Политика в области обработки и защиты персональных данных в муниципальном автономном образовательном учреждении дополнительного образования Дом детства и юношества «Факел» г. Томска

1.3. Основные понятия
Автоматизированная обработка персональных данных – обработка

персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Безопасность персональных данных – безопасность персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

Извлечение персональных данных – действия, направленные на перенос персональных данных из памяти средств автоматизации на материальные носители;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности Оператора;

Доступ к персональным данным – возможность ознакомления с персональными данными, включая визуальное ознакомления и(или) копирование персональных данных;

Накопление персональных данных – действия, обеспечивающие внесение данных в базу, содержащую персональные данные, посредством материальных носителей или с использованием средств автоматизации;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,

уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренным Федеральным законом;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Сбор персональных данных – действия, направленные на фактическое получение Оператором персональных данных от субъекта;

Систематизация персональных данных – действия, направленные на упорядочение имеющихся персональных данных, приведение их в согласованную систему, позволяющую провести максимально полный учет;

Субъект персональных данных – физическое лицо, которому принадлежат персональные данные;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Удаление персональных данных – совокупность действий, направленных на исключение персональных данных из информационной системы или базы персональных данных;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Уточнение персональных данных – действие по внесению изменений в персональные данные или обновлению их содержания в порядке, установленном федеральным законодательством;

Хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных.

2. Обрабатываемые категории персональных данных.

Перечень персональных данных, подлежащих защите в Организации, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. No 152 — ФЗ «О персональных данных». Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

В зависимости от субъекта персональных данных, Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

Работники и Уволенные работники Оператора — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима;

Родственники работников – соблюдение трудового законодательства, получения налоговых льгот и вычетов, социальная защита, обеспечение безопасности Работника и иных непосредственно связанных с ним отношений;

Соискатели — кандидаты для приема на работу к Оператору, для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима;

— Обучающиеся, их законные представители — информация, необходимая Организации для достижения целей обработки и для выполнения требований законодательства Российской Федерации, для соблюдения прав и законных интересов несовершеннолетних обучающихся, обеспечение социальных защиты и защиты прав ребенка, соблюдения условий договора об обучающихся;

Клиенты и контрагенты Оператора (физические лица) — для целей осуществления своей деятельности в соответствии с Уставом МАОУ ДО ДДиЮ «Факел», осуществления пропускного режима;

Представители (работники) клиентов и контрагентов Оператора (юридических лиц) — для целей осуществления своей деятельности в соответствии с Уставом МАОУ ДО ДДиЮ «Факел», осуществления пропускного режима;

Пользователи сайта – для обеспечения функционирования сайта Организации и развития его функционала;

3. Цели обработки персональных данных

Организация осуществляет обработку персональных данных в следующих целях:

— ведения кадрового и бухгалтерского учета,

— обеспечение соблюдение трудового законодательства РФ,

— обеспечение соблюдения налогового законодательства РФ,

— обеспечение соблюдения пенсионного законодательства РФ,

— обеспечение соблюдения законодательства РФ в сфере образования,

-осуществление научной, литературной или иной творческой деятельности,

— проведение статического учета,

— оказание государственных и (или) муниципальных услуг, предусмотренных законодательства РФ,

— подбор персонала (соискателей) на вакантные должности оператора, обеспечение пропускного режима на территорию оператора,

— добровольное медицинское страхование,

4. Права и обязанности:

4.1. Организация как оператор персональных данных, вправе:
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

4.2. Организация как оператор персональных данных обязан:
— организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

— в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.3. Основные права субъекта персональных данных. Субъект персональных данных вправе:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

— требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
— обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

4.4 Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
4.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов МАОУ ДО ДДиЮ «Факел» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

4.5. Субъект персональных данных обязан:

— передавать Оператору достоверные персональные данные;
— своевременно сообщать Оператору об изменении своих персональных данных.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных Организацией осуществляется на основе принципов:

— законности и справедливости целей и способов обработки персональных данных;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

— уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

5.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

6. Сроки обработки персональных данных

6.1 Началом срока обработки персональных данных считается момент их получения Оператором.

6.2 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.

7. Обеспечение безопасности персональных данных

7.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2 Обеспечение безопасности персональных данных достигается, в частности:

− назначением ответственных лиц за организацию обработки персональных данных;

− назначает лиц, непосредственно осуществляющих обработку персональных данных;

− осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. No 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, внутренним распорядительным документам Оператора;

− ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных, в том числе требованиями к защите персональных данных, внутренних распорядительных документов Оператора в отношении обработки персональных данных, и (или) обучением указанных работников;

− применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

− учетом машинных носителей персональных данных;

− обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

− восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

− контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

8. Заключительные положения

8.1. Настоящая Политика является документом, разработанным в Организации, является общедоступной и подлежит размещению на официальном сайте.

8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

8.3. Контроль исполнения требований настоящей Политики осуществляется сотрудниками, ответственными за обеспечение безопасности персональных данных Организации.

8.4. Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Организации.