Политика в отношении обработки персональных данных

Муниципальное автономное общеобразовательное учреждение

Аргат-Юльская средняя общеобразовательная школа Первомайского района

(МАОУ Аргат-Юльской СОШ)

ПОЛОЖЕНИЕ

УТВЕРЖДЕНО

Приказом директора МАОУ Аргат-Юльской СОШ  от 29.12.2014

№ 60-О

об обработке и защите персональных данных

в Муниципальном автономном общеобразовательном учреждении Аргат-Юльской средней общеобразовательной школы Первомайского района

(МАОУ Аргат-Юльской СОШ)

1. Общие положения
   1. Настоящее Положение по обработке персональных данных (далее - Положение) Муниципального автономного общеобразовательного учреждения Аргат-Юльской средней общеобразовательной школы Первомайского района (далее Учреждения) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, Правилами внутреннего трудового распорядка Учреждения.
   2. Цель разработки Положения - определение порядка обработки персональных данных сотрудников, обучающихся, воспитанников и их родителей (законных представителей) Учреждения и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Учреждения, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
   3. Порядок ввода в действие и изменения Положения.
      1. Настоящее Положение вступает в силу с момента его утверждения директором Учреждения и действует бессрочно, до замены его новым Положением.
      2. Все изменения в Положение вносятся приказом.
   4. Все работники Учреждения должны быть ознакомлены с настоящим Положением под роспись.
   5. Режим конфиденциальности персональных данных работников Учреждения снимается в случаях их обезличивания и по истечении 75 лет срока их хранения или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом.

1. 5. Режим конфиденциальности персональных данных клиентов Учреждения снимается в случаях их обезличивания.
   6. В настоящем документе используются следующие термины и их определения.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и / или воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и / или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрический сигнал, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ст.3 п.9 № 152-ФЗ).

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст.3 п.5 № 152-ФЗ).

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных,

технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и / или выходящей из информационной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из

субъектов персональных данных, осуществляются при непосредственном участии человека (ПП

№687 от 15.09.08).

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующими описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных

(ст.3 п.8 № 152-ФЗ).

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение персональных данных (ст.3 п.3 № 152-ФЗ).

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст.3 п.12 № 152-ФЗ).

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и / или осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ст.3 п.2 № 152-ФЗ).

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация (ст.3 п.1 № 152-ФЗ).

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и / или блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-

телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (ст.3 п.4 № 152-ФЗ).

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства (ст.3 п.11 № 152- ФЗ).

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Учреждение – государственное образовательное учреждение города Москвы.

Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2. Основные понятия и состав персональных данных

• 1. Для целей настоящего Положения используются следующие основные понятия:
• персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Учреждению для исполнения условий трудовых и прочих договоров с субъектами персональных данных;
• обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

• конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
• распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов каким-либо иным способом;
• использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
• блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу;
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
• информация - сведения (сообщения, данные) независимо от формы их представления.
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
  2. В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.

В состав персональных данных учащихся входят документы, содержащие сведения об их ФИО, дате рождения, адреса прописки, паспортные данные (либо свидетельства о рождении), номере класса, успеваемости, контактные сведения о родителях учащегося (ФИО, телефон), результаты успеваемости и тестирований.

В состав персональных данных посетителей входят имя, фамилия, отчество.

• 3. Работа с документами, сопровождающими процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении.
     1. Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
• документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника).
  1. 2. При оформлении работника в Учреждение работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
• общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

• сведения о воинском учете;
• данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

• сведения о переводах на другую работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и контактных телефонах.
  1. 3. В отделе кадров Учреждения создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
        1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно- информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
        2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Учреждения); документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
     4. Информация, представляемая родителями (законными представителями) учащегося при поступлении в Учреждение, должна иметь документальную форму. При поступлении в Учреждение предъявляется:
• заявление о приеме;
• копия свидетельства о рождении ребенка;
• копия медицинского полиса ребенка;
• паспорт одного из родителей;

3. Сбор, обработка и защита персональных данных

1. 1. Порядок получения персональных данных работника (обучающегося).
      1. Все персональные данные работника Учреждения следует получать у него самого. Если персональные данные работника (обучающегося) возможно получить только у третьей стороны, то работник (обучающийся) должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику (обучающемуся) Учреждения о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника (обучающегося) дать письменное согласие на их получение.
      2. Оператор не имеет права получать и обрабатывать персональные данные работника (обучающегося) Учреждения о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни работника (обучающегося) только с его письменного согласия.

Обработка указанных персональных данных работников (обучающихся) работодателем возможна только с их согласия либо без их согласия в следующих случаях:

• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья работника (обучающегося) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни,

здоровья или иных жизненно важных интересов других лиц и получение согласия работника (обучающегося) невозможно;

• по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
  1. 3. Оператор вправе обрабатывать персональные данные работников (обучающихся) только с их письменного согласия.
     4. Письменное согласие работника (ученика) на обработку своих персональных данных должно включать в себя:
• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Форма заявления о согласии работника на обработку персональных данных см. в приложении 1 к настоящему Положению.

Форма заявления о согласии родителей (законных представителей) обучающегося   на обработку их персональных данных см. в приложении 2 к настоящему Положению

1. 1. 5. Согласие работника (обучающегося) не требуется в следующих случаях:
1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2. обработка персональных данных осуществляется в целях исполнения трудового (учебного) договора;
3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника (ученика), если получение его согласия невозможно.
   2. Порядок обработки, передачи и хранения персональных данных Работника (ученика).
      1. Работник (обучающийся) Учреждения предоставляет работнику отдела кадров Учреждения достоверные сведения о себе. Работник отдела кадров Учреждения проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у него документами.
      2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина директор Учреждения (Оператор) и его представители при обработке персональных данных работника (ученика) должны соблюдать следующие общие требования:
         1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
         2. При определении объема и содержания, обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
         3. При принятии решений, затрагивающих интересы работника (ученика), Оператор не имеет права основываться на персональных данных работника (обучающегося), полученных исключительно в результате их автоматизированной обработки или электронного получения.
         4. Защита персональных данных работника (обучающегося) от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

1. 1. 1. 5. Работники (обучающиеся) и их представители должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
         6. Во всех случаях отказ работника (обучающегося) от своих прав на сохранение и защиту тайны недействителен.

4. Передача и хранение персональных данных

• 1. При передаче персональных данных работника (обучающегося) Оператор должен соблюдать следующие требования:
     1. Не сообщать персональные данные третьей стороне без письменного согласия работника (обучающегося), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом.
     2. Не сообщать персональные данные работника (обучающегося) в коммерческих целях без его письменного согласия. Обработка персональных данных работников (обучающихся) в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
     3. Предупредить лиц, получивших персональные данные работника (обучающегося), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника (обучающегося), обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников (учеников) в порядке, установленном федеральными законами.
     4. Осуществлять передачу персональных данных работников (обучающихся) в пределах Учреждения в соответствии с настоящим Положением.
     5. Разрешать доступ к персональным данным работников (обучающихся) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника (ученика), которые необходимы для выполнения конкретной функции.
     6. Не запрашивать информацию о состоянии здоровья работника (обучающегося), за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой (учебной) функции.
     7. Передавать персональные данные работника (обучающегося) представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника (обучающегося), которые необходимы для выполнения указанными представителями их функции.
  2. Хранение и использование персональных данных работников (обучающихся):
     1. Персональные данные работников (обучающихся) обрабатываются и хранятся в отделе кадров.
     2. Персональные данные работников (обучающихся) могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде в локальной компьютерной сети с использованием прикладных программ.
  3. При получении персональных данных не от работника (обучающегося) (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) Оператор до начала обработки таких персональных данных обязан предоставить работнику (обучающемуся) следующую информацию:
• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные настоящим Федеральным законом права субъекта персональных данных.

5. Доступ к персональным данным

1. 1. Право доступа к персональным данным работников, обучающихся, воспитанников и их родителей (законных представителей) имеют:

-директор Учреждения;

• сотрудники бухгалтерии;
• секретарь;
• руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников (обучающихся) своего подразделения.
  2. Работник (обучающийся, воспитанник, родитель (законный представитель)) Учреждения имеет право:
     1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника (обучающегося).
     2. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.
     3. Получать от Оператора
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

1. 3. Копировать и делать выписки персональных данных работника (обучающегося) разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
   4. Передача информации третьей стороне возможна только при письменном согласии работников (обучающихся).

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

1. 1. Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
   2. Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает ущерб, причиненный субъекту персональных данных неправомерным использованием информации, содержащей персональные данные последнего.

7. Порядок обработки персональных данных без использования средств автоматизации

7.1 Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

1. 2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
   3. При неавтоматизированной обработке персональных данных на бумажных носителях:

• • • не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
    • персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
    • документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
    • дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
  • При использовании типовых форм документов, характер информации в которых предполагает или       допускает                        включение            в             них             персональных           данных (далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

1. 5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
   6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
   7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению №3 к настоящему Положению.

К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

1. 8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

1. 9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

8. Основные принципы построения системы комплексной защиты

информации

Построение системы обеспечения безопасности персональных данных информационных систем персональных данных Учреждения их функционирование должны осуществляться в соответствии со следующими основными принципами:

законность; системность;

комплексность; непрерывность;

своевременность;

преемственность и непрерывность совершенствования; персональная ответственность;

минимизация полномочий;

взаимодействие и сотрудничество; гибкость системы защиты;

открытость алгоритмов и механизмов защиты; простота применения средств защиты;

научная обоснованность и техническая реализуемость; специализация и профессионализм;

обязательность контроля.

1. 1. Законность

Предполагает осуществление защитных мероприятий и разработку системы защиты персональных данных (СЗПДн) Учреждения в соответствии с действующим законодательством в области защиты персональных данных и других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции.

Пользователи и обслуживающий персонал информационных систем персональных данных Администрации должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за защиты ПДн.

1. 2. Системность

Системный подход к построению СЗПДн в Учреждении предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информационной системы персональных данных Администрации.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки персональных данных, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

1. 3. Комплексность

Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Защита должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному

злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.

Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VPN. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

1. 4. Непрерывность защиты персональных данных

Защита персональных данных – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационной системы персональных данных.

Информационные системы персональных данных должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода информационных систем персональных данных в незащищенное состояние.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

1. 5. Своевременность

Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите информационных систем персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем персональных данных в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

1. 6. Преемственность и совершенствование

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем персональных данных и их системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

1. 7. Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

1. 8. Принцип минимизации полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа «все, что не разрешено, запрещено».

Доступ к персональным данным должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

1. 9. Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективах подразделений, обеспечивающих деятельность информационных систем персональных данных в Учреждении для снижения вероятности возникновения негативных действий связанных с человеческим фактором.

В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.

1. 10. Гибкость системы защиты персональных данных

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.

1. 11. Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Однако, это не означает, что информация о конкретной системе защиты должна быть общедоступна.

1. 12. Простота применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Должна достигаться автоматизация максимального числа действий пользователей и администраторов информационной системы персональных данных.

1. 13. Научная обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности персональных данных.

Система защиты персональных данных должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.

1. 14. Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Учреждения.

1. 15. Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

9. Меры, методы и средства обеспечения требуемого уровня защищенности

Обеспечение требуемого уровня защищенности должности достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных подразделяются на:

законодательные (правовые); морально-этические;

организационные (административные); физические;

технические (аппаратные и программные).

Перечень выбранных мер обеспечения безопасности отражается в плане мероприятий по обеспечению защиты персональных данных.

1. 1. Законодательные (правовые) меры защиты

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию персональных данных и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

1. 2. Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений. Морально- этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.

1. 3. Организационные (административные) меры защиты

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования информационных систем персональных данных, использование ресурсов информационных систем персональных данных, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с информационными системами персональных данных таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Главная цель административных мер, предпринимаемых на высшем управленческом уровне – сформировать политику информационной безопасности персональных данных (отражающую подходы к защите информации) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Реализация политики информационной безопасности персональных данных в информационных системах персональных данных состоят из мер административного уровня и организационных (процедурных) мер защиты информации.

К административному уровню относятся решения руководства, затрагивающие деятельность рассматриваемых в целом. Эти решения закрепляются в локальных актах Организации. Примером таких решений могут быть:

принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности персональных данных, определение ответственных за ее реализацию;

формулирование целей, постановка задач, определение направлений деятельности в области безопасности персональных данных;

принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне  Учреждения в целом;

обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности персональных данных, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью информационных систем.

На организационном уровне определяются процедуры и правила достижения целей и решения задач политики информационной безопасности персональных данных. Эти правила определяют:

каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности персональных данных, а так же их установить ответственность;

кто имеет права доступа к персональным данным;

какими мерами и средствами обеспечивается защита персональных данных;

какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.

Организационные меры должны:

предусматривать регламент информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты;

определять коалиционные и иерархические принципы и методы разграничения доступа к персональным данным;

определять порядок работы с программно-математическими и техническими (аппаратные) средствами защиты и криптозащиты и других защитных механизмов;

организовать меры противодействия НСД пользователями на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

В организационные меры должны состоять из:

ограничение   доступа   в    помещения,   где   расположены   информационные  системы персональных данных и их отдельные элементы;

порядок допуска сотрудников к использованию ресурсов информационных систем персональных данных в Учреждении;

регламента    процессов    ведения     баз     данных    и     осуществления    модификации информационных ресурсов;

регламента процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных;

инструкций     пользователей     информационных     систем     персональных     данных (администратора, администратора безопасности, оператора);

1. 4. Физические меры защиты

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Все объекты критичные с точки зрения информационной безопасности ИСПДн (все сервера баз данных, маршрутизаторы, межсетевые экраны) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства организации. Ключевые дискеты, пароли и прочая конфиденциальная информация хранится в сейфах. Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух). Копии ключей находятся в службе охраны. Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Помещение контролируется системой видео наблюдения с выходом на мониторы охраны. Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находиться в помещении только в присутствии работников, имеющих право находиться в данном помещении в связи с выполнением своих должностных обязанностей. Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения «(Должностное лицо организации, ответственное за обеспечение информационной безопасности)».

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

1. 5. Аппаратно-программные средства защиты ПДн

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав ИСПДн и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты

(идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности персональных данных и информационных системах по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей информационных систем персональных данных;

средства разграничения доступа зарегистрированных пользователей системы к ресурсам информационных систем персональных данных Администрации;

средства обеспечения и контроля целостности программных и информационных ресурсов; обязательное резервирование всей информации, имеющей конфиденциальный характер;

дублирование информации с использованием различных физических и аппаратных носителей;

средства оперативного контроля и регистрации событий безопасности; криптографические средства защиты персональных данных.

Успешное применение технических средств защиты на основании представленных выше принципов предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

обеспечена физическая целостность всех компонент информационных систем персональных данных;

каждый сотрудник (пользователь) или группа пользователей информационных систем персональных данных имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы; все изменения конфигурации технических и программных средств информационных

систем персональных данных производятся строго установленным порядком (регистрируются и контролируются) только на основании распоряжений руководства Учреждения;

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних лиц (специальных помещениях, шкафах, и т.п.).

специалистами Учреждения осуществляется непрерывное управление и административная поддержка функционирования средств защиты.

С целью поддержания установленного уровня защищенности информации, применяемые меры обеспечения безопасности должны регулярно пересматриваться и приводиться в соответствие с новыми требованиями.

Приложение 1 к Положению о защите

и обработке персональных данных в МАОУ Аргат-Юльской СОШ

СОГЛАСИЕ

НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКА

Я,                                                                                                                                         

                                                                                                                                            ,

(Ф.И.О.)

Проживающий по адресу:                                                                                                  

Паспорт                      №                                ,               выданный              (кем               и

когда)                                                                                                                                                

настоящим даю свое согласие на обработку в муниципальном автономном общеобразовательном учреждении Аргат-Юльской средней общеобразовательной школе Первомайского района (МАОУ Аргат-Юльской СОШ), 636947 Томская обл., Первомайский р-н, п. Аргат-Юл, ул. Комсомольская, 33, моих персональных данных, к которым относятся:

• паспортные данные;
• данные страхового Свидетельства государственного пенсионного страхования;
• данные документа воинского учета;
• документы об образовании, профессиональной переподготовке, повышении квалификации, стажировки, присвоении ученой степени, ученого звания (если таковые имеются);
• анкетные данные, предоставленные мною при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
• данные иных документов, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены мною при заключении трудового договора или в период его действия1;
• данные трудового договора и соглашений к нему;
• данные кадровых приказов о моем приеме, переводах, увольнении;
• данные личной карточки по формам Т-2;
• данные    документов    о    прохождении    мной    аттестации,    собеседования, повышения квалификации, результатов оценки и обучения;
• фотография;
• иные сведения обо мне, которые необходимо (оператору) для корректного документального оформления правоотношений между мною и (оператором).

Я даю согласие на использование моих персональных данных в целях:

• корректного документального оформления трудовых правоотношений между мною и МАОУ Аргат-Юльской СОШ.
• обеспечения выполнения мною должностных обязанностей (трудовой функции);

• обеспечения предоставления мне социального пакета.

Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам – Департаменту общего образования Томской области, Управлению образования Администрации Первомайского района, медицинским учреждениям и т.д.), обезличивание, блокирование, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными, предусмотренных действующим законодательством Российской Федерации.

МАОУ Аргат-Юльская СОШ гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством РФ и «Положением о защите персональных данных работников МАОУ Аргат-Юльской СОШ, с которым я ознакомлен (а) при трудоустройстве в МАОУ Аргат-Юльскую СОШ.

Данное Согласие действует с момента заключения мною Трудового договора с МАОУ Аргат-Юльской СОШ и до истечения сроков, установленных действующим законодательством Российской Федерации.

Я подтверждаю, что, давая такое Согласие, я действую своей волей и в своих интересах.

Согласие может быть отозвано по моему письменному заявлению.

Дата:                               Подпись                  

Приложение 2 к Положению о защите

и обработке персональных данных в МАОУ Аргат-Юльской СОШ

СОГЛАСИЕ ЗАКОННОГО ПРЕДСТАВИТЕЛЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБУЧАЮЩЕГОСЯ

Я,                                                                                                                                                       

,

(Ф.И.О.)

Проживающий по адресу:                                                                                                                

Паспорт                    №                              ,                     выданный                     (кем                     и

когда)                                                                                                                                                

как                       законный                       представитель                      на                       основании

(документ, подтверждающий, что субъект является законным представителем подопечного)

настоящим даю свое согласие на обработку в Муниципальном автономном общеобразовательном учреждении Аргат-Юльской средней общеобразовательной школе Первомайского района, находящегося по адресу: 636948 Томская обл., Перовмайский р-н, п. Аргат-Юл, ул. Комсомольская, 33, персональных                                                     данных                              своего                              подопечного

(Ф.И.О.)

                                                    , к которым относятся:

(Дата рождения)

• данные свидетельства о рождении;
• данные медицинской карты;
• адрес проживания подопечного;
• прочие сведения.

Я даю согласие на использование персональных данных своего подопечного в целях:

• обеспечения учебного процесса подопечного;
• медицинского обслуживания;
• ведения статистики.

Настоящее согласие предоставляется на осуществление любых действий в отношении персональных данных моего подопечного, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам – Департаменту образования Томской области, районным медицинским учреждениям, военкомату, отделениям милиции и т.д.), обезличивание, блокирование, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными, предусмотренных действующим законодательством РФ.

МАОУ    Аргат-Юльская             СОШ               гарантирует,        что                     обработка                           персональных  данных осуществляется в соответствии с действующим законодательством РФ.

Я проинформирован, что МАОУ Аргат-Юльская СОШ будет обрабатывать персональные данные как неавтоматизированным, так и автоматизированным способом обработки.

Данное Согласие действует до достижения целей обработки персональных данных подопечного в МАОУ Аргат-Юльской СОШ.

Согласие может быть отозвано по моему письменному заявлению.

Я подтверждаю, что, давая такое Согласие, я действую своей волей и в интересах своего подопечного.

Дата:                                       Подпись                                /                                                         /

Журнал учета носителей персональных данных

Приложение 3 к Положению о защите

и обработке персональных данных в МАОУ Аргат-Юльской СОШ

Журнал начат «       »                                           201    г. Журнал завершен «       »                                 201                                       г.

                                                                   /Должность/                                                                  /Должность/

                                                   / ФИО должностного лица /                                            / ФИО должностного лица /

На           листах