Политика обработки и защиты персональных данных в Областном государственном профессиональном образовательном бюджетном учреждении «Многопрофильный лицей», размещённой на официальном сайте мфлицей.рф Областного государственного профессионального образовательного бюджетного учреждения «Многопрофильный лицей»

1. Общие положения

I. 1. Настоящая «Политика обработки и защиты персональных данных в областном государственном профессиональном образовательном бюджетном учреждении «Многопрофильный лицей»» (далее Политика) является локальным нормативным документом областного государственного профессионального образовательного бюджетного учреждения «Многопрофильный лицей» (далее - Учреждение), принятым с учетом требований гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 152-ФЗ ”О персональных данных“ (далее - Закон о персональных данных), Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПД), оператором которых является Учреждение.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД, и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД в Учреждении, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной.

1.3. Основные термины и понятия.

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение,
• автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники,
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц,
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному кругу лиц,
• блокирование персональных данных временное прекращение обработки персональных данных (за исключение случаев, если обработка необходима для уточнения персональных данных),
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных,
• обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Политика вступает в силу с момента его утверждения директором Учреждения и действует до его отмены приказом директора Учреждения или до введения новой Политики.

1.6. Внесение изменений в Политику производится приказом директора Учреждения. Изменения вступают в силу с момента подписания соответствующего приказа.

2. Категории субъектов персональных данных.
Права и обязанности оператора и субъекта обработки персональных данных.

2.1. К субъектам, персональные данные которых обрабатываются в учреждении в соответствии с Политикой относятся:
• кандидаты для приема на работу в Учреждение;
• работники Учреждения;
• бывшие работники Учреждения;
• члены семей работников Учреждения - в случаях, когда согласно законодательству сведения о них предоставляются работником;
• контрагенты Учреждения (физические лица);
• представители контрагентов;
• выгодоприобретатели по договорам;
• лица, обращающиеся за образовательными услугами (абитуриенты, студенты) в Учреждение;
• законные представители лиц, обращающихся за образовательными услугами в Учреждение;
• физические лица, посетители (пользователи) сайта Учреждения.

2.2. Основные права и обязанности Оператора.

2.2.1. Оператор имеет право:

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

22.2. Оператор обязан.

- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

2.3. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

З. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных

3.1. Согласно Политике, персональные данные обрабатываются с целью:

3.1.1. Соблюдение трудового и налогового законодательства;

3.1.2. Подготовка, заключения и исполнения гражданско-правового договора;

3.1.3. Обеспечение соблюдения пенсионного законодательства;

3.1.4. Оказание услуг по договорам с клиентами (получателями услуг);

3.1.5. Обеспечения соблюдения законодательства РФ в сфере образования;

3.1.6. Обеспечение исполнения законодательства РФ о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд;

3.1.7. Обработка входящих обращений физических лиц – посетителей (пользователей) сайта по вопросам оказания образовательных услуг, сообщения о коррупции; подготовка и направление ответов на обращения (сообщения, вопросы).

.2. Для обеспечения соблюдения трудового и налогового законодательства, в Учреждении обрабатываются следующие персональные данные:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
• пол;
• дата (число, месяц, год) и место рождения;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона;
• реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
• сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
• сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
• сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
• сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
• сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
• номера расчетного счета, лицевого счета;
• сведения о состоянии здоровья;
• сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
• данные документа, удостоверяющего личность;
• профессия;
• данные документа, содержащиеся в свидетельстве о рождении;
• иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1.1. Политики.

3.3. С целью подготовки, заключению и исполнению гражданско-правового договора в Учреждении обрабатываются следующие персональные данные:
• фамилия, имя, отчество (при наличии);
• дата (число, месяц, год) и место рождения;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона;
• сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
• сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ); - номера расчетного счета, лицевого счета.

3.4. С целью исполнения пенсионного законодательства РФ в Учреждении обрабатываются следующие персональные данные:
• фамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации);

3.5. С целью оказания услуг по договорам с клиентами(получателями услуг):
• фамилия, имя, отчество; адрес электронной почты; адрес места жительства;
• номер телефона;
• ИНН;
• данные документа, удостоверяющего личность;
• номер расчетного счета;

3.6. Для обеспечения соблюдения законодательства РФ в сфере образования в Учреждении обрабатываются следующие персональные данные:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения):
• пол;
• дата (число, месяц, год) и место рождения;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• страховой номер индивидуального лицевого счета (СНИЛС):
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
• сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
• сведения о состоянии здоровья(диагноз);
• данные документа, содержащиеся в свидетельстве о рождении;
• реквизиты банковской карты, номер лицевого счета;
• профессия;
• сведения о трудовой деятельности(в том числе стаж работы, данные о трудовой занятости;
• отношение к воинской обязанности, сведения о воинском учете;
• сведения об образовании;
• иные персональные данные, содержащиеся в документах, если обработка этих данных соответствует цели обработки, предусмотренной п. 3. 1.5. Политики.

3.7. С целью обеспечение исполнения законодательства РФ о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд в Учреждении обрабатываются следующие персональные данные:
• фамилия, имя, отчество (при наличии);
• сведения о гражданстве;
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона;
• номера расчетного счета, лицевого счета.

3.8. Обработка входящих обращений физических лиц – посетителей (пользователей) сайта по вопросам оказания образовательных услуг, сообщения о коррупции; подготовка и направление ответов на обращения (сообщения, вопросы).
• фамилия, имя, отчество, номер телефона (домашний/сотовый), адрес электронной почты, адрес местожительства/регистрации, другая информация, представленная субъектом;

3.9. Учреждение не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
• Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ.

4. Правовые основания, порядок и условия обработки персональных данных.

4.1. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, Налоговый кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный Закон РФ от 19.04.1991 № 1032-1 ”О занятости населения в Российской Федерации”, Федеральный закон от 06.12.2011 № 402-ФЗ бухгалтерском учете”, Федеральный закон от 21 ноября 2011 г. № 323-ФЗ ”06 основах охраны здоровья граждан в Российской Федерации”; Федеральный закон от 29.12.2012 года № 273-ФЗ ”Об образовании в РФ”; Федеральный закон от 15.11.1997 г. № 143-ФЗ актах гражданского состояния”; Постановление Правительства РФ от 27.11.2006 № 719 ”06 утверждении Положения о воинском учете“

4.2. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политики.
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;

4.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью З. статьи 21 Закона о персональных данных.

4.3.1. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

4.3.2. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

4.4. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
• Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа. подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

4.6. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.7. Учреждение не осуществляет трансграничную передачу персональных данных.

4.8. Обработка персональных данных в Учреждении выполняется следующими способами:
• неавтоматизированная обработка персональных данных:
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

4.9. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления. уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.9.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Учреждении осуществляются посредством:
• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях:
• внесения персональных данных в информационные системы персональных данных.

4.9.2. В Учреждении используются следующие информационные системы:
• информационная система «Контингент обучающихся»;
• информационная система «Сведения ГИА»;
• система бухгалтерского и кадрового учета;

4.10. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Политики.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных в Учреждении прекращается в следующих случаях:
• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
• при достижении целей их обработки (за некоторыми исключениями);
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
• при обращении субъекта персональных данных к Учреждению с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более трех рабочих дней, с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

5.3. Персональные данные на бумажных носителях хранятся в Учреждении в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ “Об архивном деле в Российской Федерации“, Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N2 236)).

5.4. Срок хранения персональных данных- обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных.

6.1. Учреждение блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.

6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и учреждением либо если учреждение не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и учреждением. Кроме того, персональные данные уничтожаются в указанный срок, если учреждение не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.7. Отбор материальных носителей (документы, жесткие диски, флешнакопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения учреждения, обрабатывающие персональные данные.

6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора Учреждения.

6.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Политики, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
• актом об уничтожении персональных данных если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе ши в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом директора Учреждения.

6.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

6.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Политики, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом директора Учреждения.

7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.

7.1. Без письменного согласия субъекта персональных данных Учреждение не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

7.1.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.

7.2. С целью защиты персональных данных в Учреждении приказами директора Учреждения назначается (утверждаются):
• работник, ответственный за организацию обработки персональных данных;
• перечень должностей, при замещении которых обрабатываются персональные данные;
• перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
• порядок доступа в помещения, в которых ведется обработка персональных данных;
• порядок передачи персональных данных в пределах учреждения;
• форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• порядок защиты персональных данных при их обработке в информационных системах персональных данных;
• порядок проведения внутренних расследований, проверок;
• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.3. Работники, которые занимают должности- предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Учреждения, в которых они размещаются, оборудуются запирающими устройствами.

7.5. Доступ к персональной информации, содержащейся в информационных системах учреждения, осуществляется по индивидуальным паролям.

7.6. В Учреждении используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.7. Работники Учреждения, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

7.8. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
• за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных. локальных нормативных актов;
• соответствием указанных актов, требованиям законодательства в области персональных данных.

Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

7.9. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

7.9.1. В случае инцидента учреждение в течение 24 часов уведомляет Роскомнадзор:
• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представителе Учреждения, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11 2022 N 187.

7.9.2. В течение 72 часов Учреждение обязано сделать следующее:
• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи. информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

7.10. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. учреждение уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о нт третьим лицам, которым были переданы персональные данные.

7.11. Учреждение уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

7.11.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 7.13 Политики.

7.12. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, учреждение уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Учреждение уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

8. Ответственность за нарушение норм, регулирующих обработку персональных данных

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Политика обработки и защиты персональных данных: скачать