Бесплатные консультации для     родителей

 Записаться:

-г.Тотьма, ул.Клочихина д.2

-Телефон:+79005095756

-Сайт:www.podderjkasemei35.ru

Главное меню

Портал государственных и муниципальных услуг Вологодской области

Персональные данные. Дети

Информация о мерах предосторожности и безопасном поведении на объектах транспорта

Защита персональных данных

Решаем вместе
Есть предложения по организации учебного процесса или знаете, как сделать школу лучше?

Локальные документы

Положение о защите персональных данных граждан 2022

Информация о материале
Опубликовано: 07.11.2022, 16:52
Просмотров: 90

СОГЛАСОВАНО

Советом бюджетного учреждения

«28» февраля 2022 года

протокол № 3

УТВЕРЖДЕНО

приказом директора БУ ВО «Тотемский центр ПМСС»

«28» февраля 2022 года

№4

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных детей,

их родителей (законные представителей), педагогических работников    

образовательных организаций, обратившихся

в Бюджетное учреждение Вологодской области «Тотемский центр

психолого-педагогической, медицинской и социальной

 (далее – Положение)

  1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящее Положение является локальным нормативным актом, регламентирующим порядок обработки и обеспечения защиты персональных данных детей, родителей (законных представителей), педагогических работников образовательных организаций, обратившихся в Бюджетное учреждение Вологодской области «Областной центр психолого- педагогической, медицинской и социальной помощи» (далее — Учреждение) при их обработке в Учреждении, в том числе защиты от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения, передачи документов, содержащих сведения, отнесенные к персональным данным детей, их родителей (законных представителей), педагогических работников образовательных организаций, обратившихся в Учреждение (далее — клиентов).

1.3. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.4. Настоящее Положение разработано на основе и в соответствии с:

  • Конституцией Российской Федерации;
  • Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 года 188;

  • Федеральным законом от 22 октября 2004 года № 125 - ФЗ «Об архивном деле в Российской Федерации» (с последующими изменениями);

Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных тexнoлoгияx и защите информации» (с последующими изменениями);

  • Федеральным законом от 27 июля 2006 года № 152 - ФЗ «О персональных данных» (с последующими изменениями);
  • и иными нормативными актами, действующими на территории Российской Федерации.
  1. 2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. В Положении используются следующие понятия:

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) – Бюджетное учреждение Вологодской области «Тотемский центр психолого-педагогической, медицинской и социальной помощи», самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

  1. 3. COCTAB ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.   К персональным данным, получаемым и обрабатываемым оператором, подлежащим хранению в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие:

-        фамилия, имя, отчество детей и их родителей (законных представителей), педагогических работников образовательных организаций;

-        дата  рождения   детей и       их     родителей  (законных  представителей), педагогических работников образовательных организаций;

-        адрес регистрации и проживания, контактные телефоны, адрес электронной

почты;

-        данные документа, удостоверяющего личность родителей (законных представителей), детей 14 — 18 лет, педагогических работников образовательных организаций;

-        данные свидетельства о рождении детей;

-        сведения о месте учебы; сведения о составе семьи;

-        сведения об образовательной программе;

-        данные диагностического обследования;

повод обращения за консультативной помощью;

-        проблемы, выявленные в ходе консультирования;

-        вид медицинской процедуры; другие сведения.

3.2.   Персональные данные детей, родителей (законных представителей), педагогических работников образовательных организаций содержатся в личных делах детей, алфавитной книге учета и движения детей, приказах директора Учреждения по направлениям деятельности, договорах на оказание безвозмездных образовательных услуг, договорах на оказание платных дополнительных образовательных и медицинских услуг, иных договорах, заявлениях на оказание образовательных услуг, журнале учета детей, прошедших диагностическое обследование, журнале предварительной записи детей на обследование к специалистам, журнале консультирования детей и их родителей (законных представителей), журнале предварительной записи на медицинские процедуры, заявках на консультирование и медицинские процедуры, журнале учета медицинских процедур, других документах Учреждения.

3.3.   Документы, содержащие персональные данные клиентов, создаются путем:

- копирования оригиналов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- получения оригиналов необходимых документов.

  1. 4. ЦЕЛИ, ПРИНЦИПЫ И УСЛОВНЯ ОБРАБОТКИ ПЕРСОПАЛЬНЫХ

ДАННЫХ

 4.1. Принципы обработки персональных данных:

4.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных клиента, если срок храпения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2.   Условия обработки персональных данных:

4.2.1. Обработка персональных данных допускается в следующих случаях:

-        обработка персональных данных осуществляется с согласия клиента на обработку его персональных данных;

-        обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на работодателя функций, полномочий и обязанностей;

-        обработка персональных данных необходима для предоставления государственной услуги в соответствии с Федеральным законом Российской Федерации от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления

такой услуги, для регистрации оператора на едином портале государственных и муниципальных услуг;

-        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является клиент;

-        обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение согласия субъекта персональных данных невозможно;

-        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы клиента;

-        обработка персональных данных необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы клиента;

-        обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

-        осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен клиентом либо по его просьбе (персональные данные, сделанные общедоступными клиентом);

-        осуществляется обработка персональных   данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями) (далее — Федеральный закон «О персональных данных»), соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных». В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные Федеральным законом «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных законом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями закона.

4.2.3. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие клиентов на обработку его персональных данных.

 4.2.4.         В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед клиентом за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

  1. 5. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.   Клиент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

5.2.   Персональные данные о несовершеннолетних следует получать у родителей (законных представителей). Родитель (законный представитель) дает письменное согласие на обработку и передачу персональных данных детей и родителей (законных представителей) (приложение 1 к Положению).

5.3.   Персональные данные о родителях (законные представителях), педагогических работниках образовательных организаций, обратившихся в Учреждение, следует получать у них самих (приложение 1 к Положению).

5.4.   Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить клиенту юридические последствия отказа предоставить его персональные данные, а также отказа дать согласие на их обработку.

5.5.   При сборе персональных данных оператор обязан предоставить клиенту по его просьбе информацию, содержащую:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения Учреждения, сведения о лицах оператора (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся клиенту, источник их получения, если иной порядок данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок   осуществления    клиентом   прав, предусмотренных       Федеральным законом «О персональных данных»;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению клиента, если обработка поручена такому лицу;

- иные    сведения, предусмотренные    федеральными     законами    Российской

Федерации.

Эти сведения предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5.6.   Если персональные данный оператор получает не от клиента, оператор, за

исключением случаев, предусмотренных п. 5.7 настоящего Положения, до начала обработки таких персональных данных обязан предоставить клиенту Уведомление (приложение 3 к Положению), содержащее следующую информацию:

- наименование и адрес Учреждения;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Федеральным     законом «О         персональных     данных» права субъекта персональных данных;

- источник получения персональных данных.

5.7.   Оператор   освобождается    от обязанности   предоставить      клиенту сведения, предусмотренные п. 5.6 настоящего Положения, в случаях, если:

- клиент уведомлен об осуществлении обработки его персональных данных оператором;

- персональные   данные получены        оператором        на основании федерального закона или в связи с     исполнением       договора, стороной которого       либо выгодоприобретателем или поручителем, по которому является клиент;

- персональные данные сделаны общедоступными клиентом или получено из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей для осуществления научной, литературной или иной деятельности, если при этом не нарушаются права и законные интересы клиента;

- предоставление клиенту      сведений, предусмотренных п.      5.6    настоящего Положения, нарушает права и законные интересы третьих лиц.

  1. 6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАПНЫХ

6.1.   Хранение персональных данных должно осуществляться в форме, позволяющей определить клиента, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Персональные данные клиента хранятся в течение периода хранения документов, содержащих персональные данные.

6.2.   Персональные данные могут храниться на бумажном, электронных носителях в специально предназначенных для этого помещениях, определенных приказом директора Учреждения.

6.3.   Оператор обеспечивает безопасность хранения учетной документации. Личные дела и документы, содержащие персональные данные клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

6.4.   В процессе хранения персональных данных клиентов необходимо обеспечивать:

- требования       законодательства, устанавливающие     правила     хранения конфиденциальных сведений;

- сохранности имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;

- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

  1. 7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1.   Доступ к персональным данным клиентов в Учреждении разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые указаны в п.3.1 Положения, а также необходимы для выполнения конкретных функций.

7.2.   Список лиц, уполномоченных на получение и доступ к персональным данным клиентов, утверждается приказом директора Учреждения.

7.3.   Право доступа к персональным данным клиентов Учреждения имеют:

- директор Учреждения;

- клиент, чьи персональные данные обрабатываются;

- работники, уполномоченные в соответствии с приказом директора Учреждения на получение и доступ к персональным данным клиентов.

7.4.   В целях обеспечения надлежащего выполнения услуг доступ к персональным данным клиента может быть предоставлен на основании приказа директора Учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным.

7.5.   Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные клиентов, к которым они получили доступ (приложение 4 к Положению).

7.6.   Оператор обязан сообщить в порядке, предусмотренном Федеральным законом «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также представить возможность ознакомления с этими персональными данными при обращении клиента или его представителя в течение десяти рабочих дней с даты получения запроса клиента или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продление срока предоставления запрашиваемой информации.

7.7.   Клиент имеет право на получение следующих сведений, касающихся обработки его персональных данных:

подтверждение факта обработки персональных данных оператором; правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора;

- сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему клиенту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления клиентом прав, предусмотренных настоящим Федеральным законом;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

7.8.   Право клиента на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

7.9.   Юридическим и физическим лицам, оказывающим услуги Учреждению на основании заключенных гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным клиентов Учреждения в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с третьими лицами, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных клиентов.

7.10. Получателями персональных данных клиентов вне Учреждения на законном основании является учредитель Учреждения — Департамент образования Вологодской области.

7.11. Передача персональных данных лицам может быть только после получения письменного согласия клиента на передачу персональных данных третьей стороне по установленной форме (приложение 5 к Положению).

7.12. В случае отсутствия писвменного согласия клиента на передачу персональных данных третьей стороне персональные данные оператором могут быть переданы третьей стороне только обезличенные персональные данные.

7.13. Официальный сайт Учреждения в сети Интернет, информационные стенды являются общедоступными источниками персональных данных. В общедоступные источники персональных данных с письменного согласия клиентов (приложение 6 к Положению) могут включаться его фамилия, имя, отчество и иные персональные данные, сообщаемые клиентом.

  1. 8. ЗАЩИТА ПЕРСОНАЛЬПЫХ ДАННЫХ

8.1. Защита персональных данных клиентов представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных клиентов и обеспечивающий надежную безопасность информации.

8.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

- назначение оператором ответственного за организацию обработки персональных данных;

- издание оператором, являющегося юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права

субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля соответствии обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных   данных, локальным актам оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором   мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

8.3.   Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно- телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно- телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием         средств соответствующей     информационно- телекоммуникационной сети.

8.4.   Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 8.5. Обеспечение безопасности персональных данных достигается:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом носителей персональных данных;

- обнаружением  фактов       несанкционированного         доступа      к         персональным данным и принятием мер;

- восстановлением                 персональных     данных, модифицированных         или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной         системе      персональных     данных, а   также         обеспечением регистрации и учета всех действий, совершаемых с персональными данными в

информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.6.   Защита сведений, хранящихся в электронных базах данных оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

8.7.   Для обеспечения внешней защиты персональных данных клиентов обеспечивает порядок приема, учета и контроля деятельности посетителей; обеспечивает охрану территории, зданий, помещений, транспортных средств.

8.8.   Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных клиентов.

8.9.   Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о клиентах.

8.10. Передача информации, содержащей сведения о персональных данных работников организации по телефону, факсу, электронной почте без письменного согласия клиента запрещается.

8.11. Заполнение документации, содержащей персональные данные клиентов, осуществляется в соответствии с нормативно-правовыми актами Российской Федерации.

8.12. В целях обеспечения соблюдения режима конфиденциальности персональных данных в Учреждении ведутся следующие учетные документы движения персональных данных клиентов:

- журнал учета внутреннего доступа к персональным данным клиентов в Учреждении (приложение 7 к Положению);

- журнал учета выдачи персональных данных клиентов организациям и государственным органам (журнал учета внешнего доступа к персональным данным клиентов) (приложение 8 к Положению);

- журнал проверок наличия документов, содержащих персональные данные (приложение 9 к Положению);

- журнал учета применяемых оператором носителей информации (приложение 10 к Положению).

8.13. В случае реорганизации или ликвидации организации учет и сохранность документов, содержащих персональные данные клиентов, порядок передачи их на государственное хранение осуществлять в соответствии с Федеральным законом от 22.10.2004 года № 125-ФЗ «Об архивном деле в Российской Федерации».

8.14. При выявлении неправомерных действий с персональными данными клиента (неправомерной или случайной передачи, предоставления, распространения, доступа) оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных в порядке и в сроки, установленные статьей 21 Федерального закона «О персональных данных».

8.15. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению работодатель). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.

  1. 9. OTBETCTBEHПOCTЬ ЗА НАРУШЕНИЕ HOPM, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1.   Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут предусмотренную законодательством Российской Федерации ответственность.

9.2.   Моральный вред, причиненный клиенту вследствие нарушения его прав, нарушения правил обработки персональных данных, требований к защите персональных данных, установленных законодательством Российской Федерации, подлежит   возмещению       в        соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещение имущественного вреда и понесенных клиентами убытков.

  1. 10. ЗАКЛЮЧНТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящее Положение, изменения и дополнения к нему согласуются с Управляющим Советом и первичной профсоюзной организацией Учреждения, утверждаются директором Учреждения и вводятся приказом директора Учреждения.

10.2. Изменения и дополнения вносятся в настоящее Положение по необходимости.

10.3. Настоящее Положение, изменения и дополнение к нему доводятся до сведения работников Учреждения персонально под роспись.

10.4. Настоящее Положение, изменения   и дополнения   к нему размещаются на официальном сайте оператора в сети Интернет.

10.5. Настоящее Положение вступает     в        силу  с        момента     его утверждения         и подписания директором Учреждения.

Вложения:
Скачать этот файл (Положение о защите персональных данных граждан 2022.pdf)Положение о защите персональных данных граждан 2022.pdf[ ]355 Кб