Приложение 1
к приказу Департамента образования
Положение
об обработке персональных данных
в Департаменте образования Ивановской области
1.Общие положения
1.1. Положение об обработке персональных данных в Департаменте образования Ивановской области (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 01.01.01 г. «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 01.01.01 г. «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон «О государственной гражданской службе Российской Федерации»), законом Российской Федерации от 01.01.01 г. «Об образовании», законом Ивановской области от 01.01.01 г. «Об образовании в Ивановской области», постановлением Правительства Российской Федерации от 01.01.01 г. № 000 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 01.01.2001 г. № 000 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
1.2. Положение определяет порядок и условия обработки персональных данных в Департаменте образования Ивановской области (далее - Департамент).
Департамент обеспечивает неограниченный доступ к настоящему Положению посредством размещения его на официальном сайте Департамента (www. *****).
1.3. В соответствии с пунктом 1 статьи 3 Федерального закона «О персональных данных» под персональными данными (далее - персональные данные) понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. Обработка персональных данных в Департаменте осуществляется в целях осуществления полномочий Департамента и исполнения государственных функций в сфере образования, осуществления контроля и надзора в сфере образования, ведения кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек руководителей учреждений, подведомственных Департаменту), содействия гражданскому служащему в прохождении государственной гражданской службы Ивановской области (в том числе с целью обеспечения начисления денежного содержания государственным служащим), педагогических работников государственных образовательных учреждений Ивановской области, проходящих аттестацию, граждан, привлекаемых органами государственного контроля (надзора) в качестве экспертов, к проведению мероприятий по контролю (далее – субъекты персональных данных), защиты прав и свобод субъектов персональных данных при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
II. Порядок обработки персональных данных в Департаменте
2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
2.2. Список должностей государственных гражданских служащих Департамента, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным, утверждается приказом Департамента.
2.3.При обработке персональных данных гражданских служащих, руководителей учреждений, подведомственных Департаменту, педагогических работников государственных образовательных учреждений Ивановской области, проходящих аттестацию, граждан, привлекаемых органами государственного контроля (надзора) в качестве экспертов к проведению мероприятий по контролю, в целях реализации возложенных на Департамент полномочий, уполномоченные должностные лица обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
б) защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
в) передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Департамент вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных. Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Факт уничтожения персональных данных оформляется соответствующим актом и подписывается членами комиссии, состав которой утверждается приказом Департамента;
е) опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.
2.4. Обработка биометрических персональных данных осуществляется только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
2.5. Состав персональных данных, подлежащих обработке в Департаменте, определен в приложении № 1 к настоящему Положению.
2.6. В целях обеспечения защиты персональных данных субъекты персональных данных или их представители вправе:
а) получать при обращении либо по запросу информацию, касающуюся обработки персональных данных о соответствующем субъекте персональных данных, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных»;
б) осуществлять безвозмездный доступ к персональным данным, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона;
в) требовать уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) принимать предусмотренные законом меры по защите своих прав.
2.7. Ответственный за организацию обработки персональных данных в Департаменте назначается приказом руководителя Департамента.
Лицо, ответственное за организацию обработки персональных данных в Департамент, обязано:
1) осуществлять внутренний контроль за соблюдением Департаментом и государственными гражданскими служащими Департамента законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения государственных гражданских служащих Департамента положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) осуществлять контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.
2.8. Государственные гражданские служащие Департамента, уполномоченные на обработку персональных данных и (или) имеющие доступ к персональным данным должны быть ознакомлены с настоящим Положением, локальными актами по вопросам обработки персональных данных.
III. Порядок обработки персональных данных
субъектов персональных данных, осуществляемой
без использования средств автоматизации
3.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Департамент полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Департамента, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональных данных иных лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
IV. Порядок обработки персональных данных субъектов персональных данных в информационных системах
4.1. Обработка персональных данных в Департаменте осуществляется в Информационной системе «1С: Предприятие», включающей:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
ИНН субъекта персональных данных;
табельный номер субъекта персональных данных;
должность субъекта персональных данных;
номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
4.2. Персональные данные могут быть представлены для ознакомления гражданским служащим, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей.
4.4. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
4.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.6. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Департамента должен требовать обязательного прохождения процедуры идентификации и аутентификации.
4.7. Государственными гражданскими служащими Департамента, уполномоченными на обработку персональных данных и (или) имеющими доступ к персональным данным, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до непосредственного руководителя и (или) начальника Департамента;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах Департамента, уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
Приложение
к приказу Департамента образования
Ивановской области
Список
должностей государственных гражданских служащих Департамента образования Ивановской области, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным
|
Структурное подразделение Департамента образования Ивановской области |
Должность |
|
Начальник Департамента | |
|
Первый заместитель начальника Департамента образования-статс-секретарь | |
|
Заместители начальника Департамента | |
|
Управление дошкольного, общего, специального (коррекционного), дополнительного образования и воспитания |
начальник управления |
|
заместитель начальника управления | |
|
Отдел организационного, информационно-аналитического обеспечения и делопроизводства |
начальник отдела |
|
специалист 1 разряда | |
|
начальник отдела | |
|
Отдел правового обеспечения и кадровой работы |
начальник отдела |
|
консультант | |
|
специалист-эксперт | |
|
Управление экономической политики, исполнения бюджета, учетной политики и развития материальной базы системы образования |
начальник управления |
|
заместитель начальника управления | |
|
ведущий специалист-эксперт | |
|
консультант | |
|
специалист 3 разряда | |
|
специалист - эксперт | |
|
Управление лицензирования, аккредитации, оценки качества, надзора и контроля |
начальник управления |
|
заместитель начальника управления | |
|
специалист - эксперт | |
|
консультант |
