ПОЛОЖЕНИЕ о порядке обработки персональных данных учащихся

 

 

УТВЕРЖДАЮ

Директор МБОУ СШ № 51

_____________ Т.А.Ларина

«26» августа 2016 г.

 

Приложение №7

к приказу  № 301 от 26.08.2016 г.

 

 

 

ПОЛОЖЕНИЕ

о порядке обработки персональных данных  учащихся

в  МБОУ СШ №51

 

1.     Общие положения

1.1.         Настоящее Положение о порядке обработки персональных данных  в МБОУ СШ № 51 разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных в МБОУ СШ № 51 муниципального образования «Город Архангельск» (далее – Школа).

 1.2.         В целях настоящего Положения используются следующие термины и понятия:

§  персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). в том числе его фамилия, имя, отчество, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

§  обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

§  информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

§   обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

 

 2.       Основные условия проведения обработки персональных данных

2.1.         Обработка персональных данных осуществляется:

§  после получения согласия субъекта персональных данных, согласно его заявлению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

§  после принятия необходимых мер по защите персональных данных.

 2.2.         В школе назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.

 2.3.         Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают соглашение о неразглашении информации, содержащей персональные данные (Приложение № 1).

 2.4.         Запрещается:

§  обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

§  осуществлять ввод персональных данных под диктовку.

 

 3.       Порядок определения защищаемой информации

3.1.         Школа наполняет персональными данными в пределах своих полномочий, установленных в соответствии с федеральными законами, автоматизированные информационные системы персональных данных в целях обеспечения реализации прав объектов персональных данных.

 3.2.         Школой определяются цели о содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.

 

 4.       Порядок обработки персональных данных в информационных системах персональных данных с использованием  АИС «ЭлЖур»

4.1.         Обработка персональных данных в ЭлЖур осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

 4.2.         Мероприятия по обеспечению безопасности персональных данных на стадии ввода объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 05.02.2010 г. № 58 «О методах и способах защиты информации в информационных системах персональных данных

 

 

 5.       Порядок обработки персональных данных без использования средств автоматизации

5.1.         Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

5.2.         При неавтоматизированной обработке различной категории персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

 5.3.         При неавтоматизированной обработке персональных данных на бумажных носителях:

§  не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

§  персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

§  документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

 5.4.         При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы). Должны соблюдаться следующие условия:

5.4.1.  Типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

5.4.2.  Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметке о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

5.4.3.  Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

5.4.4.  Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.5.         Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

 5.6.        Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных (Приложение № 2). К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

 5.7.         Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых шкафах. При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

 5.8.    Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, зафиксированных на материальном носителе (удаление, вымарывание).

 

 6.       Ответственность должностных лиц

6.1.         Работники Школы, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 1

 

 

Соглашение о неразглашении

персональных данных субъекта (сотрудника школы)

Я,________________________________________________________________________,

(фамилия, имя, отчество)

паспорт серия________ номер ___________, выданный ___________________________

____________________________________ «____» _____________ _________ года, понимаю, что получаю доступ к персональным данным работников МБОУ СШ № 51.

                Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.

                Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.

                В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.

                Я подтверждаю, что не имею права разглашать сведения:

-          анкетные и биографические данные;

-          сведения об образовании;

-          сведения о составе семьи;

-          паспортные данные;

-          адрес места жительства;

-          домашний телефон;

-          место работы или учебы членов семьи и родственников;

                Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.

 

« ___ » __________ 20__ г.                                                                                                           ____________________

(подпись)

 

 

 

 

Приложение № 2

  

Начат «____» __________ ______г.

Окончен «___» _________ _____ г.

     На ___________ листах.     

 

 

 

ЖУРНАЛ

учёта электронных носителей персональных данных

 

Учётный номер	Дата постановки на учёт	Вид электронного носителя, место его хранения (размещения)	Ответственный за использование и хранение
			ФИО	подпись	дата
1	2	3	4	5	6

 Приложение 3

                                                                          

 

 

ПОЛОЖЕНИЕ

о разграничении прав доступа

к обрабатываемым персональным данным

в МБОУ СШ № 51

 

1.     Общие положения

 1.1.         Настоящее Положение о разграничении прав доступа к обрабатываемым персональным данным (далее - Положение) в МБОУ СШ № 51 (далее – Школа) разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка Школы и определяет уровень доступа должностных лиц к персональным данным работников и учащихся.

 2.       Основные понятия

 2.1.         Для целей настоящего Положения используются следующие основные понятия:

§  персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

§  персональные данные учащихся – информация, необходимая Школе в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и Школой;

§  обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

§  конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия работника (родителей (законных представителей) учащегося)  или иного законного основания;

§  распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

§  использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Школы в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (обучающихся) либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

§  блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

§  уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

§  обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику (обучающемуся);

§  информация - сведения (сообщения, данные) независимо от формы их представления.

 3.       Разграничение прав доступа при автоматизированной обработке информации

3.1.         Разграничение прав осуществляется на основании характера и режима обработки персональных данных в ЭлЖур.

3.2.         Список групп должностных лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа в ЭлЖур представлен в таблице № 1.

 

 

 

 

 

 

 

 

 

Таблица № 1

 

Список групп должностных лиц

ответственных за обработку персональных данных

 

Группа	Уровень доступа к ЭлЖур	Разрешенные действия
Администратор школы (куратор)	- Обладает правами Администратора Элжур - Обладает полной информацией об Элжур - Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов Элжур, их настройке и к конфигурированию информационных средств Элжур.	- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Завуч	Обладает всеми необходимыми атрибутами и правами, обеспечивающими  функционирование Элжур в рамках организации образовательного процесса.	- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Классный руководитель	Обладает правами доступа к личным карточкам учащихся своего класса, сведениям об успеваемости и посещаемости по всем предметам преподаваемым в классе.	- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Учитель предметник	Обладает правами доступа к информации об успеваемости и посещаемости учащихся  в классах, в которых ведет  обучение, но только по своему предмету.	- сбор - систематизация - накопление - уточнение - использование - уничтожение

 4.       Разграничение прав доступа при неавтоматизированной обработке персональных данных

4.1.         Разграничение прав осуществляется исходя из характера и режима обработки персональных данных на материальных носителях.

4.2.         Список лиц ответственных за неавтоматизированную обработку персональных, а так же их уровень прав доступа к персональным данным представлен в таблице № 2.

 

  

Таблица № 2

 

Список лиц ответственных

за неавтоматизированную обработку персональных данных

 

Группа	Уровень доступа к ПДн	Разрешенные действия
Администрация школы	- Обладает полной информацией о персональных данных обучающихся и их родителей (законных представителей), работников школы. - Имеет доступ к личным делам обучающихся и работников, информации на материальных носителях, содержащей персональные данные обучающихся, их родителей (законных представителей) и работников школы.	- сбор и систематизация - накопление и хранение - уточнение (обновление, изменение) - использование - уничтожение - распространение - блокирование - обезличивание
Делопроизводитель-секретарь	- Обладает полной информацией о персональных данных обучающихся и их родителей (законных представителей), работников школы. - Имеет доступ к личным делам обучающихся и работников, информации на материальных носителях, содержащей персональные данные обучающихся, их родителей (законных представителей) и работников школы.	- сбор и систематизация - накопление и хранение - уточнение (обновление, изменение) - использование - уничтожение - распространение - блокирование - обезличивание
Социальный педагог	- Имеет доступ к личным делам обучающихся, информации на материальных носителях, содержащей персональные данные обучающихся, их родителей (законных представителей).	- сбор и систематизация - накопление и хранение - уточнение (обновление, изменение) - использование
Педагог- психолог	- Имеет доступ к личным делам обучающихся, информации на материальных носителях, содержащей персональные данные обучающихся, их родителей (законных представителей).	- сбор и систематизация - накопление и хранение - уточнение (обновление, изменение) - использование
Классные руководители	- Имеет доступ к личным делам обучающихся и информации на материальных носителях, содержащей персональные данные обучающихся только своего класса.	- сбор и систематизация - уточнение (обновление, изменение) - использование - уничтожение
Преподаватель-организатор ОБЖ, допризывной подготовки	- Имеет доступ к личным делам обучающихся и информации на материальных носителях, содержащей персональные данные обучающихся допризывного возраста, всех сотрудников школы, в том числе военнообязанных	- сбор и систематизация - уточнение (обновление, изменение) - использование - уничтожение
Педагоги дополнительного образования	- Имеет доступ к информации на материальных носителях (журнал работы объединения в системе дополнительного образования), содержащей персональные данные обучающихся и контактной информации родителей (законных представителей) обучающихся своей группы (кружка, секции), детской общественной организации, органов детского самоуправления	- уточнение (обновление, изменение) - использование
Учителя – предметники.	- Имеет доступ к информации на материальных носителях (классный журнал), содержащей персональные данные учащихся и контактной информации родителей учащихся классов, обучающихся предмету учителя.	- использование
Библиотекарь	- Имеет доступ к информации на материальных носителях (формуляр читателя библиотеки), содержащей персональные данные учащихся	- использование - хранение

* Распространение (передача) информации, содержащей персональные данные, может быть осуществлена только с разрешения администрации школы в соответствии с Положением о порядке обработки и защиты персональных данных работников и учащихся МБОУ СШ № 51 и в установленном действующим законодательством порядке.

Приложение 4

                                                                          

 

Инструкция

по обеспечению безопасности персональных данных

 

1.     Общие положения

1.1.   Настоящая Инструкция разработана в соответствии со ст. 19 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», на основании Федерального закона РФ от 27.07.2007 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ от 17.01.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности РФ (ФСБ России), Министерства информационных технологий и связи РФ (Мининформсвязи России) от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», Письма Федерального агентства по образованию № ФАО-6748/52/17-02-09/72 «Об обеспечении безопасности персональных данных», Положения о работе с персональными данными работников и учащихся.

1.2.   Для обеспечения безопасности персональных данных необходимо исключить несанкционированный, в том числе случайный, доступ к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

1.3.   Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.

1.4.   Ответственность за безопасность персональных данных возлагается на лиц, допущенных к их обработке.

 2.     Обеспечение безопасности перед началом обработки персональных данных

2.1.   Перед началом обработки персональных данных необходимо изучить настоящую Инструкцию.

2.2.   Перед началом обработки персональных данных необходимо убедиться в том, что:

§  средства защиты персональных данных соответствуют классу информационной системы;

§  в помещении, в котором ведется работа с персональными данными, отсутствуют посторонние лица;

§  носители персональных данных не повреждены;

§  к персональным данным не был осуществлен несанкционированный доступ;

§  персональные данные не повреждены;

§  технические средства автоматизированной обработки и защиты персональных данных находятся в исправном состоянии.

 3.       Обеспечение безопасности во время обработки персональных данных

3.1.         Во время обработки персональных данных необходимо обеспечить:

§  недопущения воздействия на технические средства автоматизированной обработки персональных данных, способного нарушить их функционирование;

§  недопущение нахождения в помещении, в котором ведется работа с персональными данными, посторонних лиц;

§  постоянный контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

§  недопущение несанкционированного доступа к персональным данным;

§  конфиденциальность персональных данных.

 4.       Обеспечение безопасности в экстремальных ситуациях

4.1.         При модификации или уничтожения персональных данных, вследствие несанкционированного доступа к ним необходимо обеспечить возможность их незамедлительного восстановления.

4.2.         При нарушении порядка предоставления персональных данных пользователям информационной системы необходимо приостановить их предоставление.

4.3.         При обнаружении несанкционированного доступа к персональным данным необходимо немедленно прервать этот доступ.

4.4.         В случае несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных необходимо произвести разбирательство и составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.5.         Обо всех экстремальных ситуациях необходимо немедленно поставить в известность директора школы и произвести разбирательство.

 5.       Обеспечение безопасности при завершении обработки персональных данных

5.1.         После завершения сеанса обработки персональных данных необходимо обеспечить:

§  исключение возможности несанкционированного проникновения или нахождения в помещении, в котором размещены информационные системы и ведется работа с персональными данными;

§  работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке персональных данных;

§  фиксацию всех случаев нарушения данной инструкции в журнале.

6.       Заключительные положения

6.1.         Проверка и пересмотр настоящей инструкции осуществляются в следующих случаях:

§  при пересмотре межотраслевых и отраслевых требований обеспечения безопасности персональных данных;

§  при внедрении новой техники и (или) технологий;

§  по результатам анализа материалов расследования нарушений требований законодательства об обеспечении безопасности персональных данных;

§  по требованию представителей Федеральной службы безопасности.

Ответственность за своевременную корректировку настоящей инструкции возлагается на директора школы.