![МБДОУ "ДСКВ "Капелька"](/netcat_files/generated/catalogue/4/40x40/1/9a4a05ee513367f71bc5b4c397633696.png?crop=0%3A0%3A0%3A0&hash=6569efed1dec396e9d0aeba9b6ceb894&resize_mode=0&wm_m=0 "МБДОУ "ДСКВ "Капелька""){kind=icon}
Политика конфиденциальности
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).
Настоящий документ определяет политику муниципального бюджетного дошкольного образовательного учреждения «Детский сад комбинированного вида «Капелька» города Грайворона Грайворонского района Белгородской области (далее – Детский сад) в отношении порядка работы с персональными данными, определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в МБДОУ «Детский сад комбинированного вида «Капелька», расположенного по адресу: 309370, Россия, Белгородская область, Грайворонский район, город Грайворон, улица Мира, дом 61Д (далее — Оператор), с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика обработки и защиты персональных данных (далее — Политика) должна быть размещена на сайте ДОУ, в общедоступном месте для ознакомления субъектов с процессами обработки персональных данных в ДОУ.
Настоящая политика обработки и защиты персональных данных (далее – Политика) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в МБДОУ «Детский сад комбинированного вида «Капелька» города Грайворон Белгородской области.
Действие Политики распространяется на персональные данные, которые МБДОУ «Детский сад комбинированного вида «Капелька» города Грайворон Белгородской области обрабатывает с использованием и без использования средств автоматизации.
2. ОСНОВНЫЕ ПОНЯТИЯ И ТЕРМИНЫ
В Политике используются следующие понятия:
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
3. ПРАВА СУБЪЕКТОВ ПДн
Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.
Субъект ПДн вправе требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъекты ПДн имеют право запрашивать у Оператора следующие сведения:
- подтверждение факта обработки ПДн Оператором;
- правовые основания и цели обработки ПДн;
- используемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством Российской Федерации.
Для реализации своих прав и защиты законных интересов, субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного их устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись к Оператору.
4. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Обрабатываемые Оператором ПДн принадлежат следующим субъектам ПДн:
- работникам Оператора;
- законным представителям (родителям) детей, находящихся на воспитании у Оператора (далее – воспитанники);
- воспитанникам;
- посетителям Детского сада.
Оператором обрабатываются следующие категории ПДн:
ПДн работников. Эти данные не являются общедоступными, за исключением, если сотрудник сам даст согласие на их общедоступность. Обработка персональных данных сотрудника осуществляется во время действия трудового договора. Хранение персональных данных работников 75 лет (согласно номенклатуре дел); отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством (согласно номенклатуре дел).
- фамилия, имя, отчество;
- информация о смене фамилии, имени, отчества;
- пол;
- дата рождения;
- место рождения;
- гражданство;
- сведения из записей актов гражданского состояния;
- место жительства и дата регистрации по месту жительства;
- номера контактных телефонов;
- сведения о наличии детей, их возрасте, месте учебы (работы);
- наименование структурного подразделения;
- занимаемая должность;
- справка о наличии или отсутствии судимости;
- паспортные данные;
- данные о семейном положении;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- копии отчетов, направляемые в органы статистики, ПФ РФ.
- сведения, содержащиеся в трудовом договоре;
- отношение к воинской обязанности, воинское звание, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах;
- сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании;
документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи);
- сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка);
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской, муниципальной службы;
- сведения о замещаемой должности;
- сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения об отпусках и командировках;
- сведения о прохождении аттестации и сдаче квалификационного экзамена;
- сведения о награждении (поощрении);
- материалы служебных проверок, расследований;
- сведения о взысканиях;
- реквизиты идентификационного номера налогоплательщика (ИНН);
- реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС);
- реквизиты полиса обязательного медицинского страхования;
- информация о доходах, выплатах и удержаниях;
- номера банковских счетов.
ПДн воспитанников и их родителей (законных представителей):
Эти данные не являются общедоступными, за исключением, если родитель (законный представитель) воспитанника сам даст согласие на их общедоступность. Обработка персональных данных воспитанников и их родителей (законных представителей) осуществляется во время действия договора о об образовании по образовательным программам дошкольного образования между ними и детским садом. Хранение персональных данных воспитанников и их родителей (законных представителей) после прекращения действия договора осуществляется согласно номенклатуре дел ДОУ; отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.
- данные свидетельства о рождении воспитанника;
- паспортные данные одного из родителей (законных представителей);
- данные, подтверждающие законность представления прав ребёнка;
- адрес регистрации и проживания, контактные телефоны воспитанника и родителей (законных представителей);
- страховой номер индивидуального лицевого счета (СНИЛС) одного из родителей;
- сведения о смене фамилии одного из родителей (законных представителей);
-банковские реквизиты родителей (законных представителей);
- справка с места регистрации воспитанника;
- сведения о месте работы (учебы) родителей (законных представителей);
- данные страхового медицинского полиса воспитанника;
- страховой номер индивидуального лицевого счета (СНИЛС) воспитанника;
- документы, подтверждающий право на льготы и компенсации (заявления родителей, справки о составе семьи; копии документов, подтверждающих законность представления прав ребёнка: постановление об установлении опеки, доверенность на представление интересов ребёнка;
- свидетельства о браке или разводе (при разных фамилиях ребёнка и родителя; выписка из банка или копия сберкнижки, копия справки об инвалидности, копия удостоверения многодетной матери);
- медицинская карта ребёнка;
- справка о состояния здоровья ребенка;
- направление на ребенка в детский сад;
- табеля посещаемости воспитанников;
- именные списки воспитанников
При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящихся на территории Российской Федерации, в соответствии с ч. 5.ст 18. Федерального закона «О персональных данных»
.
5. Цели сбора персональных данных
Цель Политики – обеспечение соблюдения норм законодательства Российской Федерации и выполнения требований Правительства Российской Федерации в области обработки и защиты персональных данных в полном объеме. Обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - оценка вреда), уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов.
Целями сбора персональных данных в Детском саду являются:
|
1. Цель обработки: организация образовательной деятельности по образовательным дошкольного образования, дополнительным общеобразовательным программам |
||||
|
Категории |
Персональные данные |
Специальные данные |
||
|
Перечень данных |
фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография, видео); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения, образующиеся в процессе реализации образовательной программы; иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров, исполнения норм законодательства в сфере образования |
Сведения о состоянии здоровья |
||
|
Категории субъектов |
Обучающиеся, их родители (законные представители) |
|||
|
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных (их представителей); внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада. |
|||
|
Сроки обработки |
В течение срока реализации образовательной программы |
|||
|
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные |
|||
|
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
|
2. Цель обработки: выполнения функций и полномочий работодателя в трудовых отношениях, в том числе обязанностей по охране труда |
||||
|
Категории данных |
Персональные данные |
Специальные |
Биометрические |
|
|
Перечень данных |
фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства |
Сведения о состоянии здоровья |
Изображение на фото и видеозаписи, полученных с камер наблюдения |
|
|
Категории субъектов |
Работники, кандидаты на работу (соискатели) |
|||
|
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада |
|||
|
Сроки обработки |
В течение срока действия трудового договора. Для кандидатов – в течение срока, необходимого для рассмотрения кандидатуры и заключения трудового договора |
|||
|
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел – 50 лет |
|||
|
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
|
3. Цель обработки: обеспечение безопасности |
||||
|
Категории данных |
Персональные данные |
|||
|
Перечень данных |
фамилия, имя, отчество; паспортные данные; адрес регистрации и (или) фактического проживания; контактные данные |
|||
|
Категории субъектов |
Посетители Детского сада |
|||
|
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада |
|||
|
Сроки обработки |
В течение периода нахождения посетителя на территории Детского сада |
|||
|
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе минимум 30 дней в отношении записей камер видеонаблюдения |
|||
|
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
- Организация образовательной деятельности по образовательным программам дошкольного образования в соответствии с законодательством и уставом ДОУ.
Для данной цели Детский сад:
а) обрабатывает общие, специальные, обезличенные и иные персональные данные обучающихся, их родителей (законных представителей), других родственников обучающихся, работников и их родственников, кандидатов на замещение вакантных должностей, физических лиц, с которыми заключены гражданско-правовые договоры;
б) обрабатывает общие персональные данные: Ф. И. О., год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, которая относится к субъекту персональных данных;
в) осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;
г) использует как автоматизированный, так и ручной (на бумажных носителях) способ осуществления обработки персональных данных;
д) обрабатывает персональные данные в сроки, необходимые для достижения целей обработки персональных данных, определенные законодательством для обработки отдельных видов персональных данных или указанные в согласии субъекта персональных данных;
е) уничтожает персональные данные при достижении целей обработки путем сожжения или дробления (измельчения), см. раздел 12.
- Регулирование трудовых отношений с работниками ДОУ, кандидатами(соискателями). Заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.
а) обрабатывает общие, специальные, обезличенные и иные персональные данные;
б) обрабатывает общие персональные данные:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- адрес места проживания;
- сведения о регистрации по месту жительства или пребывания;
- номера телефонов (домашний, мобильный, рабочий);
- адрес электронной почты;
- замещаемая должность;
- сведения о трудовой деятельности;
- идентификационный номер налогоплательщика;
- данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- данные полиса обязательного медицинского страхования;
- данные паспорта или иного удостоверяющего личность документа;
- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
- данные трудовой книжки, вкладыша в трудовую книжку;
- сведения о воинском учете;
- сведения об образовании;
- сведения о получении дополнительного профессионального образования;
- сведения о владении иностранными языками;
- сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;
- сведения о наградах, иных поощрениях и знаках отличия;
- сведения о дисциплинарных взысканиях;
- сведения, содержащиеся в материалах служебных проверок;
- сведения о семейном положении;
- сведения о близких родственниках, свойственниках;
- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
- номер расчетного счета;
- информация об оформленных допусках к государственной тайне;
- иное;
в) работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
г) осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;
д) использует как автоматизированный, так и ручной (на бумажных носителях) способ осуществления обработки персональных данных;
е) обрабатывает персональные данные в сроки, необходимые для достижения целей обработки персональных данных, определенные законодательством для обработки отдельных видов персональных данных или указанные в согласии субъекта персональных данных;
ж) уничтожает путем сожжения или дробления (измельчения), см. раздел 12. персональные данные, если:
- достигнуты цели, ради которых их собирали;
- ПД больше не нужны Детскому саду;
- субъект ПД требует уничтожить его ПД;
- ПД были собраны неправомерно;
- владелец(субъект ПД) данных отзывает согласие на обработку.
Обеспечение безопасности.
Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения.
6. Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
В качестве правового основания обработки персональных данных могут быть указаны:
- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
Все мероприятия по обработке и защите персональных данных проводятся в соответствии с:
- Федеральным Законом РФ «О персональных данных» от 27.07.2006г. №152- ФЗ; ФЗ № 266 от 14.07.2022г.; приказом Роскомнадзора от 27.10.2022 № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" ; приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных";
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации, иные нормативные правовые акты, содержащие нормы трудового права;
- Бюджетным кодексом Российской Федерации;
- Налоговым кодексом Российской Федерации;
- Семейным кодексом Российской Федерации ;
- Закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Гражданским кодексом Российской Федерации;
- Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» - и другими нормативно-правовыми актами, действующими на территории РФ;
- Правовыми основаниями обработки персональных данных в Детском саду являются Устав и нормативные правовые акты ДОУ, для исполнения которых и в соответствии с которыми Детский сад осуществляет обработку персональных данных;
- Правовыми основаниями обработки персональных данных в ДОУ также являются договоры с физическими лицами, заявления (согласия, доверенности) родителей (законных представителей) воспитанников, согласия на обработку персональных данных.
7. Заключительные положения
14.1. Оператор ответственный за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.
14.2. Каждый сотрудник, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.
14.3. Оператор обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.
14.4. Субъект может обратиться к Оператору с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение 3 рабочих дней с момента поступления.
14.5. Настоящая Политика является внутренним документом, общедоступной и подлежит размещению на официальном сайте ДОУ.
8. ОБЪЁМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Детский сад обрабатывает персональные данные:
- работников, в том числе бывших;
- кандидатов на замещение вакантных должностей;
- родственников работников, в том числе бывших;
- воспитанников;
- родителей (законных представителей) воспитанников;
- физических лиц, указанных в заявлениях (согласиях, доверенностях) родителей (законных представителей) воспитанников;
- физических лиц – посетителей ДОУ.
Специальные категории персональных данных Детский сад обрабатывает только на основании и согласно требованиям Федеральных законов.
Биометрические персональные данные воспитанников (рост, вес).
Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Закона о персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Оператор обрабатывает персональные данные в объеме, необходимом:
- для осуществления образовательной деятельности по реализации основной общеобразовательной программы дошкольного образования и дополнительных общеобразовательных программ, обеспечения воспитания, обучения, присмотра и ухода, оздоровления, безопасности воспитанников, создания благоприятных условий для их разностороннего развития;
- выполнения функций и полномочий работодателя в трудовых отношениях;
- выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета.
Содержание и объем обрабатываемых персональных данных в ДОУ соответствуют заявленным целям обработки.
9. ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ
Полное наименование: муниципальное бюджетное дошкольное образовательное учреждение «Детский сад комбинированного вида «Капелька» города Грайворона Грайворонского района Белгородской области
Сокращенное: МБДОУ «ДСКВ «Капелька» г.Грайворон.
10. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели обработки ПДн
Оператор осуществляет обработку ПДн субъектов ПДн в целях:
- исполнения положений нормативных актов, указанных в р. 1, 3,4 настоящей Политики;
- заключения и выполнения обязательств по трудовым договорам, договорам с контрагентами, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, представление интересов Детского сада, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым Кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений;
- обеспечение соблюдения Федерального закона «Об образовании» и иных нормативных правовых актов в сфере образования, контроля качества обучения, содействие субъектам персональных данных в осуществлении их законных прав;
- исполнения обязательств работодателя, ведения кадрового делопроизводства и бухгалтерского учета, расчета, начисления и выплаты заработной платы, осуществления отчислений в социальный фонд России, федеральную налоговую службу, на основании трудового и налогового законодательства РФ;
- расчета и выплаты компенсаций и льгот по родительской плате;
- исполнения обязанностей и функций дошкольного образовательного учреждения.
-
- обработки ПДн:
- законность целей и способов обработки персональных данных и добросовестность;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
-уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
-личная ответственность Оператора за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
- обработка персональных данных по общему правилу происходит до утраты правовых оснований. - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни (специальные категории ПДн) Оператором не обрабатываются.
- обработка Оператором ПДн субъектов ПДн осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по внутренней сети Оператора и по сети Интернет (только с письменного согласия субъекта).
Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн. Сбор ПДн - ПДн субъектов ПДн Оператор получает напрямую от субъектов ПДн.
В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Оператор извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
Для получения ПДн субъекта ПДн от третьей стороны Оператор сначала получает его письменное согласие.
ПДн воспитанников:
Оператор получает от их родителей (законных представителей)
Хранение ПДн - оператор хранит ПДн и их материальные носители 3 года в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним. Оператор хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
Передача ПДн в целях соблюдения законодательства Российской Федерации, для достижения указанных в р.4 настоящей Политики целей обработки, осуществляется в интересах и с согласия субъектов ПДн. Оператор в ходе своей деятельности предоставляет ПДн субъектов ПДн организациям (только с письменного разрешения субъекта) и в соответствии с требованиями законодательства в рамках установленной процедуры.
Трансграничная передача ПДн Оператором не осуществляется.
Общедоступные источники ПДн - Оператор не ведет формирование общедоступных источников ПДн (справочников, адресных книг). В соответствии с п. 1 ч. 4 и ч. 5 ст. 32 Закона «Об образовании», сведения о персональном составе педагогических работников с указанием уровня образования и квалификации подлежат размещению на официальном сайте Оператора в сети «Интернет».
Поручение обработки ПДн - Оператор вправе поручить обработку ПДн другому лицу (далее – Обработчик) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Обработчик соблюдает конфиденциальность полученных от Оператора ПДн субъектов ПДн и обеспечивает их безопасность при обработке в соответствии с требованиями законодательства Российской Федерации.
Порядок и условия обработки персональных данных:
Передача ПДн производится только с письменного согласия субъекта ПДн. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных в адрес третьих лиц рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (наличие договора поручения на обработку персональных данных), в том числе находящихся за пределами Российской федерации (трансграничная передача). При этом рекомендуется указывать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.
Передача третьим лицам, персональных данных без письменного согласия не допускаются.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
Сотрудники, в обязанность которых входит обработка персональных данных субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
В соответствии с п. 2 ст. 18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.
В случае изменения сведений об обработке персональных данных, необходимо проинформировать Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Срок реагирования на обращения субъектов персональных данных 10 рабочих дней. Существует возможность направления в Роскомнадзор уведомления о продлении срока предоставления запрашиваемой информации до 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Прекращение обработки персональных данных происходит в течение 10 дней при поступлении соответствующего обращения от субъекта персональных данных.
Настоящая политика утверждается заведующим ДОУ и действует бессрочно до замены ее новой Политикой, а также является обязательным документом для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъекта.
11. ПРАВА ОПЕРАТОРА
Детский сад – оператор персональных данных – обязан:
Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.
Обеспечить субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.
Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.
Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.
Прекратить обработку и уничтожить персональные данные либо обеспечить прекращение обработки и уничтожение персональных данных при достижении цели их обработки.
Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между ДОУ и субъектом персональных данных.
Детский сад вправе:
Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством.
Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.
Работники, родители, законные представители воспитанников, иные субъекты персональных данных обязаны:
В случаях, предусмотренных законодательством, предоставлять ДОУ достоверные персональные данные.
При изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Детскому саду.
12. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.
Все работники Оператора, имеющие доступ к ПДн, соблюдают правила их обработки и исполняют требования по их защите.
Оператор принимает все необходимые правовые, организационные и инженерно- технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
Детский сад обязан обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
Обеспечение защиты ПДн достигается в частности:
- назначением ответственных за организацию обработки и защиты ПДн;
- осуществлением внутреннего контроля соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и обучением указанных работников.
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
-восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- физической охраной зданий и помещений;
- подсистемой антивирусной защиты;
- сейфы и запирающиеся шкафы для хранения носителей персональных данных;
- пожарная сигнализация.
Допуск к персональным данным субъекта имеют только те сотрудники ДОУ (определены локальными актами ДОУ), которым персональные данные необходимы в связи с исполнением ими своих служебных (трудовых) обязанностей.
13. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ,УДАЛЕНИЕ, И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В случае предоставления субъектом персональных данных, его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Детский сад актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.
Решение об уничтожении документов (носителей) с персональными данными принимает комиссия, состав которой утверждается приказом руководителя ДОУ.
Документы (носители), содержащие персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается актом об уничтожении документов (носителей), подписанным членами комиссии.
Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер. Электронные документы стираются без возможности восстановления.
Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя, физического уничтожения.
По итогам уничтожения составляется акт об уничтожении персональных данных и делается выгрузка из журнала регистрации событий в ИС. В акте нужно указать дату уничтожения, ответственного за процедуру, количество и виды уничтоженных носителей, основание для уничтожения и способ, которым были уничтожены ПД. Акты и выгрузки хранятся в течение 3 лет.
По запросу субъекта персональных данных или его законного представителя Детский сад безвозмездно предоставляет (сообщает) ему информацию об обработке его персональных данных.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
14. ОЦЕНКА ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ЗАКОНОДАТЕЛЬСТВА
13.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - оценка вреда), осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором.
13.2. Ответственный за обработку персональных данных осуществляет оценку вреда, который может быть причинен субъекту ПД в случае нарушения ФЗ по персональных данных. Оператор определяет одну из степеней вреда - высокую, среднюю либо низкую, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных.
13.3. Результаты оценки оформляются при помощи акта оценки вреда, который обязательно должен содержать наименование и адрес оператора, дату издания акта и дату проведения оценки, ФИО и должность ответственного за проведение оценки, степень вреда, которая может быть причинена владельцу персональных данных.
13.4. Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.