1. Введение
1.1 Настоящий документ определяет политику ГБОУ Школа № 1576 (далее — ОО) в отношении обработки персональных данных.
1.2 ОО является оператором персональных данных в соответствии с законодательством Российской Федерации о персональных данных.
1.3 Настоящая Политика разработана в соответствии с:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5 Настоящая Политика подлежит актуализации в случае изменений законодательства Российской Федерации о персональных данных.
2. Принципы обработки персональных данных
Обработка персональных данных осуществляется на основе следующих принципов:
Принцип 1
Обработка персональных данных осуществляется на законной и справедливой основе.
Принцип 2
Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей.
Принцип 3
Обработка персональных данных, несовместимая с целями сбора, не допускается.
Принцип 4
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях.
Принцип 5
Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными.
Принцип 6
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к заявленным целям.
Принцип 7
Хранение персональных данных осуществляется не дольше, чем требуют цели обработки, если иное не установлено законом или договором.
Принцип 8
Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.
3. Условия обработки персональных данных
3.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Законом о персональных данных, в следующих случаях:
3.1.1 С согласия субъекта персональных данных или его законного представителя.
3.1.2 Для достижения целей, предусмотренных международным договором РФ или законом, для осуществления функций, полномочий и обязанностей оператора.
3.1.3 В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3.1.4 Для исполнения судебного акта, акта другого органа или должностного лица в соответствии с законодательством РФ об исполнительном производстве.
3.1.5 Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов власти г. Москвы, органов местного самоуправления и организаций, участвующих в предоставлении государственных и муниципальных услуг (ФЗ от 27.07.2010 № 210-ФЗ).
3.1.6 Для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.1.7 Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
3.1.8 Для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии соблюдения прав и свобод субъекта персональных данных.
3.1.9 Для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии соблюдения прав субъекта.
3.1.10 В статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
3.1.11 Обработка обезличенных данных в целях повышения эффективности государственного или муниципального управления в соответствии с ФЗ от 24.04.2020 № 123-ФЗ и ФЗ от 31.07.2020 № 258-ФЗ.
3.1.12 Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с нормами информационной открытости ОО согласно ФЗ от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».
3.2 ОО может включать персональные данные субъектов в общедоступные источники при наличии письменного согласия субъекта на обработку его персональных данных.
3.3 ОО может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в случаях, предусмотренных:
3.3.1 Законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ.
3.3.2 В медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг — при наличии в штате ОО лица, обязанного соблюдать врачебную тайну.
3.3.3 В целях защиты жизни, здоровья или иных жизненно важных интересов работника либо других лиц, если получение согласия невозможно.
3.3.4 В целях установления или осуществления прав субъекта персональных данных или третьих лиц, а также в связи с осуществлением правосудия.
3.3.5 В случаях, предусмотренных законодательством об обязательных видах страхования, об обороне, о противодействии коррупции и иным специальным законодательством.
3.4 В ОО не обрабатываются биометрические персональные данные, за исключением фотографий.
3.5 ОО не осуществляет трансграничную передачу персональных данных.
3.6 Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия, не осуществляется.
3.7 При отсутствии необходимости письменного согласия согласие субъекта может быть дано в любой форме, позволяющей подтвердить факт его получения.
3.8 ОО вправе поручить обработку персональных данных другому лицу с согласия субъекта на основании договора, обязующего это лицо соблюдать принципы и правила обработки персональных данных.
3.9 При поручении обработки другому лицу ответственность перед субъектом несёт ОО. Лицо, осуществляющее обработку по поручению, несёт ответственность перед ОО.
3.10 В случае неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов, ОО обязан уведомить уполномоченный орган:
⏱ В течение 24 часов
О произошедшем инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах, а также о лице, уполномоченном на взаимодействие с уполномоченным органом по вопросам инцидента.
⏱ В течение 72 часов
О результатах внутреннего расследования и сведениях о лицах, действия которых стали причиной инцидента (при наличии).
4. Обязанности ОО
В соответствии с требованиями Закона о персональных данных ОО обязано:
4.1 Предоставлять субъекту по его запросу информацию об обработке его персональных данных либо на законных основаниях — мотивированный отказ в течение 30 дней с даты получения запроса.
4.2 По требованию субъекта уточнять, блокировать или удалять персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или излишними, в срок не более 7 рабочих дней с момента предоставления подтверждающих сведений.
4.3 Вести журнал учёта обращений субъектов персональных данных, фиксируя запросы на получение данных и факты их предоставления.
4.4 Уведомлять субъекта об обработке персональных данных, если они получены не от него, за исключением случаев:
4.4.1 Субъект уже уведомлён об осуществлении обработки ОО его персональных данных.
4.4.2 Персональные данные получены ОО в связи с исполнением договора, стороной которого является субъект, или на основании федерального закона.
4.4.3 Персональные данные сделаны общедоступными самим субъектом или получены из общедоступного источника.
4.4.4 ОО осуществляет обработку персональных данных для статистических или исследовательских целей, не нарушая прав субъекта.
4.4.5 Предоставление уведомления нарушало бы права и законные интересы третьих лиц.
4.5 При достижении цели обработки прекратить обработку и уничтожить персональные данные в срок не более 30 дней с даты достижения цели, если иное не предусмотрено договором или законом.
4.6 При отзыве субъектом согласия — прекратить обработку и уничтожить персональные данные в срок не более 30 дней, уведомив субъекта об уничтожении.
4.7 При поступлении требования о прекращении обработки персональных данных, полученных в целях продвижения товаров и услуг, — немедленно прекратить обработку.
4.8 ОО обязуется и обязует иных лиц, получивших доступ к персональным данным, не раскрывать и не распространять их без согласия субъекта, если иное не предусмотрено федеральным законом.
5. Меры по обеспечению безопасности персональных данных при обработке
5.1 При обработке персональных данных ОО применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
5.2 Обеспечение безопасности персональных данных достигается, в частности:
5.2.1 Определением угроз безопасности персональных данных при их обработке в информационных системах.
5.2.2 Применением организационных и технических мер по обеспечению безопасности, необходимых для выполнения требований к защите, установленных Правительством РФ.
5.2.3 Применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
5.2.4 Оценкой эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы персональных данных.
5.2.5 Учётом машинных носителей персональных данных.
5.2.6 Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по устранению последствий.
5.2.7 Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа.
5.2.8 Установлением правил доступа к персональным данным в информационной системе, а также обеспечением регистрации и учёта всех действий с персональными данными.
5.2.9 Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем.
6. Права субъекта персональных данных
В соответствии с Законом о персональных данных субъект имеет право:
6.1 Получить сведения, касающиеся обработки персональных данных ОО, в том числе:
- Подтверждение факта обработки персональных данных ОО.
- Правовые основания и цели обработки персональных данных.
- Применяемые ОО способы обработки персональных данных.
- Наименование и место нахождения ОО, сведения о лицах, имеющих доступ к персональным данным.
- Обрабатываемые персональные данные и источник их получения.
- Сроки обработки персональных данных, в том числе сроки их хранения.
- Порядок осуществления прав субъекта персональных данных.
- Информацию об осуществлённой или предполагаемой трансграничной передаче данных.
- Наименование или ФИО и адрес лица, осуществляющего обработку по поручению ОО.
- Иные сведения, предусмотренные Законом о персональных данных или иными федеральными законами.
6.2 Потребовать от ОО уточнения, блокирования или уничтожения его персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не необходимыми для заявленной цели обработки.
6.3 Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
6.4 Принять предусмотренные законом меры по защите своих прав.
7. Порядок осуществления прав субъекта персональных данных
7.1 Обращение субъекта осуществляется в письменном виде, при личном визите в ОО или в форме электронного документа, подписанного электронной подписью.
7.2 Форма обращения выдаётся ответственным за обработку персональных данных лицом (или секретарём ОО) и заполняется субъектом с проставлением собственноручной подписи.
7.3 Ответственный за обработку персональных данных при получении обращения сверяет документ, удостоверяющий личность субъекта, и документы представителя.
7.4 Ответ на обращение отправляется субъекту в письменном виде по почте на адрес, указанный в обращении.
Сроки обработки обращений:
| Действие | Срок |
| Формирование и отправка ответа на обращение | 30 дней с даты получения обращения |
| Внесение изменений в неполные, неточные или неактуальные персональные данные | 7 рабочих дней с момента предоставления подтверждающих сведений |
| Уничтожение незаконно полученных или излишних персональных данных | 10 рабочих дней с момента предоставления подтверждающих сведений |
8. Ограничения прав субъектов персональных данных
8.1 Право субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает права и законные интересы других лиц.
8.2 Если сведения и персональные данные были предоставлены субъекту по его запросу, повторный запрос может быть направлен не ранее чем через 30 дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, нормативным актом или договором.
8.3 Субъект персональных данных вправе направить ОО мотивированный повторный запрос до истечения срока, указанного в пункте 8.2, в случае если персональные данные не были предоставлены в полном объёме по результатам рассмотрения первоначального запроса.