Приказ Департамента образования Вологодской области от 01.04.2021 N 685 "Об утверждении Политики в отношении обработки и защиты персональных данных в Департаменте образования Вологодской области" (с изменениями и дополнениями)

Приказ Департамента образования Вологодской области от 1 апреля 2021 г. N 685
"Об утверждении Политики в отношении обработки и защиты персональных данных в Департаменте образования Вологодской области"

В целях исполнения Департаментом образования области требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить Политику в отношении обработки и защиты персональных данных в Департаменте образования Вологодской области (приложение)

2. Главному специалисту Департамента образования (далее - Департамент) Охапкиной Т.С. обеспечить размещение Политики в отношении обработки и защиты персональных данных в Департаменте на официальном сайте Департамента в информационно-телекоммуникационной сети "Интернет" в течении 10 дней со дня вступления в силу настоящего приказа.

3. Контроль за исполнением настоящего приказа возложить на начальника отдела государственной службы, правовой, кадровой и организационной работы Л.В. Парыгину.

Начальника Департамента

Е.О. Рябова

Утверждено
Приказом
Департамента
образования области
от 01.04.2021 N 685
(Приложение)

Политика
в отношении обработки и защиты персональных данных в Департаменте образования Вологодской области

1. Общие положения

1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является основополагающим документом Департамента образования Вологодской области (далее - Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн).

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн Оператором, в том числе защиты прав и неприкосновенности частной жизни, личной и семейной тайн.

1.3. Понятия, связанные с обработкой ПДн, используются в том значении, в котором они приведены в ст. 3 Закона о ПДн:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Принципы и условия обработки персональных данных

2.1. Принципы обработки ПДн:

обработка ПДн должна осуществляться на законной и справедливой основе; обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только ПДн, которые отвечают целям их обработки; содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Категории субъектов ПДн:

государственные гражданские служащие - физические лица, связанные с Оператором трудовыми отношениями;

члены семьи, близкие родственники государственных гражданских служащих - физические лица, находящиеся в семейных (родственных) отношениях с государственными гражданскими служащими Оператора;

кандидаты на вакантные должности - физические лица, претендующие на замещение вакантных должностей Оператора;

контрагенты - физические лица, с которыми у Оператора заключены договоры гражданско-правового характера;

физические лица, награжденные, представленные к награждению государственными и ведомственными наградами, иными наградами и знаками отличия;

получатели государственных услуг - физические лица, обратившиеся к Оператору за получением государственных услуг согласно специфике Оператора; граждане, записавшиеся на личный прием, подавшие обращение Оператору; руководители, кандидаты на должности руководителей организаций, подведомственных Оператору;

обучающиеся, студенты, аспиранты, получающие персональные стипендии Губернатора области;

учителя, проживающие и работающие в сельской местности, которым устанавливаются единовременные денежные выплаты;

иные субъекты, персональные данные которых обрабатываются Оператором в целях реализации государственной политики в сфере образования.

2.3. Условия обработки ПДн.

2.3.1. Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных Законом о ПДн и настоящей Политикой. Обработка ПДн допускается в следующих случаях:

обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных;

обработка ПДн необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей;

обработка ПДн необходима для исполнения полномочий Оператора, участвующего в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

обработка ПДн необходима для осуществления прав и законных интересов Оператора либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

2.3.2. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Законом о ПДн и настоящей Политикой, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Оператором соответствующего акта. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о ПДн и пунктом 2.1 настоящей Политики. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн. В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

2.4. Права субъекта ПДн.

2.4.1. Субъект ПДн вправе:

получать информацию, касающейся обработки его ПДн. Состав информации определяется положениями Закона о ПДн. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если считает, что Оператор осуществляет обработку его ПДн с нарушением требований Закона о ПДн или иным образом нарушает его права и свободы.

2.5. Права и обязанности Оператора при сборе ПДн.

2.5.1. Оператор вправе:

предоставлять ПДн третьим лицам при наличии согласия на это субъекта персональных данных;

продолжать обработку ПДн после отзыва согласия субъектом ПДн в случаях, предусмотренных Законом о ПДн;

мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

2.5.2. Обязанности Оператора:

при обработке ПДн соблюдать безопасность и конфиденциальность обрабатываемых ПДн;

выполнять иные требования, предусмотренные законодательством Российской Федерации в области ПДн.

3. Сведения о реализуемых требованиях к защите персональных данных

3.1. Оператор реализует следующие требования законодательства в области ПДн:

- требования о соблюдении конфиденциальности ПДн;

- требования об обеспечении реализации субъектом персональных данных своих прав (в т.ч. на доступ к информации);

- требования об обеспечении точности ПДн, а в необходимых случаях и актуальности по отношению к целям обработки ПДн (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных;

- требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн;

- иные требования законодательства.

3.2. В соответствии с ч. 1 ст. 18.1 Закона о ПДн и если иное не предусмотрено законодательством Российской Федерации, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн. В частности защита ПДн достигается Оператором путем:

- назначения Оператором ответственного за организацию обработки персональных данных;

- издания Оператором настоящей Политики, а также разработки иной документации с учетом требований законодательства в области ПДн;

- организации доступа работников к информации, содержащей ПДн субъектов ПДн, в соответствии с их должностными (функциональными) обязанностями;

- установления правил доступа к ПДн, обрабатываемым в информационной системе ПДн;

- соблюдения работниками, допущенных к обработке ПДн субъектов, требований, установленных законодательством Российской Федерации в области ПДн и локальными нормативными актами Оператора.

3.3. Руководители органов местного самоуправления, осуществляют управление в сфере образования.

4. Сведения о принятых мерах

4.1. В целях выполнения требований, предусмотренных Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных", Департамент как Оператор принимает следующие меры:

- оператор назначил ответственного за организацию обработки ПДн;

- оператором утвержден Приказ Департамента образования от "__" __________ 2021 г "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных".

5. Заключительные положения

5.1. Настоящая Политика является внутренним документом Оператора.

5.2. Во исполнение ч. 2 ст. 18.1. Закона настоящая Политика должна быть опубликована или неограниченный доступ к ней должен быть обеспечен иным образом.

5.3. Оператор оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы и преамбулу, а также в наименование).

Если иное не предусмотрено Руководителем Оператора:

изменения (изъятия, дополнения и др.) вносятся путем издания новой редакции настоящей Политики;

новая редакция Политики вступает в силу со дня ее утверждения;

предыдущая редакция Политики утрачивает силу с момента утверждения новой редакции.

5.4. Иные локальные нормативные акты Оператора должны издаваться в соответствии с настоящей Политикой и законодательством в области ПДн.