УТВЕРЖДЕНО

приказом директора  МКОУ ЦДиК «Идринский»

______________ Е. В. Фризоргер

от «___» __________ 2012 г. № ___

 

 

 

 

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

детей,  их родителей (законных представителей), обратившихся

в Муниципальное казенное образовательное учреждение для детей, нуждающихся в психолого-педагогической и медико-социальной помощи Центр диагностики и консультирования «Идринский»

(МКОУ ЦДиК «Идринский»)

 

 

 

 

 

 

 

 

 

с. Идринское

 

2012г.

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1.          Настоящее Положение являетсялокальным нормативным актом, регламентирующим  порядок обработки и обеспечения защиты персональных данных детей, родителей (законных представителей) обратившихся в Муниципальное казенное образовательное учреждение для детей, нуждающихся в психолого-педагогической и медико-социальной помощи Центр диагностики и консультирования «Идринский»(далее – Учреждение) при их обработке в Учреждении, в том числе защиты от несанкционированного доступа, неправомерного их использования или утраты.

1.2.          Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения, передачи документов, содержащих сведения, отнесенные к персональным данным детей,  их родителей (законных представителей), обратившихся в Учреждение (далее – клиентов).

1.3.          Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.4.          Настоящее Положение разработано в соответствии с:

-         Конституцией Российской Федерации;

-         Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 года № 188;

-         Федеральный закон от 29 июля 2004 года  № 98 – ФЗ «О коммерческой тайне»;

-         Федеральным законом от 22 октября 2004 года  № 125 –ФЗ «Об архивном деле в Российской Федерации»;

-         Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

-         Федеральным законом от 27 июля 2006 года № 152 –ФЗ «О персональных данных»;

-         и иными нормативными актами, действующими на территории Российской Федерации.

2. ОСНОВНЫЕ ПОНЯТИЯ

 

2.1.          Персональные данные клиента – любая информация, относящаяся прямо или косвенно к клиенту (субъекту персональных данных) (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.2.          Субъект персональных данных – клиент.

2.3.          Оператор- Муниципальное казенное образовательное учреждение для детей, нуждающихся в психолого-педагогической и медико-социальной помощи Центр диагностики и консультирования «Идринский» (МКОУ ЦДиК «Идринский»), самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4.          Обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.5.          Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.6.          Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.7.          Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.8.          Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.9.          Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.10.      Обезличивание персональных данных – действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.11.      Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»).

 

3.      СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1.          К персональным данным клиентов, получаемым оператором и подлежащим хранению у оператора в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие:

-         фамилия, имя, отчество детей и их родителей (законных представителей);

-         дата рождения детей и их родителей (законных представителей); возраст детей;

-         адрес регистрации и проживания, контактные телефоны, адрес электронной почты;

-         данные документа, удостоверяющего личность родителей (законных представителей), детей 14 – 18 лет;

-         данные свидетельства о рождении детей;

-         сведения о месте учебы;

-         сведения о составе семьи;

-         сведения об образовательной программе;

-         данные диагностического обследования;

-         повод обращения за консультативной помощью;

-         проблемы, выявленные в ходе консультирования;

-         сведения о состоянии здоровья;

-         индивидуальная программа реабилитации детей-инвалидов;

-         вид медицинской процедуры;

-         другие сведения.

3.2.          Персональные данные клиентов содержатся в личных делах детей, алфавитной книге учета и движения детей, приказах директора Учреждения по психолого-педагогической и медико-социальной деятельности, договорах на оказание безвозмездных образовательных услуг, договорах на оказание платных дополнительных образовательных и медицинских услуг, заявлениях на оказание образовательных услуг, журнале учета детей, прошедших диагностическое обследование, журнале предварительной записи детей на обследование к специалистам, журнале консультирования детей и их родителей (законных представителей), журнале предварительной записи, заявках на консультирование, других документах.

3.3.          Документы, содержащие персональные данные клиентов, создаются путем:

-        копирования оригиналов;

-        внесения сведений в учетные формы (на бумажных и электронных носителях);

-        получения оригиналов необходимых документов.

 

4.        цели, принципы и УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1.          Принципы обработки персональных данных (ст. 5 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями)):

4.1.1.   Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.1.2.   Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.1.3.   Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.1.4.   Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.1.5.   Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.1.6.   При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.1.7.   Хранение персональных данных должно осуществляться в форме, позволяющей определить работника, не дольше, чем этого требуют цели обработки персональных клиента, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2.          Условия обработки персональных данных (ст. 6 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями)):

4.2.1.   Обработка персональных данных допускается в следующих случаях:

-         обработка персональных данных осуществляется с согласия клиента на обработку его персональных данных;

-         обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-         обработка персональных данных необходима для предоставления государственной услуги в соответствии с Федеральным законом Российской Федерации от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации оператора на едином портале государственных и муниципальных услуг;

-         обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является клиент;

-         обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение согласия субъекта персональных данных невозможно;

-         обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы клиента;

-         обработка персональных данных необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы клиента;

-         обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

-         осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен клиентом либо по его просьбе (персональные данные, сделанные общедоступными клиентом);

-         осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2.2.   Оператор вправе поручить обработку персональных данных другому лицу с согласия клиента, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями). В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

4.2.3.   Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие клиентов на обработку его персональных данных.

4.2.1.   В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед клиентом за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

4.2.2.   Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие клиентов на обработку его персональных данных.

4.2.3.   В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

 

5.        сбор ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1.          Клиент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе (ст. 9 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»).

5.2.          Персональные данные о детях, не достигших возраста 14 лет, следует получать у родителей (законных представителей). Родитель (законный представитель) дает письменное согласие на обработку и передачу персональных данных  детей и родителей (законных представителей) (приложение 1 к Положению).

5.3.          Персональные данные о детях, достигших возраста 14 лет, следует получать у них самих. Несовершеннолетние, достигшие возраста 14 лет, дают письменное согласие на обработку персональных данных (приложение 2 к Положению).

5.4.          Персональные данные о родителях (законных представителях), обратившихся в Учреждение, следует получать у них самих. Родитель (законный представитель) дает письменное согласие на обработку и передачу персональных данных  детей и родителей (законных представителей) (приложение 1 к Положению).

5.5.          Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить клиенту юридические последствия отказа предоставить его персональные данные (ст.18 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

5.6.          При сборе персональных данных оператор обязан предоставить клиенту по его просьбе информацию, содержащую (ст.18 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)):

-         подтверждение факта обработки персональных данных оператором;

-         правовые основания и цели обработки персональных данных;

-         цели и применяемые оператором способы обработки персональных данных;

-         наименование и место нахождения Учреждения, сведения о лицах оператора (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-         обрабатываемые персональные данные, относящиеся к соответствующему клиенту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-         сроки обработки персональных данных, в том числе сроки их хранения;

-         порядок осуществления клиентом прав, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями);

-         наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению клиента, если обработка поручена такому лицу;

-         иные сведения, предусмотренные федеральными законами Российской Федерации (ст. 14 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

5.7.          Если персональные данный оператор получает не от клиента, оператор, за исключением случаев, предусмотренных п. 5.8 настоящего Положения, до начала обработки таких персональных данных обязан предоставить клиенту Уведомление (приложение 3 к Положению), содержащее следующую информацию (ст.18 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)):

-        наименование и адрес Учреждения;

-        цель обработки персональных данных и ее правовое основание;

-        предполагаемые пользователи персональных данных;

-        установленные  Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями) права субъекта персональных данных;

-        источник получения персональных данных.

5.8.          Оператор освобождается от обязанности предоставить клиенту сведения, предусмотренные п. 5.7 настоящего Положения, в случаях, если: (ст. 6 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями)):

-        клиент уведомлен об осуществлении обработки его персональных данных оператором;

-        персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является клиент;

-        персональные данные сделаны общедоступными клиентом или получены из общедоступного источника;

-        оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей для осуществления научной, литературной или иной деятельности, если при этом не нарушаются права и законные интересы клиента;

-        предоставление клиенту сведений, предусмотренных п. 4.6 настоящего Положения, нарушает права и законные интересы третьих лиц.

 

6.        ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1.          Хранение персональных данных должно осуществляться в форме, позволяющей определить клиента, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

6.2.          Персональные данные клиента хранятся в течение периода хранения документов, содержащих персональные данные (5 лет).

6.3.          Персональные данные могут храниться на бумажном, электронных носителях в специально предназначенных для этого помещениях, определенных приказом директора Учреждения.

6.4.          Оператор обеспечивает безопасность хранения учетной документации. Личные дела и документы, содержащие персональные данные клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

6.5.          В процессе хранения персональных данных клиентов необходимо обеспечивать:

-        требования законодательства, устанавливающие правила хранения конфиденциальных сведений;

-        сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;

-        контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

 

7.        ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

7.1.          Доступ к персональным данным клиентов в Учреждении разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые необходимы для выполнения конкретных функций

7.2.          Список лиц, уполномоченных на получение и доступ к персональным данным клиентов, утверждается приказом директора Учреждения.

7.3.          Право доступа к персональным данным клиентов Учреждения имеют:

-        директор Учреждения;

-        клиент, чьи персональные данные обрабатываются;

-        работники, уполномоченные в соответствии с приказом директора Учреждения на получение и доступ к персональным данным клиентов.

7.4.          В целях обеспечения надлежащего выполнения услуг доступ к персональным данным клиента может быть предоставлен на основании приказа директора Учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным.

7.5.          Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные клиентов, к которым они получили доступ (приложение 4 к Положению).

7.6.          Оператор обязан сообщить в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных (с последующими изменениями) клиенту или его представителю информацию о наличии персональных данных, относящихся к соответствующему клиенту, а также представить возможность ознакомления с этими персональными данными при обращении клиента или его представителя в течение тридцати дней с даты получения запроса клиента или его представителя(ст. 20 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

7.7.          Клиент имеет право на получение следующих сведений, касающихся обработки его персональных данных (ст. 14 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)):

-         подтверждение факта обработки персональных данных оператором;

-         правовые основания и цели обработки персональных данных;

-         цели и применяемые оператором способы обработки персональных данных;

-         наименование и место нахождения оператора;

-         сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-         обрабатываемые персональные данные, относящиеся к соответствующему клиенту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-         сроки обработки персональных данных, в том числе сроки их хранения;

-         порядок осуществления клиентом прав, предусмотренных настоящим Федеральным законом;

-         наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

-         иные сведения, предусмотренные федеральными законами.

7.8.          Право клиента на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (ст. 14 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

7.9.          Юридическим и физическим лицам, оказывающим услуги Учреждению на основании заключенных гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным клиентов Учреждения в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с третьими лицами, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных клиентов.

7.10.      Получателями персональных данных клиентов вне Учреждения на законном основании является учредитель Учреждения – Управление образования Идринского района.

7.11.      Передача персональных данных лицам может быть только после получения письменного согласия клиента на передачу персональных данных третьей стороне по установленной форме (приложение 5 к Положению).

7.12.      В случае отсутствия письменного согласия клиента на передачу персональных данных третьей стороне персональные данные оператором могут быть переданы третьей стороне только обезличенные персональные данные.

7.13.      Официальный сайт Учреждения в сети Интернет, информационные стенды являются общедоступными источниками персональных данных. В общедоступные источники персональных данных с письменного согласия клиентов (приложение 6 к Положению) могут включаться его фамилия, имя, отчество, год рождения и иные персональные данные, сообщаемые клиентом (ст. 8 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

 

 

 

8.        Защита персональных данных

 

8.1.          Защитаперсональных данных клиентов представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных клиентов и  обеспечивающий надежную безопасность информации.

8.2.          Оператор обязан принимать меры, направленные на обеспечение им обязанностей, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями).Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

-        назначение оператором ответственного за организацию обработки персональных данных;

-        издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

-        применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

-        осуществление внутреннего контроля соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

-        оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями), соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

-        ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

8.3.          Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор обязан опубликовать на официальном сайте в сети Интернет документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу (ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

8.4.          Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.5.          Обеспечение безопасности персональных данных достигается (ст. 19 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)):

-           определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-           применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

-           применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

-           оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

-           учетом носителей персональных данных;

-           обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

-           восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-           установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-           контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.6.          Защита сведений, хранящихся в электронных базах данных оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

8.7.          Для обеспечения внешней защиты персональных данных клиентов обеспечивает порядок приема, учета и контроля деятельности посетителей; организует пропускной режим; обеспечивает охрану территории, зданий, помещений, транспортных средств.

8.8.          Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных клиентов (приложение к Положению).

8.9.          Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о клиентах.

8.10.      Передача информации, содержащей сведения о персональных данных работников организации по телефону, факсу, электронной почте без письменного согласия клиента запрещается.

8.11.      В целях обеспечения соблюдения режима конфиденциальности персональных данных в Учреждении ведутся следующие учетные документы движения персональных данных клиентов:

-           журнал учета выдачи персональных данных клиентов организациям и государственным органам (журнал учета внешнего доступа к персональным данным клиентов) (приложение 8 к Положению);

-           журнал проверок наличия документов, содержащих персональные данные (приложение 9 к Положению);

-           журнал учета применяемых оператором носителей информации (приложение 10 к Положению).

8.12.      В случае реорганизации или ликвидации организации учет и сохранность документов, содержащих персональные данные клиентов, порядок передачи их на государственное хранение осуществлять в соответствии с Основными правилами работы архивов организации, одобренными решением коллегии Росархива от 06 февраля 2002 года.

8.13.      В случае выявления недостоверных персональных данных клиентов или неправомерных действий с ними на период проверки оператор обязан осуществить блокирование персональных данных клиента с момента обращения его самого или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов (ст. 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

8.14.      При выявлении неправомерных действий с персональными данными клиента оператор обязан устранить допущенные нарушения, блокировав персональные данные в сроки, установленные статьей 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями).

8.15.      В случае невозможности устранения допущенных нарушений оператор не более чем через три рабочих дня с даты выявления неправомерности действий с персональными данными клиента обязан уничтожить персональные данные клиента (ст. 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»).

8.16.      В случае отзыва клиентом согласия на обработку персональных данных (приложение 11 к Положению) оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению работодателя) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данныхосуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является клиент, иным соглашением между оператором и клиентом либо если оператор не вправе осуществлять обработку персональных данных без согласия клиента на основаниях, предусмотренных федеральными законами (ст. 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»).

 

9.        Ответственность за НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

9.1.          Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут предусмотренную законодательством Российской Федерации ответственность.

9.2.          Моральный вред, причиненный клиенту вследствие нарушения его прав, нарушения правил обработки персональных данных, требований к защите персональных данных, установленных законодательством Российской Федерации, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных клиентами убытков.

 

10.   Заключительные положения

 

10.1.      Настоящее Положение, изменения и дополнения к нему утверждаются директором Учреждения и вводятся приказом директора Учреждения.

10.2.      Изменения и дополнения вносятся в настоящее Положение по необходимости.

10.3.      Настоящее Положение, изменения и дополнения к нему доводятся до сведения  работников Учреждения персонально под  роспись.

10.4.      Настоящее Положение, изменения и дополнения к нему размещаются на официальном сайте оператора в сети Интернет.

10.5.      Настоящее Положение вступает в силу с момента его утверждения и подписания  директором Учреждения.