ПОЛОЖЕНИЕ об обработке персональных данных с использованием средств автоматизации

01.09.2023

муниципальное бюджетное  общеобразовательное учреждение

Киселевского городского округа

«Средняя общеобразовательная школа №28»

(МБОУ «СОШ № 28»)

 

   

Утверждаю:

 Директор МБОУ «СОШ № 28»

________________С.М.Хвощевская

приказ от 01.11.2022г. № 598-од

       

ПОЛОЖЕНИЕ

об обработке персональных данных с использованием средств автоматизации

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Киселевск, 2022

   

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке персональных данных с использованием средств автоматизации (далее – Положение) МБОУ «СОШ №28» разработано в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Постановлением Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г. № 1119, а также другими нормативно-правовыми актами, действующими на территории Российской Федерации.

1.2. Цели разработки Положения:

1.2.1. определение порядка обработки персональных данных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий МБОУ «СОШ №28»;

1.2.2. обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

1.2.3. установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. К любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением:

1.3.1. обезличенных персональных данных;

1.3.2. общедоступных персональных данных.

1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, или продлевается на основании заключения экспертной комиссии МБОУ «СОШ №28», если иное не определено законом Российской Федерации.

 

II. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Доступ к информации – возможность получения информации и ее использования.

2.2. Информационная система (ИС) – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.

2.3. Информация – сведения (сообщения, данные) независимо от формы их представления.

2.4. Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания, помещения), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

2.5. Носитель информации – любой материальный объект или среда, используемый для хранения или передачи информации.

2.6. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных.

2.8. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.10. Средство защиты информации (СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.11. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

 

III. ПОРЯДОК ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных может осуществляться исключительно в целях, указанных в Политике в отношении обработки и защиты персональных данных МБОУ «СОШ №28».

3.2. При определении объема и содержания, обрабатываемых персональных данных работники МБОУ «СОШ №28» должны руководствоваться Политикой в отношении обработки и защиты персональных данных МБОУ «СОШ №28» с учетом действующего законодательства Российской Федерации, а также настоящим Положением.

3.3. Обработка персональных данных с использованием средств автоматизации (автоматизированным способом) может осуществляться исключительно на автоматизированных рабочих местах ИСПДн утверждённых Перечнем автоматизированных рабочих мест информационных систем персональных данных.

3.4. Перечень нормативно-правовых актов, определяющих основания обработки персональных данных в МБОУ «СОШ №28» определяется Политикой в отношении обработки и защиты персональных данных.

 

IV. ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Хранение носителей (дискет, дисков и т.п.), содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ к ним третьих лиц.

4.2. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

4.3. Обработка персональных данных в МБОУ «СОШ №28» осуществляется до наступления одного из условий прекращения обработки персональных данных указанных в Политике в отношении обработки и защиты персональных данных МБОУ «СОШ №28». Хочу такой сайт

4.4. По истечении срока хранения (30 дней, если иное не прописано в нормативно-правовых актах) для машинных носителей допускается гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ (например, «Safe Erase», «Eraser», «FDelete») без уничтожения материального носителя.

4.5. Обезличивания персональных данных в МБОУ «СОШ №28» не предполагается.

 

V. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Передавать персональные данные субъектов допускается только тем работникам, которые имеют допуск к обработке персональных данных.

5.2. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных МБОУ «СОШ №28»  в ходе своей деятельности предоставляет персональные данные организациям, перечисленным в Политике в отношении обработки и защиты персональных данных МБОУ «СОШ №28».

5.3. Не допускается распространение персональных данных субъекта.

 

VI. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается МБОУ «СОШ №28» за счет своих средств.

6.2. Защита персональных данных должна вестись по трём взаимодополняющим направлениям:

6.2.1. Проведение организационных мероприятий:

6.2.1.1. разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;

6.2.1.2. ознакомление работников с законодательством Российской Федерации и внутренними нормативными документами, получение обязательств, касающихся обработки персональных данных;

6.2.1.3. организация учёта носителей персональных данных;

6.2.1.4. разработка модели угроз безопасности персональным данным;

6.2.1.5. проведение обучения работников по вопросам защиты персональных данных.

6.2.2. Программно-аппаратная защита:

6.2.2.1. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом № 184 от 27.12.2002 г. «О техническом регулировании» оценку соответствия.

6.2.3. Инженерно-техническая защита:

6.2.3.1. установка сейфов или запирающихся шкафов для хранения носителей персональных данных;

6.2.3.2. установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.

6.3. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за организацию обработки персональных данных в соответствии с законодательством в области защиты персональных данных и локальными нормативно-правовыми актами МБОУ «СОШ №28».

VII. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Допуск к персональным данным субъекта могут иметь только те работники МБОУ «СОШ №28», которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких работников отражен в «Списке лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей».

7.2. Процедура оформления допуска к персональным данным представляет собой следующую строгую последовательность действий:

7.2.1. ознакомление работника с настоящим Положением, Политикой в отношении обработки и защиты персональных данных МБОУ «СОШ №28» и другими локальными нормативно-правовыми актами МБОУ «СОШ №28», касающимися обработки персональных данных;

7.2.2. истребование с работника Обязательства о неразглашении информации ограниченного доступа.

7.3. Каждый работник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения служебных (трудовых) обязанностей.

7.4. Работникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.

VIII. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

8.1. Состав информационных систем МБОУ «СОШ №28» определяется Перечнем информационных систем.

8.2. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации, применяемые в информационных системах.

8.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

8.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законодательством РФ порядке.

8.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер, а также применения технических и (или) программных средств.

8.6. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

8.7. Безопасность персональных данных при их обработке в информационной системе обеспечивает специалист, ответственный за обеспечение безопасности персональных данных в информационных системах.

8.8. При обработке персональных данных в информационной системе должно быть обеспечено:

8.8.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

8.8.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным;

8.8.3. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

8.8.4. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.8.5. постоянный контроль над обеспечением уровня защищенности персональных данных.

8.9. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают:

8.9.1. определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

8.9.2. разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

8.9.3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

8.9.4. установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

8.9.5. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

8.9.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

8.9.7. учет лиц, допущенных к работе с персональными данными в информационной системе;

8.9.8. контроль по соблюдению условий использования средств защиты информации, предусмотренных эксплуатационной и технической документации;

8.9.9. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

8.9.10. описание системы защиты персональных данных.

8.10. Иные требования по обеспечению безопасности информации и средств защиты информации в МБОУ «СОШ №28» выполняются в соответствии с требованиями федеральных органов исполнительной власти и органов исполнительной власти субъекта РФ, в котором находится Оператор.

IX. ОТВЕТСТВЕННОСТЬ

9.1. Ответственность за соблюдение требований по защите информации ограниченного доступа и надлежащего порядка проводимых работ возлагается на пользователей ИС, ответственного за обеспечение безопасности персональных данных в информационных системах и ответственного за организацию обработки персональных данных МБОУ «СОШ №28». 

9.2. Работники МБОУ «СОШ №28», виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

9.2.1. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами МБОУ «СОШ №28», влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Работник МБОУ «СОШ №28», имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба МБОУ «СОШ №28» (в соответствии с п.7 ст. 243 Трудового кодекса РФ).

9.2.2. В отдельных случаях, при разглашении персональных данных, работник, совершивший указанный проступок, несет ответственность в соответствии со ст. 13.14 Кодекса об административных правонарушениях РФ.

9.2.3. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.

9.3. Директор МБОУ «СОШ №28» за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.

Ссылки

Наверх
На сайте используются файлы cookie. Продолжая использование сайта, вы соглашаетесь на обработку своих персональных данных. Подробности об обработке ваших данных — в политике конфиденциальности.

Функционал «Мастер заполнения» недоступен с мобильных устройств.
Пожалуйста, воспользуйтесь персональным компьютером для редактирования информации в «Мастере заполнения».