоевского муниципального района».
2.3. При обработке персональных данных уполномоченные должностные лица обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных;
б) защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
в) передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, МУ «Управление образования Курчалоевского муниципального района» вправе отказать в предоставлении персональных данных. В этом случае лицу,
обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных. Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Факт уничтожения персональных данных оформляется соответствующим актом и подписывается членами комиссии, состав которой утверждается приказом МУ «Управление образования Курчалоевского муниципального района»;
е) опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.
2.4. Обработка биометрических персональных данных осуществляется только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
2.5. Состав персональных данных, подлежащих обработке в МУ «Управление образования Курчалоевского муниципального района», определен в приложении №1 к настоящему Положению.
2.6. В целях обеспечения защиты персональных данных субъекты персональных данных или их представители вправе:
а) получать при обращении либо по запросу информацию, касающуюся обработки персональных данных о соответствующем субъекте персональных данных, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных»;
б) осуществлять безвозмездный доступ к персональным данным, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона;
в) требовать уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) принимать предусмотренные законом меры по защите своих прав.
2.7. Ответственный за организацию обработки персональных данных в МУ «Управление образования Курчалоевского муниципального района» назначается приказом начальника МУ «Управление образования Курчалоевского муниципального района».
2.8. Лицо, ответственное за организацию обработки персональных данных в МУ «Управление образования Курчалоевского муниципального района», обязано:
1) осуществлять внутренний контроль за соблюдением МУ «Управление образования Курчалоевского муниципального района» и работниками МУ «Управление образования Курчалоевского муниципального района» законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников МУ «Управление образования Курчалоевского муниципального района» положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) осуществлять контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.
2.9. Работники МУ «Управление образования Курчалоевского муниципального района», уполномоченные на обработку персональных данных и (или) имеющие доступ к персональным данным, должны быть ознакомлены с настоящим Положением, локальными актами по вопросам обработки персональных данных.
3. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации
3.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на МУ «Управление образования Курчалоевского муниципального района» полномочий, характер информации в которых предполагает или допускает включение в них
персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес МУ «Управление образования Курчалоевского муниципального района», фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
4. Порядок обработки персональных данных субъектов персональных данных в информационных системах
4.1. Обработка персональных данных в МУ «Управление образования Курчалоевского муниципального района» осуществляется в
Информационной системе «1С: Предприятие», включающей:
о фамилию, имя, отчество субъекта персональных данных;
о дату рождения субъекта персональных данных;
о место рождения субъекта персональных данных;
о серию и номер документа, удостоверяющего личность субъекта персональных данных;
о сведения о дате выдачи указанного документа и выдавшем его органе;
о адрес места жительства субъекта персональных данных;
о почтовый адрес субъекта персональных данных;
о телефон субъекта персональных данных;
о ИНН субъекта персональных данных;
о табельный номер субъекта персональных данных;
о должность субъекта персональных данных;
о номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
4.2. Персональные данные могут быть представлены для ознакомления работникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей.
4.3. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
4.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.5. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных МУ «Управление образования Курчалоевского муниципального района» должен требовать обязательного прохождения процедуры идентификации и аутентификации.
4.6. Работниками МУ «Управление образования Курчалоевского
муниципального района», уполномоченными на обработку персональных данных и (или) имеющими доступ к персональным данным, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до непосредственного руководителя и (или) начальника МУ «Управление образования Курчалоевского муниципального района»;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.7. В случае выявления нарушений порядка обработки персональных данных в информационных системах МУ «Управление образования Курчалоевского муниципального района», уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению