Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет основные положения, реализуемые при обработке персональных данных в информационных системах КГКУ «Региональный центр оценки качества образования» (далее Организация).

1.2. Настоящая Политика, все дополнения и изменения к ней утверждаются руководителем Организации.

1.3. Политика распространяется на ПДн, полученные как до, так и после подписания настоящей Политики.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Персональные данные (далее ПДн) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки и состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.

2.5. Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

2.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе (ИС) ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

2.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использование дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Информационная система персональных данных — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

3. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ ПРАВОВЫЕ АКТЫ

3.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

3.1.1. Конституция Российской Федерации;

3.1.2. Трудовой кодекс Российской Федерации;

3.1.3. Налоговый кодекс Российской Федерации;

3.1.4. Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и о защите информации»;

3.1.5. Федеральный закон от 29.12.2012 № 273 «Об образовании в Российской Федерации»

3.2 Обработка персональных данных осуществляется Оператором в соответствии с нормами и требованиями:

3.2.1 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

3.2.2 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

3.2.3 Постановления Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

3.2.4 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

3.2.5 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

3.2.6 Иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Целями обработки ПДн являются:

4.2.1 информационное обеспечение проведения государственной итоговой аттестации обучающихся, освоивших образовательные программы основного общего и среднего общего образования, в том числе в форме единого государственного экзамена;

4.2.2 учет контингента обучающихся, в том числе его персональных данных, и данных об образовании;

4.2.3 выполнение договорных обязательств, включая обязательства, предусмотренные трудовым законодательством Российской Федерации.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн в ИС осуществляется Организацией на основе принципов:

5.1.1. Обработка ПДн осуществляется на законной и справедливой основе

5.1.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

5.1.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

5.1.4. Содержание и объем обрабатываемых ПДн соответствуют целям обработки и обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки.

5.1.5. При обработке ПДн обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры по удалению или уточнению неполных, или неточных данных.

5.1.6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

5.2. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

5.2.1. достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

5.2.2. утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

5.2.3. предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки— в течение 7 дней;

5.2.4. невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

5.2.5. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

5.2.6. ликвидация Оператора.

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сбое персональных данных, а также полномочиями оператора, определенными действующим законодательством Российской Федерации и (или) договорными отношениями с Организацией.

6.2. Обработка персональных данных допускается в следующих случаях:

6.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его ПДн (ПРИЛОЖЕНИЕ 1);

6.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

6.2.3. Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

6.2.4. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

6.2.5. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.10 № 210 «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

6.2.6. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6.2.7. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6.2.8. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

6.2.9. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

6.2.10. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

6.2.11. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3. Субъект персональных данных может отозвать свои персональные данные направив отзыв согласия на обработку персональных данных Организации (Приложение 2).

7. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

К категориям субъектов персональных данных относятся:

    • обучающиеся, освоившие образовательные программы основного общего и среднего общего образования;
    • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
    • клиенты и контрагенты оператора (физические лица);
    • представители/работники клиентов и контрагентов оператора (юридических лиц).

Категория обрабатываемых персональных данных: иные.

8. ОСНОВНЫЕ ОБЯЗАННОСТИ ОПЕРАТОРА ИС

8.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

8.1.1. Подтверждение факта обработки ПДн Организацией

8.1.2. Правовые основания и цели обработки ПДн.

8.1.3. Цели и применяемые Организацией способы обработки ПДн.

8.1.4. Наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании федеральных законов Российской Федерации.

8.1.5. Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации.

8.1.6. Сроки обработки ПДн, в том числе сроки их хранения.

8.1.7. Информацию обосуществленной или о предполагаемой трансграничной передаче данных.

8.1.8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

8.1.9. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2. Оператор вправе не предоставлять информацию субъекту персональных данных в случаях:

8.2.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором.

8.2.2. Персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.

8.2.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.

8.2.4. Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

8.2.5. Предоставление субъекту персональных данных вышеуказанных сведений нарушает права и законные интересы третьих лиц.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъекты ПДн, чьи ПДн обрабатываются в ГИС, имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:

9.1.1. Подтверждение факта обработки ПДн Организацией.

9.1.2. Правовые основания и цели обработки ПДн.

9.1.3. Цели и применяемые Организацией способы обработки ПДн.

9.1.4. Наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании федеральных законов Российской Федерации.

9.1.5. Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации.

9.1.6. Сроки обработки ПДн, в том числе сроки их хранения.

9.1.7. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

9.1.8. Субъекты ПДн вправе требовать от Организации уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.1.9. Субъекты ПДн вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

9.1.10. Субъекты ПДн имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИС

10.1. Трансграничная передача ПДн не осуществляется.

10.2. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных обрабатываемых в ИС для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

10.2.1. назначение работников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

10.2.2. издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

10.2.3. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;

10.2.4. ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

10.2.5. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

10.2.6. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты отнесанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

10.2.7. учет и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

10.2.8. резервное копирование информации для возможности восстановления;

10.2.9. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

10.2.10. соблюдение требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных»;

10.3. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

10.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным:

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

    • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
    • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

В случае запроса/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений, оператор действует в соответствии с требованиями Федерального закона «О персональных данных».

11. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ К ЗАЩИТЕ ПДн

11.1. Реализация требований к защите ПДн в Организации осуществляется в соответствии с приказом ФСТЭК России от 18.02.2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

11.2. Реализация требований к защите ПДн в Организации осуществляется в соответствии с приказом ФСТЭК России от 11.02.2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

11.3. Реализация требований к защите ПДн в Организации включает в себя проведение следующих мероприятий:

11.3.1. Определение категории ПДн, обрабатываемых в ИС.

11.3.2. Определение угроз безопасности ПДн в ИС.

11.3.3. Определение в ИС необходимого уровня защищенности ПДн на основе анализа угроз безопасности и возможного ущерба Организации при реализации угроз безопасности ПДн.

11.3.4. Реализация технических и организационных мер по защите ПДн, обрабатываемых в ИС.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации.

12.2. Настоящая Политика подлежит изменению, дополнению в случае необходимости либо принятия новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.

12.3. Сотрудники Организации несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей предусмотренных настоящей Политикой, в пределах, определенных действующим законодательством Российской Федерации.