Приложение. Политика обработки персональных данных в Министерстве образования и науки Республики Калмыкия. Приказ Министерства образования и науки Республики Калмыкия от 14.01.2015 N 17 "Об утверждении Политики обработки персональных данных в Министерстве образования и науки Республики Калмыкия"

Приложение
к приказу Министерства
образования и науки
Республики Калмыкия
от 14 января 2015 г. N 17

Политика
обработки персональных данных в Министерстве образования и науки Республики Калмыкия

1. Общие положения

Данная Политика обработки персональных данных в Министерстве образования и науки Республики Калмыкия (далее - Политика, Министерство) определяет порядок обработки персональных данных в министерстве, разработанный в соответствии с Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

Политика определяет порядок обработки в министерстве персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных

Министерство ведет обработку персональных данных в соответствии с действующим законодательством Российской Федерации.

В целях организации обработки персональных данных, выполнения обязанностей, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", обеспечения безопасности персональных данных в министерстве назначены ответственные за организацию обработки персональных данных.

Лица, обрабатывающие персональные данные, подписали обязательство о неразглашении конфиденциальной информации (в том числе персональных данных) в соответствии со ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и предупреждены об ответственности за незаконную обработку персональных данных и за их разглашение.

Правила, порядок, процедуры и практические приемы обработки и защиты персональных данных определяются системой законодательных актов Российской Федерации, нормативных правовых актов министерства.

В министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

Персональные данные граждан, обратившихся в министерство образования лично, а также направивших индивидуальные или коллективные письменные обращения, или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в министерстве подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

Персональные данные о получателях именных стипендий, грантов, представителях талантливой молодежи, лучших учителях и призерах олимпиад, участников соревнований, не обучающихся детей и систематически пропускающих занятия по неуважительным причинам в общеобразовательных организациях республики, обрабатываются в целях обеспечения необходимых мер, направленных на реализацию принципа всеобщего образования.

Формирование государственного банка данных о детях, оставшихся без попечения родителей (далее - государственный банк данных о детях), региональным оператором и выдача предварительных разрешений на усыновление детей осуществляется в случаях, предусмотренных законодательством Российской Федерации.

Обработка персональных данных при формировании государственного банка данных о детях, оставшихся без попечения родителей, осуществляется в порядке, установленном Федеральным законом "О государственном банке данных о детях, оставшихся без попечения родителей".

Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных.

Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции:

Отдел общего образования;

Отдел контроля и надзора за исполнением законодательства в сфере образования;

Отдел науки и развития регионального образования;

Отдел воспитания и дополнительного образования;

Общий отдел;

Финансово-экономический отдел;

Отдел бухгалтерского учета и контроля;

Отдел правового и кадрового обеспечения;

Сектор лицензирования, аккредитации и контроля лицензионных требований;

Сектор контроля качества образования;

Сектор информационного сопровождения и ресурсного обеспечения;

Сектор защиты прав детей.

4. Принципы обработки персональных данных

Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации и ограничивается достижением конкретных целей, определенных законодательством Российской Федерации в сфере обработки персональных данных.

Обработке подлежат персональные данные, которые отвечают целям их обработки.

Не допускается избыточность обработки персональных данных. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки.

5. Передача персональных данных

Предоставление обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации органам исполнительной власти, банковским организациям, физическим лицам, образовательным организациям Республики Калмыкия и иным субъектам, участвующим в обработке персональных данных.

Трансграничная передача персональных данных субъектов персональных данных министерством не осуществляется.

Распространение персональных данных работников, государственных гражданских служащих, кандидатов на вакантную должность министерством производится с их согласия, персональных данных остальных категорий субъектов персональных данных - в соответствии с требованиями законодательства Российской Федерации.

6. Состав Министерства образования и науки Республики Калмыкия, осуществляющий обработку персональных данных

Цель и содержание обработки персональных данных определяет министерство. Обработку персональных данных осуществляют структурные подразделения министерства и уполномоченные на обработку персональных данных работники и государственные гражданские служащие.

7. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

знать законодательство Российской Федерации и нормативные документы министерства в части обеспечения безопасности персональных данных;

обеспечивать сохранность закрепленного массива носителей с персональными данными, исключать возможность ознакомления с ними других лиц;

докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях;

ознакомиться под роспись с настоящей Политикой, а также о правах, обязанностях, ответственности в области защиты персональных данных.

8. Меры по обеспечению безопасности персональных данных

Реализация требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными министерства осуществляется правовыми, организационными и техническими (программно и аппаратно реализуемыми) мерами:

8.1. Правовые меры:

- издание актов министерства, рекомендаций и инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

8.2. Организационные меры:

- назначение лиц, ответственных за организацию обработки персональных данных;

издание системы нормативных документов по организации защиты данных;

распределение ответственности по вопросам защиты данных между работниками и государственными гражданскими служащими министерства;

установление персональной ответственности работников и государственных гражданских служащих министерства за обеспечение безопасности обрабатываемых данных;

своевременное выявление угроз безопасности персональных данных и принятие соответствующих мер защиты; доведение до работников и государственных гражданских служащих требований по защите персональных данных.

8.3. Технические (программно и аппаратно реализуемые) меры:

резервное копирование информационных ресурсов;

применение прикладных программных продуктов, отвечающих требованиям защиты данных;

организация контроля доступа в помещения и здание министерства, их охрана в нерабочее время;

систематический анализ безопасности данных и совершенствование системы их защиты;

применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности;

своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;

оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;

использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия с образовательными организациями Республики Калмыкия;

шифрование данных при передаче и хранении (криптографическая защита);

использование электронной подписи;

применение межсетевых защитных (фильтрующих) экранов;

антивирусный мониторинг;

оборудование здания и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения);

хранение парольной и ключевой информации на индивидуальных электронных ключах.

9. Внешний доступ к персональным данным

К числу массовых потребителей персональных данных вне министерства можно отнести государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения муниципальных органов управления.

Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия.

10. Хранение персональных данных

Оператор осуществляет учет всех хранимых им персональных данных независимо от формы их предоставления.

Персональные данные на бумажных носителях хранятся оператором в специально оборудованных шкафах и сейфах, которые запираются и опечатываются.

В процессе хранения персональных данных субъектов персональных данных оператор осуществляет контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

11. Уничтожение персональных данных

Уничтожение персональных данных производится оператором в случаях и порядке, предусмотренных действующими законами и принятыми в соответствии с ними нормативными правовыми актами.

При уничтожении персональных данных как на бумажных, так и на электронных носителях обеспечивается невозможность их последующего восстановления.

12. Ответственность

Лица, виновные в нарушении требований федеральных законов РФ в отношении обработки персональных данных, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральными законами, а также нарушения требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

13. Заключительные положения

Настоящая Политика является внутренним документом министерства, является общедоступной и подлежит размещению на официальном сайте министерства.

Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.