1. Общие положения
1.1. Настоящий документ определяет Политику автономного общеобразовательного учреждения «Удмуртский кадетский корпус Приволжского федерального округа имени Героя Советского Союза Валентина Георгиевича Старикова» (далее – Удмуртский кадетский корпус) в отношении порядка работы с персональными данными (далее – ПДн). Политика обработки и защиты персональных данных (далее – Политика) должна быть размещена в общедоступном месте для ознакомления субъектов с процессами обработки ПДн в Удмуртском кадетском корпусе.
1.2. Все мероприятия по обработке и защите ПДн проводятся в соответствии с:
• Федеральным Законом РФ «О персональных данных» от 27.07.2006 № 152-ФЗ;
• Конституцией Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
и другими нормативно-правовыми актами, действующими на территории РФ.
1.3. Цель Политики – обеспечение соблюдения норм законодательства Российской Федерации и выполнения требований Правительства Российской Федерации в области обработки и защиты персональных данных в полном объеме. Обеспечение прав граждан при обработке их ПДн, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн субъектов.
1.4. Удмуртский кадетский корпус обеспечивает защиту обрабатываемых ПДн от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями, указанными в п. 1.2. настоящей Политики, и локальных нормативных актов.
1.5. ПДн могут обрабатываться только для целей, непосредственно связанных с деятельностью Удмуртского кадетского корпуса.
1.6. Передача третьим лицам, ПДн без письменного согласия не допускаются.
1.7. Режим конфиденциальности ПДн снимается в случаях обезличивания или включения их в общедоступные источники ПДн, если иное не определено законом.
1.8. Сотрудники, в обязанность которых входит обработка ПДн субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.
1.9. ПДн не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
1.10. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.11. В соответствии с п. 2 ст. 18.1 ФЗ «О персональных данных» доступ к настоящему документу не может быть ограничен.
1.12. Настоящая политика утверждается директором Удмуртского кадетского корпуса и действует бессрочно до замены ее новой Политикой, а также является обязательным документом для исполнения всеми сотрудниками, имеющими доступ к ПДн субъекта.
1.13. Действующая редакция хранится в месте нахождения Удмуртского кадетского корпуса по адресу: УР, г. Воткинск, ул. Серова, д. 14, электронная версия Политики – на официальном сайте Удмуртского кадетского корпуса по адресу: https://ukk-pfo.gosuslugi.ru/.
2. Термины и принятые сокращения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Обработка ПДн
3.1. Получение ПДн:
3.1.1. Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.2. Удмуртский кадетский корпус должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.3. Документы, содержащие ПДн создаются путем:
а) копирования оригиналов документов необходимых для трудоустройства субъекта (паспорт, документ об образовании, свидетельство ИНН, СНИЛС и др.);
б) внесения сведений в учетные формы;
в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, личная медицинская книжка, характеристика, личное дело обучающегося и др.)
3.2. Обработка ПДн:
3.2.1. Обработка ПДн осуществляется:
- с согласия субъекта ПДн на обработку его ПДн;
- в случаях, когда обработка ПДн необходима для осуществления и выполнения, возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- в случаях, когда осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом персональных данных).
3.2.2. Цели обработки ПДн:
- исполнения положений нормативных актов, указанных в п. 1.2. настоящей Политики;
- заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, представление интересов Удмуртского кадетского корпуса, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым Кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений.
- обеспечение соблюдения Федерального закона «Об образовании» и иных нормативных правовых актов в сфере образования, контроля качества обучения, содействие субъектам ПДн в осуществлении их законных прав.
- исполнения обязательств работодателя, ведения кадрового делопроизводства и бухгалтерского учета, расчета, начисления и выплаты заработной платы, осуществления отчислений в пенсионные фонды, федеральную налоговую службу, фонды социального страхования, на основании трудового и налогового законодательства РФ;
- расчета и выплаты компенсаций и льгот по родительской плате;
- исполнения обязанностей и функций Удмуртского кадетского корпуса.
3.2.3. Категории субъектов ПДн.
В Удмуртском кадетском корпусе обрабатываются ПДн следующих субъектов ПДн:
- физические лица, состоящие в трудовых отношениях;
- физические лица, являющие близкими родственниками сотрудников;
- физические лица, уволившиеся из Удмуртского кадетского корпуса;
- обучающиеся и их родителя (законные представители) Удмуртского кадетского корпуса.
ПДн, обрабатываемые в Удмуртском кадетском корпусе:
- ПДн, полученные при осуществлении трудовых отношений;
- ПДн, полученные от обучающихся и их родителей (законных представителей).
Полный список ПДн представлен в Перечне ПДн, утвержденном директором Удмуртского кадетского корпуса.
3.2.4. Обработка ПДн осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
3.2.5. Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн. Сбор ПДн - ПДн субъектов ПДн Удмуртский кадетский корпус получает напрямую от субъектов ПДн. В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Удмуртский кадетский корпус извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
Для получения ПДн субъекта ПДн от третьей стороны Удмуртский кадетский корпус сначала получает его письменное согласие.
ПДн обучающихся Удмуртского кадетского корпуса получает от их родителей (законных представителей).
3.2.6. Хранение ПДн – Удмуртский кадетский корпус хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
Хранение ПДн работников – 75 лет (согласно номенклатуре дел); отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством (согласно номенклатуре дел).
Удмуртский кадетский корпус хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
Передача ПДн в целях соблюдения законодательства Российской Федерации, для достижения указанных в п. 1.3. настоящей Политики целей обработки, осуществляется в интересах и с согласия субъектов ПДн.
Удмуртский кадетский корпус в ходе своей деятельности предоставляет ПДн субъектов ПДн организациям (только с письменного разрешения субъекта) и в соответствии с требованиями законодательства в рамках установленной процедуры.
Трансграничная передача ПДн - передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Удмуртским кадетским корпусом не осуществляется.
3.2.6. Общедоступные источники ПДн – Удмуртский кадетский корпус не ведет формирование общедоступных источников ПДн (справочников, адресных книг).
3.2.7. В соответствии с пунктом 1 и абзацами ж и з пункта 2 статьи 29 Закона «Об образовании», сведения о руководителе образовательной организации, его заместителях, руководителях филиалов Удмуртского кадетского корпуса (при их наличии) и о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы подлежат размещению в информационно-телекоммуникационных сетях, в том числе на официальном сайте Удмуртского кадетского корпуса в сети "Интернет".
3.2.8. Поручение обработки ПДн. Удмуртский кадетский корпус вправе поручить обработку ПДн другому лицу (далее – Обработчик) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Обработчик соблюдает конфиденциальность полученных от Удмуртского кадетского корпуса ПДн субъектов ПДн и обеспечивает их безопасность при обработке в соответствии с требованиями законодательства Российской Федерации.
3.3. Хранение ПДн:
3.3.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
3.3.2. ПДн, зафиксированные на бумажных носителях хранятся в запираемых шкафах (хранилищах).
3.3.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (хранилищах).
3.3.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в информационной системе ПДн.
3.3.5. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4. Уничтожение ПДн:
3.4.1. Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения документов на бумажных носителях допускается применение шредера.
3.4.2. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.4.3 Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
3.5. Передача ПДн:
3.5.1. Удмуртский кадетский корпус передает ПДн третьим лицам в следующих случаях:
- субъект выразил свое согласие на такие действия;
- передача предусмотрена российским законодательством в рамках установленной законодательством процедуры.
3.5.2. Перечень лиц (организаций), которым передаются ПДн:
- пенсионный фонд РФ для учета (на законных основаниях);
- фонд социального страхования РФ для учета (на законных основаниях);
- налоговые органы РФ (на законных основаниях);
- органы внутренних дел (на законных основаниях);
- банки для начисления заработной платы (на основании договора);
- бюро кредитных историй (с согласия субъекта);
- юридические и коллекторские фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта).
4. Защита ПДн
4.1. В соответствии с требованиями нормативных документов в Удмуртском кадетском корпусе создана система защиты персональных данных (далее - СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, студентами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.
4.5. Основными мерами защиты ПДн, используемыми Удмуртским кадетским корпусом, являются:
4.5.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль над соблюдением требований к защите ПДн, организует прием и обработку обращений и запросов субъектов ПДн и третьих лиц.
4.5.2. Определение актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн, и разработка мер и мероприятий по защите ПДн.
4.5.3. Разработка Политики, реализуемых требований к защите ПДн.
4.5.4. Установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7. Применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.
4.5.8. Применение сертифицированных программных средств защиты информации от несанкционированного доступа.
4.5.9. Обмен ПДн при их обработке в информационных системах ПДн осуществляется по защищенным каналам связи.
4.5.10. Соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
4.5.11. Организован учет машинных носителей ПДн.
4.5.12. Осуществляется обнаружение фактов несанкционированного доступа к ПДн с принятием мер.
4.5.13. Осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.15. Осуществляется внутренний контроль и аудит безопасности ПДн при их обработке в информационных системах ПДн.
5. Основные права субъекта ПДн и обязанности Удмуртского кадетского корпуса
5.1. Основные права субъекта ПДн:
Субъект имеет право на:
- доступ к его персоподтверждению факта обработки ПДн Удмуртским кадетским корпусом;
- правовые основания и цели обработки ПДн;
- цели и применяемые Удмуртским кадетским корпусом способы обработки ПДн;
- наименование и место нахождения Удмуртского кадетского корпуса, сведения о лицах (за исключением работников Удмуртского кадетского корпуса), которые имеют доступ к ПДн, или которым могут быть раскрыты ПДн, на основании договора с Удмуртским кадетским корпусом или на основании федерального закона;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных федеральными закономи;
- наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку ПДн по поручению Удмуртского кадетского корпуса, если обработка поручена или будет поручена такому лицу;
- обращения к Удмуртскому кадетскому корпусу и направление ему запросов;
- обжалование действий или бездействия Удмуртского кадетского корпуса.
5.2. Обязанности Удмуртского кадетского корпуса:
- при сборе ПДн предоставить информацию об обработке его ПДн;
- в случаях если ПДн были получены не от субъекта ПДн уведомить субъекта;
- при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его Политику, к сведениям о реализуемых требованиях к защите ПДн;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.
8. Заключительные положения
8.1. Удмуртский кадетский корпус ответственен за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в Удмуртском кадетском корпусе принципов уважения приватности.
8.2. Каждый сотрудник получающий для работы доступ к материальным носителям ПДн, несет ответственность за сохранность носителя и конфиденциальность информации.
8.3. Удмуртский кадетский корпус обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.
8.4. Субъект может обратиться к Удмуртскому кадетскому корпусу с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.
8.5. Настоящая Политика является локальным нормативным актом Удмуртского кадетского корпуса.