1. Общее положение
1.1 Настоящее положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-Ф3 "О персональных данных" (далее - Федеральный закон), постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования сердств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утрвеждении требований к защите персональных при их обработке в информационных системах персональных данных" и устанавливает единный порядок обработки персональных данных в Муниципального казенного ощеобразовательного учреждения "Средняя общеобразовательная школа № 8" Нефтекумского муниципального района Ставропольского края (далее - Учреждение).
1.2 В целях настоящего Положения используются следующие термины и понятия:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение ( в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а так же информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных даных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Основные условия проведения обработки персональных данных
2.1 Обработка персональных данных осуществляется:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
после направления уведомления об обработке персональных данных в Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
после принятия необходимых мер по защите персональных данных.
2.2. Приказом руководителя Учреждения назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
2.3. Лица, допущенные к обработке персональных данных в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные.
2.4. Запрещается:
обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
осуществлять ввод персональных данных под диктовку.
3. Порядок определения защищаемой информации
3.1. В Учреждении определяется и утверждается Перечень персональных данных и перечень информационных систем персональных данных, в которых осуществляется обработка персональных данных.
3.2. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных.
4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" и иных нормативно правовых актов Российской Федерации.
4.2 Учреждением определяется уровень защищенности персональных данных согласно Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" в зависимости от категории обрабатываемых данных, их количества а актуальных угроз.
4.3. Мероприятия по обеспечению безопаности персональных данных на стадиях проектирования и ввода и эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не состовляющей государственную тайну, содержашийся в государственных информационных системах"
4.4. Не допускатеся обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт защищенности персональных данных в ИСПДн, инструкции пользователя по эксплуатации средств антивирусной защиты, и других нормативных и методических документов;
- настроенных от несанкционированного доступа средств защиты информации, средств антивирусный защиты, резервного копирования информации и других программных и технических средст в соответствии с требованиями безопасности информации;
- охраны и организации режима допуска в помещениях, предназначенные для обработки персональных данных.
5.
6. Порядок обработки персональных данных без использования средств автоматизации данн
6.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электроном виде (файлы, базы банных) на электронных носителях информации.
6.2. При неавтоматизированной обработке различных категорий персональных данных может должег использоваться отдельный материальный носитель для каждой категории персональных данных.
6.3. При неавтоматезированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных цели, цели обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажныъ носителях, в специальных разделах или на полях форм (балконов);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели бработки и категории персональных данных.
6.4 При использовании типовыз форм документов, характер информации в которых предпологает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкции по ее заполнению карточки реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных имя (наименование) и адрес оператора фамилию имя отчество и адрес субъекта персональных данных источник получения персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных:
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
6.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
6.6. При отсутствии техологической возможности осуществления неавтоматизированной обработки персональных данных в электроном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
6.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.
6.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электроном носители, если электронной носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носители других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению
б) При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых шкафах (сейфах). При этом должны быть, созданы надлежащие условия, обеспечивающие их сохранность.
6.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных материальном носителе (удаление, вымарывание).
7. Ответственность должностных лиц
Сотрудники Учреждения и рабочий персонал, допущенные к обработке персональных данных, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
