Принято: Педагогическим советом УТВЕРЖДЕНО Директор МАОУ СОШ № 24 Протокол № ___ 111 от «___» _______ г. О.А. Глухова Приказ от ___________________ ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ работников МАОУ СОШ № 24, обучающихся, воспитанников и их родителей (законных представителей) п. Сосновка 2021 г. 1. Общие положения. 1.1. Настоящее Положение о защите персональных данных работников МАОУ СОШ № 24, обучающихся, воспитанников и их родителей (законных представителей) (далее – Положение) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в Муниципальном автономном общеобразовательном учреждении средней общеобразовательной школы № 24 п. Сосновка (далее – Образовательная организация) на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также в соответствии с уставом Школы и локальными нормативными актами. 1.2. Основной задачей образовательной организации в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников, обучающихся, воспитанников и их родителей (законных представителей), а также персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъектов персональных данных. 1.3. В настоящем Положении используются следующие термины и определения. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Информация – сведения (сообщения, данные) независимо от формы их представления. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Оператор – юридическое лицо (образовательная организация), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Работник – физическое лицо, вступившее в трудовые отношения с образовательным учреждением. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. Субъекты персональных данных Образовательной организации (далее – субъекты) – носители персональных данных, в т.ч. работники Образовательной организации, обучающиеся, воспитанники и их родители (законные представители), передавшие свои персональные данные Школе на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их обработки. Съемные носители данных – материальные объекты или устройства с определенными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных. Типовая форма документа – документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 1.4. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения: - паспортные данные работника; - ИНН; - копия страхового свидетельства государственного пенсионного страхования; - копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); - копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной - подготовки); - анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев); - документы о возрасте малолетних детей и месте их обучения; - документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний); - документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.); - иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров); - трудовой договор; - заключение по данным психологического исследования (если такое имеется); - копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях; - личная карточка по форме Т-2; - заявления, объяснительные и служебные записки работника; - документы о прохождении работником аттестации, повышения квалификации; - биометрические данные – скан отпечатка пальца работника; - иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности). 1.5. К персональным данным обучающихся, воспитанников и их родителей (законных представителей), получаемым Образовательной организацией и подлежащим хранению в образовательном учреждении в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах обучающихся, воспитанников и их родителей (законных представителей): - документы, удостоверяющие личность (свидетельство о рождении или паспорт); - документы о месте проживания; - документы о составе семьи; - паспортные данные родителей (законных представителей) обучающегося, воспитанника; - документы о получении образования, необходимого для поступления в - соответствующий класс (личное дело, справка с предыдущего места учебы и т.п.); - полис медицинского страхования; - документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для обучения в Школе конкретного вида и типа, о возможности изучения предметов, представляющих повышенную опасность для здоровья и т.п.); - документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители инвалиды, неполная семья, ребенок-сирота и т.п.), справки, подтверждающие необходимость обучения на дому; - биометрические данные – скан отпечатка пальца обучающегося; - иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством). 1.6. Должностные лица Образовательной организации, в обязанности которых входит обработка персональных данных субъектов, обеспечивают каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. 1.7. Порядок обработки персональных данных в Школе утверждается директором Образовательной организации. Все работники Образовательной организации должны быть ознакомлены с настоящим Положением в редакции, действующей на момент ознакомления. 2. Организация получения и обработки персональных данных 2.1. Получение персональных данных осуществляется в соответствии с нормативными правовыми актами РФ в области трудовых отношений и образования, нормативными и распорядительными документами Министерства образования и науки Российской Федерации, настоящим Положением, локальными актами Образовательной организации в случае согласия субъектов на обработку их персональных данных. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы. Обработка персональных данных обучающегося и воспитанника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия обучающимся в обучении, трудоустройстве; обеспечения их личной безопасности; контроля качества обучения и обеспечения сохранности имущества. 2.2. Оператор персональных данных не вправе требовать от субъекта предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и частной жизни. 2.3. Без согласия субъектов осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных). 2.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка не совместимая с целями сбора персональных данных не допускается. 2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных. 2.6. В случае увольнения или отчисления субъекта оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством РФ либо договором с субъектом. 2.7. Персональные данные хранятся в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях Образовательной организации с соблюдением предусмотренных нормативными правовыми актами РФ мер по защите персональных данных. 2.8. Оператор назначает лицо, ответственное за организацию обработки персональных данных. 2.9. Право на обработку персональных данных предоставляется работникам Образовательной организации, которые обязаны сохранять их конфиденциальность. 2.10. Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности путем фиксации их на отдельных материальных (бумажном или электронном) носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков). 2.11. При фиксации персональных данных на материальных носителях не допускается размещение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, используются отдельные материальные носители для каждой категории. 2.12. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. работники Образовательной организации или лица, осуществляющие такую обработку по договору со Образовательной организацией), информируются руководителями: - о факте обработки ими персональных данных; - о категориях обрабатываемых персональных данных; - об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными актами Образовательной организации. 2.13. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание). 2.14. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен, сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. 2.15. Все персональные данные несовершеннолетнего обучающегося в возрасте до 14 лет предоставляются его родителями (законными представителями). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. Персональные данные несовершеннолетнего обучающегося в возрасте старше 14 лет предоставляются самим обучающимся с письменного согласия родителей (законных представителей). Если персональные данные обучающегося возможно получить только у третьей стороны, то обучающийся, должен быть уведомлен об этом заранее. От него и его родителей (законных представителей) должно быть получено письменное согласие на получение персональных данных от третьей стороны. Обучающийся и его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 2.16. Образовательная организация не имеет права получать и обрабатывать персональные данные работника, обучающегося и воспитанника о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника, обучающегося. Образовательная организация не имеет нрава получать и обрабатывать персональные данные работника, обучающегося о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. 2.17. Образовательная организация вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений - работника только с его письменного согласия или на основании судебного решения. - обучающегося только с его письменного согласия (согласия родителей (законных представителей) или на основании судебного решения. 3. Хранение и использование персональных данных 3.1. Персональные данные работников, обучающихся, воспитанников и их родителей (законных представителей) Образовательной организации хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях (кабинетах директора, заместителя директора по УВР, заместителя директора по ВР делопроизводителя). 3.2.В процессе хранения персональных данных работников, обучающихся, воспитанников и их родителей (законных представителей) Образовательной организации должны обеспечиваться: - требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений; - сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением; - контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений. 3.3. Доступ к персональным данным работников, обучающихся, воспитанников и их родителей (законных представителей) образовательного учреждения имеют: - директор; - заместители директора УВР; - заместители директора ВР; - делопроизводитель; - бухгалтер; - воспитатели (только к персональным данным воспитанников своей группы); - классные руководители (только к персональным данным обучающихся своего - класса); - социальный педагог; - председатель профсоюзной организации; - иные работники, определяемые приказом руководителя образовательного учреждения в пределах своей компетенции. 3.4. Помимо лиц, указанных в п. 3.3. настоящего Положения, право доступа к персональным данным работников, обучающихся, воспитанников и их родителей (законных представителей) имеют только лица, уполномоченные действующим законодательством. 3.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников, обучающихся, воспитанников и их родителей (законных представителей) лишь в целях, для которых они были предоставлены. 3.6. Ответственным за организацию и осуществление хранения персональных данных работников, обучающихся, воспитанников и их родителей (законных представителей) Образовательной организации являетсяделопроизводитель, в соответствии с приказом директора. 3.7. Персональные данные работника отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в кабинете директора в шкафах в алфавитном порядке. 3.8. Персональные данные обучающегося и воспитанников отражаются в их личных делах, которые заполняются после издания приказа о его зачисления в образовательное учреждение. Личные дела обучающихся и воспитанников в алфавитном порядке формируются в папках классов и групп, которые хранятся в кабинете заместителя директора по УВР. 3.9. При передаче персональных данных работников, обучающихся, воспитанников и их родителей (законных представителей) Образовательной организации другим юридическим и физическим лицам должны соблюдаться следующие требования: - персональные данные работника, обучающихся, воспитанников и их родителей (законных представителей) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося, воспитанников и их родителей (законных представителей) несовершеннолетнего (малолетнего) обучающегося, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом; - лица, получающие персональные данные работников, обучающихся, воспитанников и их родителей (законных представителей) должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Образовательная организация должна требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами. 3.10. Передача персональных данных работников, обучающихся, воспитанников и их родителей (законных представителей) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций. 4. Меры по обеспечению безопасности персональных данных при их обработке 4.1. При обработке персональных данных в отношении каждой категории персональных данных определяются места хранения, а также устанавливается перечень лиц, осуществляющих их обработку либо имеющих к ним доступ (как с использованием средств автоматизации, так и без них). 4.2. Оператором обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 4.3. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Образовательной организации. 4.4. Порядок конкретных мероприятий по защите персональных данных с использованием средств автоматизации или без использования таких средств определяется приказами директора Образовательной организации и иными локальными нормативными актами. 5. Права работников, обучающихся, воспитанников и их родителей (законных представителей) на обеспечение защиты персональных данных 5.1. В целях обеспечения защиты персональных данных, хранящихся в Школе, работники, обучающиеся, воспитанники и их родители (законные представители), имеют право: - получать полную информацию о своих персональных данных и их обработке; - свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, обучающегося (для малолетнего несовершеннолетнего – его родителей, законных представителей) – к директору; - требовать об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника на имя руководителя образовательного учреждения. При отказе директора Образовательной организации исключить или исправить персональные данные работника работник, обучающийся (родитель, законный представитель несовершеннолетнего обучающегося) имеет право заявить в письменном виде руководителю образовательного учреждения о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, обучающийся (родитель, законный представитель несовершеннолетнего обучающегося) имеет право дополнить заявлением, выражающим его собственную точку зрения; - требовать об извещении Образовательной организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обучающегося (воспитанника) обо всех произведенных в них исключениях, исправлениях или дополнениях; - обжаловать в суде любые неправомерные действия или без действия образовательного учреждения при обработке и защите его персональных данных. 6. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных 6.1. В целях обеспечения достоверности персональных данных работники обязаны: - при приеме на работу в Образовательную организацию представлять уполномоченным работникам образовательного учреждения достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации; - в случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменений. 6.2. В целях обеспечения достоверности персональных данных обучающиеся (родители, законные представители несовершеннолетних обучающихся) обязаны: - при приеме в Образовательную организацию представлять уполномоченным работникам образовательного учреждения достоверные сведения о себе (своих несовершеннолетних детях); - в случае изменения сведений, составляющих персональные данные несовершеннолетнего обучающегося старше 14 лет, он обязан в течение 10 дней сообщить об этом уполномоченному работнику Образовательной организации; - в случае изменения сведений, составляющих персональные данные обучающегося, воспитанника родители (законные представители) несовершеннолетнего обучающегося и воспитанника в возрасте до 14 лет обязаны в течение месяца сообщить об этом уполномоченному работнику образовательного учреждения. 7. Ответственность за нарушение порядка обработки персональных данных 7.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством. 7.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством. 7.3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством. 7.4. Образовательная организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных: - относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам); - полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (обучающийся и др.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; - являющихся общедоступными персональными данными; - включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию Образовательной организации или в иных аналогичных целях; - включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (включая базы данных, формируемые в связи с ЕГЭ); - обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях оператор (руководитель образовательного учреждения и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.