Защита персональных данных

УТВЕРЖДЕНО
приказом МБОУ СОШ №36
ст.Новодмитриевской
«12» сентября 2014 г. №167

Положение по обработке и защите  персональных данных в МБОУ СОШ №36 ст.Новодмитриевской  муниципального образования Северский район.

1.Общие положения
1.1. Положение по обработке персональных данных в МБОУ CОШ №36 ст.Новодмитриевской муниципального образования Северский район (далее – Положение) разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и других нормативно-правовых актов Российской Федерации. 
1.2. Настоящее Положение устанавливает порядок приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учета документов, содержащих сведения, отнесенные к персональным данным субъектов персональных данных в МБОУ СОШ №36 ст.Новодмитриевской муниципального образования Северский район (далее – МБОУ СОШ №36) с использованием средств автоматизации или без использования таких средств.
1.3. Целью настоящего Положения является определение порядка обработки персональных данных МБОУ СОШ №36 и защиты персональных данных субъектов персональных данных МБОУ СОШ №36 (далее Субъектов) от несанкционированного доступа и разглашения, неправомерного их использования или утраты. Персональные данные являются конфиденциальной, строго охраняемой информацией.
1.4. Основные термины и определения, применяемые в настоящем Положении:
1.4.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений, Положением об обработке и защите персональных данных и нормативно-правовыми актами МБОУ СОШ №36.
1.4.2. Оператор – МБОУ СОШ №36, организующее и осуществляющее обработку персональных данных, и определяющее цели и содержание обработки персональных данных.
1.4.3. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4.4. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.4.5. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.4.6. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.4.7. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.4.8. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4.9. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.4.10. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечение конфиденциальности персональных данных не требуется:
- в случаях обезличивания персональных данных;
- в отношении общедоступных персональных данных.
1.4.11. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных (приложение № 1) могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным Субъектом.
Сведения о Субъекте могут быть в любое время исключены из общедоступных источников персональных данных по требованию Субъекта или по решению Оператора, либо по решению суда или иных уполномоченных государственных органов.
1.4.12. Персональные данные конфиденциального характера - персональные данные, внесенные в личные дела муниципальных служащих, иные сведения, содержащиеся в личных делах муниципальных служащих (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации).
Средствам массовой информации (Интернет-портал администрации) предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера муниципальных служащих с письменного согласия Субъекта (приложение № 2):
а) декларированный годовой доход;
б) перечень объектов недвижимости, принадлежащих муниципальному служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них;
в) перечень транспортных средств.
1.4.13. Трансграничная передача персональных данных – передача персональных данных Оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
1.4.14 Работники – лица, имеющие трудовые отношения с Оператором, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.
1.5. К субъектам персональных данных в МБОУ СОШ №36 (Субъектам) относятся лица – носители персональных данных, передавшие свои персональные данные в МБОУ СОШ №36 (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, в том числе:
- работники МБОУ СОШ №36, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;
- иные лица, предоставляющие персональные данные МБОУ СОШ №36.
1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями МБОУ СОШ №36.
1.7. Сбор, хранение, использование и распространение персональных данных лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом. 
1.8. Должностные лица МБОУ СОШ №36, в обязанности которых входит ведение персональных данных Субъектов, обязаны обеспечить каждому Субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.9. Персональные данные не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации.
1.10. Настоящее Положение и изменения к нему являются обязательными для исполнения всеми сотрудниками, имеющими доступ к персональным данным Субъектов МБОУ СОШ №36. Все Субъекты МБОУ СОШ №36 должны быть ознакомлены под подпись с настоящим Положением в редакции, действующей на момент указанного ознакомления (приложение №3).
2. Принципы обработки персональных данных
2.1. Обработка персональных данных в МБОУ СОШ №36 осуществляется на основе следующих принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случаях утраты необходимости в их достижении.
2.3. Субъект является собственником своих персональных данных и самостоятельно решает вопрос передачи Оператору своих персональных данных. 
2.4. Держателем персональных данных является МБОУ СОШ №36, которой Субъект передает во владение свои персональные данные с письменного согласия. МБОУ СОШ №36 выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
2.6. Получение, хранение, комбинирование, передача или любое другое использование персональных данных Субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
 
3. Понятие и состав персональных данных
 
3.1. Под персональными данными Субъектов понимается информация, необходимая МБОУ СОШ №36 в связи с трудовыми отношениями и касающаяся конкретного Субъекта (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное и имущественное положение, образование, профессия, доходы), а также сведения о фактах, событиях и обстоятельствах жизни Субъекта, позволяющие идентифицировать его личность. Персональные данные являются конфиденциальной информацией. К персональным данным относятся следующие сведения и документы:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы работника;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате работника, иных выплатах Субъектам (включая стипендии);
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства (пребывания), номер домашнего телефона;
- место работы или учебы членов семьи и родственников;
- содержание трудового договора (контракта);
- состав декларируемых сведений о доходах, об имуществе и обязательствах имущественного характера;
- подлинники и копии распоряжений по личному составу;
- основания к распоряжениям по личному составу;
- личные дела, личные карточки (форма Т-2 или Т-2 ГС) и трудовые книжки сотрудников;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- анкеты, заполняемые Субъектами;
- копии документов об образовании;
- результаты медицинского обследования;
- рекомендации, характеристики;
- фотографии;
- копии отчетов, направляемые в органы статистики;
- документы о прохождении производственной практики студентами или слушателями ВУЗов, а также информация о выполнении ими учебных планов, успеваемости и т.п.
3.2. Документы, содержащие персональные данные, являются конфиденциальными, и содержат служебную информацию ограниченного распространения.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
 
 
Получение, обработка и хранение персональных данных 
4.1. Оператор получает сведения о персональных данных Субъектов из следующих документов:
-паспорта или иного документа, удостоверяющего личность;
- трудовой книжки;
- страхового свидетельства государственного пенсионного страхования;
- свидетельства о постановке на учет в налоговом органе, содержащего сведения об идентификационном номере налогоплательщика;
- документов воинского учета, содержащих сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
- документов об образовании, содержащих сведения о профессии, о квалификации или о наличии специальных знаний или специальной подготовки;
- анкет, заполняемых собственноручно при приеме на работу, или при подаче документов на участие в конкурсе на замещение вакантных должностей, предполагающих конкурсный отбор;
- иных документов и сведений, предоставляемых субъектом персональных данных при приеме на работу, обучение, в процессе работы, обучения, а также в случае представлении его к награждению.
Субъект обязан представлять администрации достоверные сведения о себе. МБОУ СОШ №36 имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.
4.2. Обработка персональных данных Субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
4.3. При определении объема и содержания обрабатываемых персональных данных Субъектов Оператор руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.4. Все персональные данные Субъекта Управление получает непосредственно у Субъекта. Сотрудник, ответственный за документационное обеспечение кадровой деятельности, принимает от Субъекта копии документов, сверяет их полноту и правильность указанных сведений с подлинниками.
4.5. Если персональные данные Субъекта возможно получить исключительно у третьей стороны, то Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение №4). Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта представить письменное согласие на их получение (приложение № 5).
4.6. Условием обработки персональных данных Субъекта является его письменное согласие (приложение №6). Письменное согласие Субъекта на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес Субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес Оператора персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие Субъекта;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие на обработку персональных данных может быть отозвано Субъектом в соответствии с положением статьи 6 Федерального закона «О персональных данных».
4.7. Согласия Субъекта на обработку его персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и администрацией;
- обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение его согласия при данных обстоятельствах невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
4.8. Для обработки персональных данных, содержащихся в согласии в письменной форме Субъекта на обработку его персональных данных, дополнительное согласие не требуется.
4.9. В случаи недееспособности Субъекта согласие на обработку его персональных данных в письменной форме дает его законный представитель.
В случаи смерти Субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано Субъектом при его жизни.
4.10. В случаях, если МБОУ СОШ №36 на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
4.11. МБОУ СОШ №36 не имеет права получать и обрабатывать персональные данные Субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной, частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением, если:
- Субъект дал согласие в письменной форме на обработку своих соответствующих персональных данных;
- персональные данные являются общедоступными;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни Субъекта только с его письменного согласия.
Обработка персональных данных, перечисленных в пункте 4.11. настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
 
4.12. Защита персональных данных Субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством РФ.
4.13. Субъекты персональных данных и их представители должны быть ознакомлены под роспись с нормативными документами МБОУ СОШ №36, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.14. Основными источниками, содержащими персональные данные работников, муниципальных служащих МБОУ СОШ №36 и лиц, замещающих должности, не относящиеся к государственным, являются их личные дела.
Личные дела хранятся уполномоченным лицом на бумажных носителях. Помимо этого персональные данные могут храниться в виде электронных документов, баз данных. Личное дело пополняется на протяжении всей трудовой деятельности работника МБОУ СОШ №36. 
Письменные доказательства получения Оператором согласия Субъекта персональных данных на их обработку хранятся в личном деле.
4.15. При обработке персональных данных Оператор вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
4.16. Круг лиц, допущенных к работе с документами, содержащими персональные данные Субъектов, определяется приказом МБОУ СОШ №36.
4.17. Прием, учет (регистрация), хранение и обработка документов, содержащих персональные данные сотрудников, осуществляются уполномоченными работниками МБОУ СОШ №36, определенными приказом МБОУ СОШ №36, которые действуют на основании Инструкции, утвержденной директором.
4.18. Методическое руководство и контроль за соблюдением требований по обработке персональных данных специалистами МБОУ СОШ №36, контроль за соблюдением специалистами МБОУ СОШ №36 прав и свобод Субъектов возлагается на заместителя директора.
4.19. Организация обеспечения техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы организуется начальником отдела информатизации.
4.20. Помещения, в которых хранятся персональные данные Субъектов, оборудуются надежными замками и сигнализацией на вскрытие помещений. 
Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ. 
Помещения, в которых хранятся персональные данные Субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.
Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.
 
5. Права и обязанности сторон в области защиты персональных данных
 
5.1. Субъект персональных данных обязан:
-передать Управлению или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.
-своевременно, в срок, не превышающий 5 рабочих дней, сообщать в отдел организационно-кадровой работы сведения об изменении своих персональных данных.
5.2. Субъект персональных данных имеет право:
5.2.1. На полную информацию о своих персональных данных и об их обработке.
5.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами. Доступ к своим персональным данным предоставляется Субъекту или его законному представителю при личном обращении либо при получении запроса (приложение №7). Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Сведения о наличии персональных данных должны быть предоставлены Субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам. 
5.2.3. Требовать от Оператора исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Указанное требование должно быть оформлено письменным заявлением Субъекта на имя директора МБОУ СОШ №36. 
Персональные данные оценочного характера Субъект имеет право дополнить заявлением, выражающим его собственную точку зрения. 
5.2.4. Требовать об извещении МБОУ СОШ №36 всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. 
5.2.5. При отказе Оператора исключить или исправить персональные данные Субъекта, он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. При отклонении Оператором указанного обращения (несогласия), Субъект имеет право обжаловать действия Оператора в порядке, предусмотренном законодательством Российской Федерации. 
5.2.6. Получать сведения об МБОУ СОШ №36, о месте его нахождения, о наличии у МБОУ СОШ №36 персональных данных, относящихся к соответствующему Субъекту.
5.2.7. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных МБОУ СОШ №36, а также цель такой обработки;
- способы обработки персональных данных, применяемые Оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.
5.2.8. Обжаловать в судебном порядке любые неправомерные действия или бездействия МБОУ СОШ №36 при обработке и защите персональных данных. 
5.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 5.5 настоящего Положения. 
5.4. Решение, порождающее юридические последствия в отношении Субъекта или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия Субъекта в письменной форме (приложение №6) или в случаях, предусмотренных федеральными законами.
5.5. Управление обязано разъяснить Субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов (приложение №5).
5.6. МБОУ СОШ №36 обязано рассмотреть возражение Субъекта в течение семи рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.
5.7. Если обязанность предоставления персональных данных Субъектом установлена федеральным законом (включая налоговое, трудовое право), МБОУ СОШ №36 обязано разъяснить Субъекту юридические последствия отказа предоставить свои персональные данные.
5.8. Если персональные данные были получены не от Субъекта (за исключением случаев, если персональные данные были предоставлены МБОУ СОШ №36 на основании федерального закона или если персональные данные являются общедоступными), МБОУ СОШ №36 до начала обработки таких персональных данных обязано предоставить Субъекту следующую информацию (приложение №8):
1) наименование (фамилия, имя, отчество) и адрес Оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) права Субъекта в области защиты персональных данных.
5.9. МБОУ СОШ №36 обязано безвозмездно предоставить Субъекту возможность ознакомления с персональными данными, относящимися к соответствующему Субъекту, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении Субъектом сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить соответствующего Субъекта персональных данных и третьих лиц, которым персональные данные этого Субъекта были переданы (приложение №9).
МБОУ СОШ №36 обязано сообщить в уполномоченный орган по защите прав Субъектов по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.
5.10. В случаях выявления недостоверных персональных данных или неправомерных действий с ними МБОУ СОШ №36 обязано осуществить блокирование персональных данных, относящихся к соответствующему Субъекту, с момента получения такой информации на период проверки. В случаях подтверждения факта недостоверности персональных данных МБОУ СОШ №36 на основании соответствующих документов обязано уточнить персональные данные и снять их блокирование.
5.11. В случаях выявления неправомерных действий с персональными данными МБОУ СОШ №36 в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случаях невозможности устранения допущенных нарушений МБОУ СОШ №36 в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных МБОУ СОШ №36 обязано уведомить Субъекта или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов, - также указанный орган (приложение № 9).
5.12. В случаях достижения цели обработки персональных данных  МБОУ СОШ №36 обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных (приложение № 9).
5.13. В случаях отзыва Субъектом согласия на обработку своих персональных данных МБОУ СОШ №36 обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении персональных данных Оператор обязан уведомить Субъекта персональных данных (приложение № 9).
5.14. До начала обработки персональных данных МБОУ СОШ №36 обязано уведомить уполномоченный орган по защите прав Субъектов о своем намерении осуществлять обработку персональных данных, за исключением случаев персональных данных:
- относящихся к Субъектам, которых связывают с МБОУ СОШ №36 трудовые отношения;
- полученных МБОУ СОШ №36 в связи с заключением договора, стороной которого является Субъект, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия Субъекта и используются МБОУ СОШ №36 исключительно для исполнения указанного договора и заключения договоров с Субъектом;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме Субъектов;
- являющиеся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества Субъектов;
- необходимых в целях однократного пропуска Субъекта на территорию, на которой находится МБОУ СОШ №36, или в аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных.
5.15. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
- адрес  МБОУ СОШ №36;
- цель обработки персональных данных;
- категории Субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых МБОУ СОШ №36 способов обработки персональных данных;
- описание мер, которые Управление обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных при их обработке;
- дата начала обработки персональных данных;
- срок и условия прекращения обработки персональных данных.
 
6. Доступ к персональным данным Субъекта и их передача

6.1. Внутренний доступ (доступ внутри управления) к персональным данным Субъектов имеют сотрудники МБОУ СОШ №36, которым эти данные необходимы для выполнения должностных обязанностей.
6.1.1. Право доступа к персональным данным Субъекта имеют:
- директор МБОУ СОШ №36;
- заместители директора МБОУ СОШ №36;
- непосредственно Субъект;
- другие сотрудники МБОУ СОШ №36, которые имеют доступ к персональным данным Субъекта с письменного согласия самого Субъекта персональных данных.
После прекращения юридических отношений с Субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в МБОУ СОШ №36 в течение сроков, установленных архивным и иным законодательством РФ.
6.2. Внешний доступ.
6.2.1. К числу массовых потребителей персональных данных вне МБОУ СОШ №36 относятся следующие государственные и негосударственные структуры:
- налоговые органы;
- правоохранительные органы;
- органы лицензирования и сертификации;
- органы прокуратуры и ФСБ;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- управления государственных и муниципальных органов управления.
6.2.2. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
6.3. Внешний доступ со стороны третьих лиц к персональным данным Субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью Субъекта или других лиц, и иных случаев, установленных законодательством. 
6.4. Оператор обязан сообщать персональные данные Субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.
6.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления работника.
6.6. Персональные данные Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта.
6.7. При передаче персональных данных МБОУ СОШ №36 должно соблюдать следующие требования:
6.7.1. Не сообщать персональные данные Субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных федеральными законами.
6.7.2. Не сообщать персональные данные Субъекта в коммерческих целях без его письменного согласия.
6.7.3. Предупреждать лиц, получающих персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
6.7.4. Не запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.7.5. Передавать персональные данные Субъекта представителям работников и иных категорий Субъектов в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. № 152-ФЗ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
6.7.6. Разрешать доступ к персональным данным, исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций).
Потребители персональных данных должны подписать обязательство о неразглашении персональных данных (Приложение № 10).
6.8. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
6.9. Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются с разрешения директора МБОУ СОШ №36 в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных сведений.
6.10. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону.
6.11. Сведения передаются в письменной форме и должны иметь гриф конфиденциальности «Для служебного пользования». В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные сотрудников МБОУ СОШ №36.
6.12. Трансграничная передача персональных данных. 
6.12.1. До начала осуществления трансграничной передачи персональных данных Оператор обязан убедиться, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав Субъекта.
6.12.2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту персональных данных, осуществляется в соответствии с ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
6.12.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты персональных данных Субъектов, может осуществляться в случаях:
- наличия согласия Субъекта в письменной форме;
- предусмотренных международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является Субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов Субъекта или других лиц при невозможности получения согласия в письменной форме.
 
7. Защита персональных данных
 
7.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности администрации.
7.2. Защита персональных данных, обрабатываемых с использованием или без использования ЭВМ, осуществляется в соответствии с Инструкциями, утвержденными начальником Управления образования.
7.3. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленными Правительством Российской Федерации. 
7.4. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.
7.4.1. «Внутренняя защита» включает следующие организационно-технические мероприятия:
7.4.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами администрации. 
7.4.1.2. Для защиты персональных данных в МБОУ СОШ №36 применяются следующие принципы и правила:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками управления;
- воспитательная и разъяснительная работа с сотрудниками МБОУ СОШ №36 по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.
7.4.1.3. Личные дела работников могут выдаваться на рабочие места только директору  МБОУ СОШ №36 и его заместителям, а в исключительных случаях, по письменному разрешению директора  МБОУ СОШ №36
7.4.2. «Внешняя защита» включает следующие организационно-технические мероприятия:
7.4.2.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. 
7.4.2.2. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Администрации, посетители, сотрудники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе организационно-кадровой работы, управлении бухгалтерского учета, других подразделений, использующих персональные данные
7.4.2.3. Для защиты персональных данных соблюдается ряд мер организационно-технического характера:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.

8. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными 

8.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
8.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
8.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.5. Каждый сотрудник МБОУ СОШ №36, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.
8.6. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому Субъекту, возможность ознакомления с документами и материалами, если иное не предусмотрено законом. 
Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
8.7. В . В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, составляющую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на работников, не обладающих правом доступа к персональным данным. ым. 
8.8. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.
8.9. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.