Политика в отношении обработки персональных данных

1. Назначение и область действия

Политика в отношении обработки и защиты персональных данных определяет позицию и основные направления деятельности краевого государственного бюджетного общеобразовательного учреждения кадетской школы-интернат «Красноярский кадетский корпус имени А.И. Лебедя» (далее - КГБОУ КШИ «Красноярский кадетский корпус имени А.И.Лебедя») в области обработки и защиты персональных данных работников, обучающихся (кадетов), их родителей (законных представителей), обеспечения их целостности и сохранности.

Политика предназначена для изучения и исполнения руководителями, работниками учреждения, обучающимися (кадетами), их родителями (законными представителями).

2. Принципы и цели обработки персональных данных

Одной из приоритетных задач в работе КГБОУ КШИ «Красноярский кадетского корпуса» имени А.И.Лебедя является соблюдение действующего законодательства Российской Федерации в области информационной безопасности, в том числе требований Федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

При обработке персональных данных субъектов реализуются следующие принципы:

1. Обработка персональных данных осуществляется на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а при необходимости и актуальность по отношению к целям обработки персональных данных. Учреждение обязано принимать надлежащие меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка персональных данных работников учреждения осуществляется исключительно в целях обеспечения в отношении работника соблюдения законодательства РФ, содействия в трудоустройстве, получении образования и продвижении по работе (службе), обеспечения личной безопасности, сохранности имущества, контроля количества и качества выполняемой работы.

Обработка персональных данных обучающегося (кадета) в учреждении осуществляется исключительно в целях обеспечения учебно-воспитательного процесса; медицинского обслуживания; ведения статистики; внесения информации в базу данных КИАСУО.

Обработка персональных данных осуществляется в соответствии с Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими определяющими случаи и особенности обработки персональных данных федеральными законами, нормативными актами.

3. Состав и способы обработки персональных данных

1. В состав обрабатываемых в КГБОУ КТТТИ «Красноярский кадетский корпус» имени А.И. Лебедя» персональных данных работника входят:

• анкетные и биографические данные (Ф.И.О., дата и место рождения);
• паспортные данные (серия, номер, кем и когда выдан, код подразделения и т.д.);
• сведения об образовании и специальности;
• сведения о трудовом и общем стаже;
• семейное положение, сведения о составе семьи;
• сведения о воинском учете;
• сведения о социальных льготах;
• наличие судимостей;

- адрес(а) места жительства и регистрации;

• контактная информация (номер домашнего, мобильного, служебного телефона);
• место работы или учебы члена семьи или родственника;
• заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего работе; результаты обязательных медицинских осмотров (обследований);
• фотографии;
• иные персональные данные, необходимые для достижения целей, указанных в разделе 2.

4. В состав персональных данных обучающегося (кадета), их родителей (законных представителей) входят:

• фамилия, имя, отчество дата и место рождения обучающегося (кадета);
• паспортные данные (серия, номер, кем и когда выдан, код подразделения и т.д.) обучающегося (кадета);
• адрес места проживания и регистрации обучающегося (кадета);
• контактная информация (номер домашнего, мобильного телефона) обучающегося (кадета);
• фотографии обучающегося;
• сведения о семье (законном(ых) представителе (ях)) обучающегося (кадета): Ф.И.О., дата, место рождения, образование, паспортные данные, домашний, мобильный и служебный телефоны родителей (законных представителей), количество детей в семье, в том числе несовершеннолетних, особенности семьи, доход семьи; прочие сведения необходимые для достижения целей, указанных в разделе 2.

Персональные данные КГБОУ КТТТИ «Красноярский кадетский корпус» имени А.И.Лебедя получает только лично от субъекта персональных данных. Если персональные данные работника возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие на это. Учреждение должно уведомить субъекта персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение. Если персональные данные обучающегося (кадета), его родителей (законных представителей) получены от третьих лиц, оператор, за исключением случаев, предусмотренных федеральным законом, до начала обработки таких персональных данных обязан предоставить родителю (ям) (законному (ым) представителю (ям) следующую информацию: наименование, адрес оператора; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные Федеральным законом права субъекта персональных данных; источник получения персональных данных

Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных допускаются только работники прошедшие определенную процедуру допуска, к которой относятся:

• ознакомление работников с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику учреждения в отношении обработки и защиты персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и (или) и их обучение;
• взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
• получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные.

Периодически в КГБОУ КТТТИ «Красноярский кадетский корпус имени А.И.Лебедя» проводятся занятия с сотрудниками, обрабатывающими персональные данные, по информационной безопасности и правилам работы с персональными данными.

5. Хранение персональных данных

Персональные данные субъектов хранятся в бумажном и электронном виде. Персональные данные на бумажных носителях хранятся в порядке, исключающем их утрату или неправомерное использование, в подразделениях или у сотрудников, ответственных за хранения персональных данных.

В электронном виде персональные данные хранятся в информационной базе данных, размещенных на сервере учреждения, доступ к которому имеют соответствующие сотрудники с персональным логином и паролем, а так же в архивных копиях баз данных этих систем.

6. Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных в КГБОУ КТИ «Красноярский кадетский корпус» имени А.И.Лебедя достигается, в том числе, следующими мерами:

• принятием и изданием локальных нормативных актов, регламентирующих порядок и условия обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• обеспечением пропускного режима в соответствии с Положением об организации пропускного режима в учреждении;

- организацией режима обеспечения безопасности помещений, в которых хранятся персональные данные и размещена информационная система, содержащая персональные данные, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

• назначение ответственного за организацию обработки персональных данных;
• определением списка лиц, допуск которых к персональным данным, необходим для выполнения ими служебных (трудовых) обязанностей;

назначением должностного лица ответственного за обеспечение безопасности персональных данных в информационной системе;

• проведение внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству РФ, требованиям к защите персональныхданных, политике учреждения в отношении обработки и защиты персональных данных, локальным актам учреждения;

- оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых учреждением мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.06.2006 года №152-ФЗ «О персональных данных»;

• использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;
• обеспечением сохранности носителей персональных данных (антивирусная защита, обеспечение межсетевого взаимодействия с применением межсетевого экрана и т.д.);
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7. Пересмотр положений Политики

Пересмотр положений настоящей Политики проводится при изменении законодательства Российской Федерации в области персональных данных.

После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте.