Приказ Министерства образования и молодежной политики Свердловской области от 15.09.2022 N 858-Д "Об утверждении политики Министерства образования и молодежной политики Свердловской области в отношении обработки и защиты персональных данных"

Во исполнение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить политику Министерства образования и молодежной политики Свердловской области в отношении обработки и защиты персональных данных (прилагается).

2. Признать утратившими силу приказ Министерства общего и профессионального образования Свердловской области от 22.05.2014 N 135-Д "О политике Министерства общего и профессионально образования Свердловской области в отношении обработки и защиты персональных данных".

3. Контроль за исполнением настоящего приказа возложить на Заместителя Министра образования и молодежной политики Свердловской области Е.М. Бирюка.

Исполняющий обязанности Министра

Н.В. Журавлева

Утверждена
приказом Министерства образования и
молодежной политики Свердловской области
от 15 сентября 2022 г. N 858-Д
"Об утверждении политики Министерства
образования и молодежной политики
Свердловской области в отношении
обработки и защиты персональных данных"

Политика
Министерства образования и молодежной политики Свердловской области в отношении обработки и защиты персональных данных

Глава 1. Общие положения

1. Настоящая политика разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) в целях обеспечения защиты прав и свобод физических лиц при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.

2. Настоящая политика раскрывает основные принципы и правила, используемые Министерством образования и молодежной политики Свердловской области (далее - Министерство образования, оператор) при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, а также содержит сведения об исполнении Министерством образования обязанностей в соответствии с Федеральным законом N 152-ФЗ и сведения о реализуемых Министерством образования требованиях к защите обрабатываемых персональных данных. Настоящая политика действует в отношении всех персональных данных, обрабатываемых Министерством образования.

3. Оператор не контролирует и не несет ответственность за интернет-сайты (далее - сайт) третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте.

4. В настоящей политике используются следующие понятия:

1) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2) персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

3) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

4) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

5) трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

6) пользователь сайта - любое лицо, посещающее сайт и использующее информацию, материалы и сервисы сайта;

7) сайт - совокупность связанных между собой веб-страниц, размещенных в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по уникальному адресу (URL), а также его субдоменах;

8) cookies - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;

9) IP-адрес - уникальный сетевой адрес узла в компьютерной сети, через который пользователь получает доступ на сайт.

Понятия и термины, используемые в настоящей политике, применяются в значениях, установленных законодательством Российской Федерации.

Глава 2. Информация об операторе

5. Обеспечение безопасности персональных данных, законности и справедливости их обработки является одной из приоритетных задач Министерства образования.

6. Министерство образования является оператором, осуществляющим обработку ПДн путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.

7. Министерство образования осуществляет обработку ПДн работников, обучающихся и воспитанников образовательных организаций Свердловской области, учреждений пенитенциарной системы и специальных учебно-воспитательных учреждений, а также ПДн, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов ПДн.

8. Министерство образования не осуществляет обработку специальных, биометрических ПДн и трансграничную передачу ПДн.

Глава 3. Правовые основания и цели обработки ПДн

9. Настоящая политика разработана соответствии с:

1) Конституцией Российской Федерации;

2) Федеральным законом N 152-ФЗ;

3) постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

4) постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

5) приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

6) приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

7) нормативными правовыми актами Российской Федерации в области трудовых отношений;

8) нормативными и распорядительными документами Министерства образования и науки Российской Федерации и Федеральной службы по надзору в сфере образования и науки;

9) постановлением Правительства Свердловской области от 21.02.2019 N 91-ПП "О Министерстве образования и молодежной политики Свердловской области".

Глава 4. Порядок получения и основные условия проведения обработки ПДн

10. Получение ПДн осуществляется в соответствии с Конституцией Российской Федерации, нормативными правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Министерства образования и науки Российской Федерации и Федеральной службы по надзору в сфере образования и науки, настоящей политикой и приказами Министерства образования на основе согласия субъектов на обработку их ПДн в случаях, предусмотренных законодательством Российской Федерации.

11. Обработка ПДн Министерством образования осуществляется:

1) после направления уведомления об обработке ПДн в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

2) после получения согласия субъекта ПДн в письменной форме в случаях, предусмотренных Федеральным законом N 152-ФЗ;

3) при направлении гражданином обращения через форму обратной связи посредством сайта Министерства образования, почтовым отправлением или другим способом без направления им согласия на обработку ПДн - согласно части 2 статьи 6 Федерального закона от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

4) после принятия необходимых мер по защите ПДн.

12. Основанием обработки ПДн пользователей сайта является согласие на обработку ПДн. Пользователи сайта дают согласие на обработку своих ПДн в следующих случаях:

1) направление обращения в разделе "Обращения граждан";

2) направление обращения в разделе "Надзор и контроль в сфере образования".

13. В случае несогласия пользователя с условиями настоящей политики использование сайта и (или) каких-либо сервисов доступных при использовании сайта должно быть немедленно прекращено.

14. ПДн пользователей сайта обрабатываются в целях установления с пользователем сайта обратной связи при обработке и направлении ответа на обращения.

15. Перечень ПДн пользователей, обрабатываемых на сайте с использованием средств автоматизации:

1) фамилия, имя, отчество;

2) наименование организации (для юридического лица);

3) адрес электронной почты;

4) номер телефона;

5) тип населенного пункта;

6) иная информация.

16. Для ведения статистики и анализа работы сайта оператор обрабатывает с использованием метрических сервисов Спутник аналитика и AWStats следующие данные:

1) IP-адреса;

2) информация о браузере;

3) реферер (адрес предыдущей страницы);

4) операционные системы;

5) время доступа;

6) данные из файлов cookie;

17. Обработка биометрических ПДн и специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, на сайте не осуществляется.

18. Оператор не проверяет достоверность информации, предоставляемой пользователем, и исходит из того, что пользователь предоставляет достоверную и достаточную информацию, контролирует ее актуальность.

19. Оператор осуществляет следующие действия с ПДн:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

20. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн.

21. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока обработки ПДн, отзыв согласия пользователя сайта на обработку его ПДн, а также выявление неправомерной обработки ПДн.

Глава 5. Меры обеспечения безопасности персон ПДн

22. Безопасность ПДн, обрабатываемых оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства Российской Федерации.

23. Оператором предпринимаются следующие меры для обеспечения безопасности ПДн:

1) назначение ответственных лиц за организацию обработки и обеспечение защиты ПДн;

2) ограничение состава сотрудников оператора, имеющих доступ к ПДн;

3) определение уровня защищенности ПДн при обработке в информационных системах ПДн (далее - ИСПДн);

4) определение актуальных угроз безопасности ПДн при их обработке в ИСПДн;

5) установление правил разграничения доступа к ПДн, обрабатываемым в ИСПДн и обеспечение регистрации и учета всех действий, совершаемых с ПДн;

6) ограничение доступа в помещения, где размещены основные технические средства и ИСПДн и осуществляется неавтоматизированная обработка ПДн;

7) ведение учета машинных носителей ПДн;

8) организация резервирования и восстановления работоспособности ИСПДн и ПДн модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

9) установление требований к сложности паролей для доступа к ИСПДн;

10) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

11) осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

12) организация своевременного обновления программного обеспечения, используемого в ИСПДн и средств защиты информации;

13) проведение регулярной оценки эффективности принимаемых мер по обеспечению безопасности ПДн;

14) обнаружение фактов несанкционированного доступа к ПДн и принятие мер по установлению причин и устранению возможных последствий;

15) проведение аттестационных испытаний ИСПДн;

16) контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.

Глава 6. Организационные и технические меры, реализуемые при обработке ПДн для их безопасности

24. ПДн могут храниться в бумажном и (или) электронном виде в соответствующих структурных подразделениях Министерства образования с соблюдением мер по защите, предусмотренных нормативными правовыми актами Российской Федерации и внутренними организационно-распорядительными документами.

25. При обработке, хранении и передаче ПДн в Министерстве образования должны быть реализованы следующие меры организационного характера:

1) приказом Министерства образования назначаются сотрудники, ответственные за защиту ПДн;

2) доступ к ПДн имеют сотрудники Министерства образования, которые в связи с исполнением своих должностных обязанностей занимаются обработкой ПДн;

3) перечень сотрудников, имеющих доступ к ПДн, утверждается приказом Министерства образования;

4) права, обязанности, действия сотрудников, в должностные обязанности которых входит обработка ПДн, определяются их должностными регламентами, инструкциями и другими организационно-распорядительными документами Министерства образования;

5) организацию и контроль за защитой ПДн в структурных подразделениях Министерства образования, сотрудники которых имеют доступ к ПДн, осуществляют их непосредственные руководители, а также сотрудники, ответственные за защиту ПДн;

6) лица, допущенные к обработке ПДн, подписывают обязательство о неразглашение информации, содержащей ПДн.

26. Передача ПДн третьим лицам осуществляется только с письменного согласия субъекта или в случаях, установленных законодательством Российской Федерации.

27. В случае достижения целей обработки ПДн и истечения срока их хранения обработка ПДн незамедлительно прекращается и ПДн уничтожаются в срок, установленный законодательством Российской Федерации.

28. При обработке, хранении и передаче ПДн в Министерстве образования должны быть реализованы следующие меры технического характера:

1) использование смешанного (с использованием средств автоматизации и без использования средств автоматизации) способа обработки ПДн с передачей информации по внутренней локальной сети Министерства образования и с передачей информации по сети "Интернет" в защищенном режиме;

2) предотвращение несанкционированного доступа к ПДн при их обработке;

3) резервирование и восстановление ПДн, программного обеспечения, средств защиты информации в ИСПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4) иные меры безопасности.

Глава 7. Права субъекта персональных данных

29. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн оператором;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые оператором способы обработки ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании Федерального закона N 152-ФЗ;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления не предусмотрен Федеральным законом N 152-ФЗ;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом N 152-ФЗ;

8) наименование или фамилию, имя, отчество, адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручается такому лицу;

9) иные сведения, предусмотренные Федеральным законом N 152-ФЗ.

30. Пользователь сайта вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом N 152-ФЗ меры по защите своих прав.

31. Пользователь сайта вправе запросить в структурированном, универсальном и машиночитаемом формате перечень своих ПДн, предоставленных оператору для обработки, и поручить оператору передать свои ПДн третьему лицу при наличии соответствующей технической возможности.

В данном случае оператор не несет ответственности за действия третьего лица, совершенные в дальнейшем с ПДн.

Глава 8. Обязанности и ответственность оператора при обработке ПДн

32. При обработке ПДн оператор обязан:

1) безвозмездно предоставить субъекту ПДн или его законному представителю возможность ознакомления с ПДн, относящимися к соответствующему субъекту ПДн;

2) внести необходимые изменения, уточнить и снять блокирование ПДн при предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неверными или неполными;

3) известить всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях;

4) в случае выявления неправомерной обработки ПДн в течение трех рабочих дней прекратить неправомерную обработку ПДн. В случае если обеспечить правомерность обработки ПДн невозможно, в течение десяти рабочих дней уничтожить такие ПДн или обеспечить их уничтожение;

5) в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить их обработку и уничтожить, за исключением случаев, предусмотренных законодательством Российской Федерации.

33. Оператор не вправе без письменного согласия субъекта ПДн передавать обрабатываемые ПДн третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. По мотивированному запросу ПДн субъекта без его согласия могут быть переданы в судебные органы в связи с осуществлением правосудия, в органы государственной безопасности, прокуратуры, полиции, следственные органы в случаях, установленных нормативными правовыми актами Российской Федерации.

34. Лица, ответственные за организацию обработки ПДн и виновные в нарушении требований Федерального закона N 152-ЗФ, несут предусмотренную законодательством Российской Федерации ответственность.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного Федерального закона следует читать как "N 152-ФЗ"