Положение о защите о обработке персональных данных

ПОЛОЖЕНИЕ

О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ЧОУ «Барнаульская классическая школа»

ОБЩИЕ ПОЛОЖЕНИЯ

Назначение и область действия документа

Настоящее Положение об обработке персональных данных в ЧОУ «Барнаульская классическая школа» (далее — Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в ЧОУ «Барнаульская классическая школа».

Настоящее Положение разработано в соответствии с Федеральным Законом от 27 июля 2006 г. № 152-ФЗ«О персональных данных»(далее — Закон),постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Трудовым кодексом РФ, Федерального закона от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации».

Цель данного Положения – определение порядка обработки персональных данных субъектов персональных данных в ЧОУ «Барнаульская классическая школа» (далее — Организация). ЧОУ «Барнаульская классическая школа», является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных в соответствии с Федеральным Законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом РФ, Федерального закона от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации», других нормативно-правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

Настоящее Положение вступает в силу с момента его утверждения директором ЧОУ

«Барнаульская классическая школа» и действует бессрочно до замены его новым Положением.

Все изменения в Положение вносятся приказом директора ЧОУ «Барнаульская классическая школа».

Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в ЧОУ «Барнаульская классическая школа», утверждается приказом руководителя ЧОУ «Барнаульская классическая школа».

Все сотрудники ЧОУ «Барнаульская классическая школа», имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись для последующего его исполнения.

ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой крипто средством информации или с целью создания условий для этого.

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.

Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.

Доступ к информации – возможность получения информации и ее использования.

Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления. Использование персональных данных- действия (операции) с персональными данными,

совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их

распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - это пространство (территория, здание, часть здания,помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Модель угроз – перечень возможных угроз информации.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.

Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Определение перечня персональных данных, обрабатываемых в ЧОУ

«Барнаульская классическая школа»

В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:

Персональные данные работников

Цели обработки персональных данных работников:

ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации;

начисление заработной платы и премиального вознаграждения;

организации системы доступа в помещения ЧОУ «Барнаульская классическая школа»;

подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие).

В ЧОУ «Барнаульская классическая школа» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных сотрудников:

фамилия, имя, отчество; дата и место рождения; гражданство; семейное положение; состав семьи; паспортные данные; сведения об образовании; сведения о трудовом стаже; занимаемая должность; сведения о воинской обязанности; адрес регистрации и фактического места жительства; контактные телефоны; сведения о доходах; данные трудового договора; подлинники и копии приказов по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; анкеты; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (без диагноза и других медицинских данных); индивидуальный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; сведения об отпусках; сведения о социальных льготах и гарантиях.

Персональные данные соискателей на вакантные должности

Цели обработки персональных данных соискателей:

1) трудоустройство на вакантные должности ЧОУ «Барнаульская классическая школа»

В ЧОУ «Барнаульская классическая школа» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных соискателей:

фамилия, имя, отчество; дата рождения; место рождения; гражданство; пол; сведения о воинском учете; сведения об образовании; сведения о трудовом стаже; другие данные, указанные соискателем самостоятельно в резюме.

1. Персональные данные контрагентов:

Цели обработки персональных данных контрагентов:

1. покупка ЧОУ «Барнаульская классическая школа» товара и услуг у контрагента;
2. оказание контрагенту услуг;

В ЧОУ «Барнаульская классическая школа» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных контрагентов:

фамилия, имя, отчество; ОКОПФ; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; данные о счетах и договорах; банковские реквизиты счета контрагента, наименование организации, реквизиты организации, ФИО руководителя организации.

1. Персональные данные учащихся:

Цели обработки персональных данных учащихся:

предоставление ЧОУ «Барнаульская классическая школа» образовательных услуг;

В ЧОУ «Барнаульская классическая школа» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных учащихся:

Фамилия, имя и отчество(при наличии); дата и место рождения; адрес места жительства и адрес регистрации по месту жительства (месту пребывания); сведения из документов: свидетельство о рождении, паспорт, СНИЛС, медицинское заключение о состоянии здоровья обучающего, аттестат, документ, содержащий информацию об успеваемости, личное дело обучающегося, медицинская карта обучающегося.

1. Персональные данные родителей (законных представителей):

Цели обработки персональных данных родителей(законных представителей): предоставление ЧОУ «Барнаульская классическая школа» образовательных услуг;

В ЧОУ «Барнаульская классическая школа» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных родителей (законных представителей):

Фамилия, имя и отчество(при наличии); дата рождения; адрес места жительства и адрес регистрации; контактные телефоны; сведения из документов: паспорт, ИНН.

1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2. Общие принципы обработки

Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.

Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии письменного согласия физического лица (субъекта персональных данных), за исключением случаев, предусмотренных Законом.

Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.

Правила обработки и защиты персональных данных без использования средств автоматизации установлены в соответствующем внутреннем документе ЧОУ «Барнаульская классическая школа».

1. Порядок сбора и хранения персональных данных

При сборе персональных данных Организация обязана предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных,не дольше, чем этого требуют цели их обработки.

1. Информация, представляемая работником, при приеме на работу, должна иметь документальное оформление. При заключении трудового договора в соответствии со статьей

65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

1. паспорт или иной документ, удостоверяющий личность;
2. трудовую книжку,за исключением случаев,когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
3. страховое свидетельство государственного пенсионного страхования;
4. документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
5. документ об образовании, о квалификации или наличии специальных знаний -при поступлении на работу, требующую специальных знаний или специальной подготовки;
6. справку об отсутствии судимости;
7. Индивидуальный номер налогоплательщика;
8. Медицинскую книжку.

Специалист по кадровому делопроизводству организации создает, обрабатывает и организовывает хранение следующих документов, содержащих персональные данные работников:

а) Карточка ф. Т-2, в которой отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:

общие сведения (ФИО работника, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование, профессия, общий трудовой стаж, состояние в браке, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона); сведения о детях; сведения о воинском учете; данные о приеме на работу.

В дальнейшем в карточку ф. Т-2 вносятся:

сведения о переводах на другую работу;сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения об отпусках; сведения о социальных льготах и гарантиях.

б) Анкета, которая заполняется работником при приеме на работу (содержатся анкетные и биографические данные работника).

в) Трудовой договор (содержит сведения о должности работника, заработной плате, месте работы, рабочем месте,а также иные данные в соответствии с Трудовым Кодексом РФ).

г) Подлинники и копии приказов по личному составу и основания к ним (содержат информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника).

д) Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы).

е) Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством).

ж) Справка о сумме заработной платы, иных выплат и вознаграждений за 2 последних календарных года для начисления пособия по временной нетрудоспособности.

з) Копии документов об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности).

1. Персональные данные соискателей на вакантные должности попадают в Организацию через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Организации. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально.
2. Персональные данные контрагентов поступают в Организацию при заключении договора, подтверждаются оригиналами документов и хранятся в течение исполнения договорных обязательств.
3. Информация, представляемая родителем (законным представителем учащегося), при зачислении в школу, должна иметь документальное оформление. При заключении договора на оказание образовательных услуг в соответствии с Федеральным законом РФ от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», родитель (законный представитель) предъявляет: паспорт, ИНН, свидетельство о рождении учащегося (паспорт, при достижении учащегося 14 лет), СНИЛС учащегося, личную карта учащегося, медицинскую (школьную) карту учащегося, табель успеваемости учащегося (при переходе из другого учебного заведения в течение учебного года); аттестат об образовании (при поступлении в 10,11 классы).

Персональные данные учеников хранятся в ЧОУ «Барнаульская классическая школа» в течение всего срока обучения. В случае перехода учащегося в другое учебное заведение, на руки родителям (законным представителям) выдаются следующие документы: личная карта, медицинская карта, табель успеваемости (в случае,если переход из одного учебного заведения в другое осуществляется в течение учебного года). Выдача документов фиксируется под роспись родителя (законного представителя) в алфавитной книге учета личных карточек учащихся.

Персональные данные родителей (законных представителей) хранятся в личной карте учащегося. Хранятся все время обучения учащегося в ЧОУ «Барнаульская классическая школа». Выдается на руки родителю (законному представителю) при отчислении (переводе) учащегося из школы. Выдача документов фиксируется под роспись родителя (законного представителя) в алфавитной книге учета личных карточек учащихся.

1. Процедура получения персональных данных
2. С работников:

При заключении трудового договора работник обязан предоставить следующие документы, содержащие его персональные данные:

действующий российский паспорт или иной документ, удостоверяющий личность; трудовую книжку;

страховое свидетельство государственного пенсионного страхования; документы воинского учета (военный билет);

документы об образовании;

идентификационный номер налогоплательщика; медицинскую книжку;

справку об отсутствии судимости; документы об образовании.

Если трудовой договор с работником заключается впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются Организацией.

В случае необходимости Организация вправе обратиться к работнику с просьбой о предоставлении документов, содержащих его персональные данные.

Все персональные данные работника следует получать непосредственно от него самого.

Работник при изменении персональных данных письменно уведомляет работодателя о таких изменениях в срок, не превышающий трех рабочих дней.

В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

1. обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2. при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
3. защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006

№ 152-ФЗ «О персональных данных»;

1. работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2. С родителей(законных представителей) и учащихся: паспорт родителя (законного представителя);

ИНН родителя (законного представителя);

свидетельство о рождении учащегося(паспорт, при достижении учащегося 14 лет); СНИЛС учащегося;

личную карта учащегося;

медицинскую (школьную) карту учащегося;

табель успеваемости учащегося (при переходе из другого учебного заведения в течение учебного года);

аттестат об образовании (при поступлении в 10,11 классы).

Все персональные данные родителя (законного представителя) и учащегося следует получать непосредственно от него самого или законного представителя субъекта персональных данных. Родитель (законный представитель учащегося) при изменении персональных данных учащегося уведомляет школу о таких изменениях в срок, не превышающий десяти рабочих дней.

Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, осуществления образовательной деятельности, обеспечения личной безопасности учащегося.

При определении объема и содержания обрабатываемых персональных данных учащегося и родителя (законного представителя) должен руководствоваться Конституцией Российской Федерации, РФ от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», федеральным законом от 27 июля 2006 г. № 152-ФЗ«О персональных данных», и иными федеральными законами.

Защита персональных данных учащегося и родителя (законного представителя) от неправомерного их использования или утраты обеспечивается школой за счет ее средств в порядке, установленном Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

1. Передача персональных данных третьим лицам

Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом, не допускается. Данное ограничение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается.

Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.

Передача или получение персональных данных осуществляются в соответствии с утвержденными Правилами рассмотрения запросов субъектов персональных данных или их представителей.

Персональные данные соискателей и контрагентов третьим лицам не передаются.

Персональные данные работников передаются в государственные контролирующие органы в соответствии с федеральными законами (ФНС, ФСС, ПФР и др.), а также в рамках зарплатного проекта в банк: Алтайское отделение №8644 ПАО «Сбербанк», филиал

«Новосибирский» АО «Альфа-Банк», филиал №5440 Банка «ВТБ» (ПАО). Передача персональных данных в финансовую организацию производится с информированного и осознанного согласия работника.

Персональные данные родителей (законных представителей) третьим лицам не передаются.

Персональные данные учащихся передаются в соответствии с федеральными законами об образовании, на платформу «Сетевой город. Образование».

1. Трансграничная передача персональных данных

Трансграничная передача персональных данных Организацией не осуществляется.

1. Порядок уничтожения и блокирования персональных данных

Организация обязана прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Уничтожение персональных данных осуществляется в соответствии с Положением об уничтожении персональных данных и производится после достижения целей обработки и истечения установленных законодательством РФ сроков хранения соответствующих документов, в бумажном и электронном виде.

В целях организации уничтожения персональных данных на бумажных носителях приказом директора Организации назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.

В целях организации уничтожения персональных данных на бумажных носителях приказом директора Организации назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.

Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

1. Защита персональных данных

При обработке персональных данных Организация принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.

Защита персональных данных при неавтоматизированной их обработке регламентируется внутренним документом «Правила обработки персональных данных без использования средств автоматизации».

Приказом директора Организации назначена группа реагирования на инциденты информационной безопасности.

В Организации разработана Модель угроз ИСПДн и Модель нарушителя. Проведена классификация ИСПДн.

В Организации проведена внутренняя оценка эффективности принятых мер по защите персональных данных, подтвердившая в целом удовлетворительное состояние системы защиты персональных данных.

1. Согласие на обработку персональных данных

С соискателей согласия на обработку персональных данных берутся только в случае приглашения соискателя на собеседование в офис Организации.

Размещая свое резюме на электронных биржах труда или присылая резюме на электронную почту Организации, соискатель автоматически дает свое согласие на обработку его персональных данных.

С контрагентов согласия на обработку персональных данных не берутся, поскольку обработка их персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных. В соответствии с пп. 5, п. 1 статьи 6 Федерального закона№ 152-ФЗ «О персональных данных» согласие на обработку персональных данных в таких случаях не требуется.

Со всех работников Организации собирается согласие на обработку их персональных данных. Несмотря на то, что обработка персональных данных производится в основном в соответствии с Трудовым Кодексом Российской Федерации, персональные данные работников в рамках зарплатного проекта передаются третьему лицу (банк). В соответствии с п. 3 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» такая передача персональных данных возможна только с согласия субъекта персональных данных.

С родителей (законных представителей учащихся) собирается согласие на обработку их персональных данных и персональных данных учащегося. А также берется согласие на фото- видео съемку в школе и на сопровождение педагогом- психологом в течение учебного года.

3.9. Согласие на обработку данных системами веб-аналитики

На сайте ЧОУ «Барнаульская классическая школа» https://class-school.ru/ осуществляется обработка персональных данных с использованием автоматизированных систем веб-аналитики, таких как Yandex.Metrica, VK Pixel, Pixel от Mail.ru, и иных подобных сервисов.

Обработка осуществляется в целях:

анализа поведения пользователей на сайте;

улучшения качества и удобства использования сайта;

оценки эффективности маркетинговых и информационных кампаний;

формирования статистической и аналитической информации.

В рамках вышеуказанной обработки могут использоваться: файлы cookie, данные о действиях на сайте, технические характеристики используемых устройств и браузеров, IP-адрес, геолокация и другие данные, позволяющие улучшить взаимодействие с сайтом.

Пользователь сайта может отозвать согласие в любой момент путем направления уведомления на адрес электронной почты: classik-school@mail.ru и (или) с помощью настройки параметров своего браузера (отключение cookies и трекеров)

1. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
2. Организация доступа работников к персональным данным субъектов

Должностные лица Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.

Круг лиц, допущенных к обработке персональных данных, определяет руководство Организации. Данный Перечень утверждается директором ЧОУ «Барнаульская классическая школа».

Должностные лица ЧОУ «Барнаульская классическая школа» допускаются к обработке персональных данных после ознакомления с настоящим Положением, а также с иной организационно-распорядительной документацией Организации по защите персональных данных.

Должностные лица Организации перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных.

Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, допущенных к работе с персональными данными.

В случае обнаружения нарушений правил обработки персональных данных в Организации руководство Организации обязано приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.

Работники Организации имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых в Организации.

Лица, не имеющие доступа к персональным данным в соответствии с Перечнем подразделений и сотрудников, допущенных к работе с персональными данными, могут быть допущены к ним на основании приказа, подписанного директором Организации либо руководителем подразделения данного лица.

1. Организация доступа субъекту персональных данных к его персональным данным

Организация, обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.

Для получения доступа к своим персональным данным субъекту необходимо направить в Организацию запрос, содержащий паспортные данные субъекта персональных данных, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.

Работники Организации должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные,относящиеся к другим субъектам.

В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.

1. ПРАВА И ОБЯЗАННОСТИ ЧОУ «БАРНАУЛЬСКАЯ КЛАССИЧЕСКАЯ ШКОЛА»
2. Права и обязанности Организации

Организация имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.

В случае выявления недостоверных персональных данных или неправомерных действий с ними Организации при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных,Организация обязана устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.

Должностные лица Организации, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом.

В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных Организация обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

По запросу уполномоченного органа по защите прав субъектов персональных данных Организация обязана предоставить ему необходимую информацию.

5.2. Права доступа к персональным данным имеют (в объеме, в соответствии с их должностными функциями): директор, заместители директора, заместители директора по УВР, методисты старшей и младшей школы, администратор (секретарь), специалист по кадровому делопроизводству, бухгалтер, советник директора по воспитанию, психолог, фельдшер, учителя, педагоги дополнительного образования, воспитатели, вожатые.

1. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА ЧОУ «БАРНАУЛЬСКАЯ КЛАССИЧЕСКАЯ ШКОЛА»
2. Общие положения

Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Организации, которые устанавливают порядок обработки персональных данных в Организации, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.

1. Права работника

В целях защиты персональных данных, хранящихся в Организации, работник имеет право:

требовать исключения или исправления неверных или неполных персональных данных; на свободный бесплатный доступ к своим персональным данным, включая право на

получение копий любой записи, содержащей персональные данные;

определять своих представителей для защиты своих персональных данных; на сохранение и защиту своей личной и семейной тайны;

на обжалование в суде любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

В целях защиты персональных данных, хранящихся в Организации, работник, осуществляющий обработку персональных данных, имеет право:

получать и вводить информацию в соответствии с его полномочиями;

требовать оповещения Организацией субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.

1. Обязанности работника

В части своих персональных данных:

передавать Организации достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом РФ;

не предоставлять неверные персональные данные, а в случае изменений в

персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом в Организацию.

1. В части обработки персональных данных субъекта: соблюдать режим конфиденциальности;

не сообщать персональные данные субъекта персональных данных в коммерческих

целях без его письменного согласия;

не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

разрешать доступ к персональным данным субъектов только специально уполномоченным лицам,при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки

персональных данных.

1. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2. Получение сведений об Организации

Субъект персональных данных имеет право на получение сведений об Организации, о месте ее нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1. Доступ к своим персональным данным

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;

способы обработки персональных данных, применяемые Организацией;

сведения о лицах,которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1. Ограничение прав субъектов персональных данных

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1. обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка в соответствии с Российским законодательством;
2. предоставление персональных данных нарушает конституционные права и свободы других лиц.
3. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. Общие положения

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.

Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных, действующего на основании законодательства о персональных данных.

1. Персональная ответственность должностных лиц ЧОУ «Барнаульская классическая школа»

Должностные лица Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.

Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.

Должностные лица Организации, получающие доступ к персональным данным, несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, должностные лица Организации, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.