ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПД

• субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
• блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
• информация - сведения (сообщения, данные) независимо от формы их представления.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1. Обработка персональных данных в Учреждении осуществляется для достижения конкретных и законных целей.

2.2. Цели обработки, состав персональных данных и сроки их обработки определены в документе «Перечень персональных данных, обрабатываемых в МБУДО «ДДТ» п.Унъюган

2.3. Не допускается обработка персональных данных, несовместимая с целями, для которых собирались персональные данные.

3. СБОР, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И УСЛОВИЯ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ

3.1. Обработка персональных данных осуществляется исключительно в целях выполнения обязательств Учреждения, обеспечения соблюдения законов и иных нормативных правовых актов; обеспечения личной безопасности субъекта; контроля выполняемой работы и обеспечения сохранности имущества.

3.2. Ответственные за обработку персональных данных работников Учреждения, учащихся и их законных представителей и иных субъектов персональных данных назначаются приказом директора Учреждения.

3.3. Запрещается использовать персональные данные в целях причинения имущественного и морального вреда гражданам, затруднения реализации ими своих прав и свобод.

3.4. Способы обработки и места хранения персональных данных определены в документе «Перечень информационных систем».

3.5. Персональные данные субъекта получают с его согласия у него самого, либо у его представителя.

3.6. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.7. Уполномоченные должностные лица Учреждения должны сообщить субъекту о характере подлежащих получению персональных данных, о целях, для которых они собираются и последствиях отказа субъекта предоставить данные.

3.8. В случаях, предусмотренных законом «О персональных данных», когда необходимо получение письменного согласия субъекта, уполномоченные должностные лица должны предоставить субъекту форму такого согласия.

3.9. Для достижения целей обработки персональных данных Учреждения вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны стандарт обеспечения безопасности или требования к обеспечению безопасности обрабатываемых персональных данных.

3.10. Если персональные данные субъектов предоставляются третьей стороной, то обязанность получения согласия возлагается на сторону собирающую данные непосредственно у субъекта и данная обязанность отражается в договоре между сторонами.

3.11. Не допускается получение и обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные), которые используются оператором для установления личности субъекта персональных данных, без согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

3.12. При принятии решений относительно субъекта на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.13. Информация, относящаяся к персональным данным субъекта, может быть предоставлена государственным органам в порядке, установленном действующим законодательством Российской Федерации.

3.14. Не допускается сообщать персональные данные субъекта третьей стороне без его согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Российской Федерации.

3.15. В случае если лицо, обратившееся с запросом, не уполномочено действующим законодательством Российской Федерации на получение персональных данных субъекта либо отсутствует согласие субъекта на предоставление его персональных данных, руководство Учреждения обязано отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении персональных данных с указанием причины отказа.

3.16. При передаче персональных данных субъекта третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Исключение составляет обмен персональными данными в порядке, установленном действующим законодательством.

3.17. Передача персональных данных субъекта в пределах Учреждения осуществляется в соответствии с локальными нормативными актами, графиками документооборота, положениями о структурных подразделениях, должностными инструкциями, приказами Директора.

3.18. Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения ответственного за обработку персональных данных, либо руководителя структурного подразделения, осуществляющего обработку и хранение данных Учреждения. Данное разрешение фиксируется в форме визы на докладной записке, отражающей запрос на получение персональных данных.

4. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

4.2. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя отчество, адрес представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
• наименование и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральными законами;
• подпись субъекта персональных данных.

4.3. Согласие субъекта не требуется в следующих случаях:

• обработка персональных данных, необходимая для достижения целей, предусмотренных законом или международным договором Российской Федерации, для осуществления функций и полномочий, выполнения обязанностей, возложенных законодательством на оператора, в том числе в целях осуществления правосудия или исполнения судебного решения;
• обработка персональных данных, необходимая для достижения общественно значимых целей;
• обработка персональных данных, необходимая для исполнения договора, одной из сторон которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных, необходимая для осуществления прав и законных интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
• обработка персональных данных, необходимая для профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• обработка персональных данных осуществляется для статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
• обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по просьбе субъекта персональных данных (сделанных субъектом персональных данных общедоступными);
• обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1. Операторы и иные лица, получившие доступ к персональным данным, если иное не предусмотрено федеральным законом, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.

5.2. Доступ к персональным данным работников Учреждения, учащихся и их законных представителей, и иных субъектов персональных данных имеют директор Учреждения и должностные лица, осуществляющие обработку персональных данных согласно утвержденному списку.

5.3. Доступ сотрудников Учреждения к персональным данным осуществляется на основании приказа или письменного разрешения директора Учреждения. Данное разрешение оформляется визой на докладной записке, отражающей запрос на получение персональных данных.

5.4. Доступ представителей сторонних организаций к персональным данным субъекта осуществляется с письменного согласия субъекта персональных данных.

5.5. Ознакомление с персональными данными субъекта сотрудниками правоохранительных органов осуществляется беспрепятственно, в пределах их полномочий при предъявлении ими соответствующих документов с разрешения директора Учреждения, которое оформляется в виде визы на письме-запросе о получении персональных данных или приказа директора о передаче персональных данных сотрудникам правоохранительных органов.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Должностные лица Учреждения обязаны принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.

6.2. Целями защиты информации являются:

• предотвращение утечки, хищения, утраты, искажения, подделки информации,
• предотвращение угроз безопасности личности, общества, государства,
• предотвращение несанкционированных действий по уничтожению,
• модификации, искажению, копированию, блокированию информации,
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы _______________________,
• защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах _______________________,
• сохранение конфиденциальности документированной информации в соответствии с законодательством.

6.3. Меры по обеспечению безопасности персональных данных включают в себя, в частности:

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.