Политика обработки персональных данных

1. Общие положения

1. Настоящий документ (далее — Политика) определяет политику в отношении обработки персональных данных КГАУ «Камчатский центр информатизации и оценки качества образования», 683023, Петропавловск-Камчатский, ул. Кавказская, д. 40, (а/я 12), info@kcioko.ru (далее — Оператор или КГАУ КЦИОКО).
2. Настоящая Политика разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
3. Понятия, содержащиеся в статье 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.
4. Настоящая Политика разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
5. Настоящая Политика определяет правовые основы обработки персональных данных, цели обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.
6. Оператор в целях реализации положений настоящей Политики принимает локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
7. Оператор в принимаемых локальных актах определяет состав и перечень мер, необходимых и достаточных для осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящей Политике.
8. Действие настоящей Политики распространяется на операции, совершаемые Оператором с персональными данными с использованием средств автоматизации и/или без их использования.
9. Оператор, получивший доступ к персональным данным, обязан:
   1. обрабатывать персональные данные в порядке, установленном действующим законодательством;
   2. организовывать обработку и защиту персональных данных в соответствии с требованиями законодательства;
   3. рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
   4. предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
   5. принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями.
10. Оператор персональных данных имеет право:
    1. отстаивать свои интересы в суде;
    2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством, в том числе налоговым, трудовым, в сфере образования и др.;
    3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
    4. использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
11. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе сведений, предусмотренных Законом о персональных данных.
12. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных Оператором являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
• Федеральный закон от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 28 декабря 2013 г. № 426-ФЗ «О специальной оценке условий труда»;
• Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Законодательство об образовании (Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации», а также федеральные законы, иные нормативные правовые акты Российской Федерации, законы, нормативные правовые акты Камчатского края, содержащие нормы, регулирующие отношения в сфере образования);
• Постановление Правительства Камчатского края от 19 августа 2016 г. № 331-П «О государственной информационной системе Камчатского края „Сетевой город“»;
• Постановление Правительства Камчатского края от 22 января 2020 г. № 11-П «О государственной информационной системе Камчатского края „Экзамен“»;
• уставные документы Оператора;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласия субъектов персональных данных на обработку персональных данных;
• иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

3. Цели обработки персональных данных

Целями обработки персональных данных Оператором являются:

• обеспечение соблюдения трудового, налогового, пенсионного и страхового законодательства, включая предоставление социальных гарантий и льгот в рамках трудовых отношений;
• ведение бухгалтерского учета;
• подбор персонала (соискателей) на вакантные должности;
• подготовка, заключение и исполнение гражданско-правовых договоров;
• проведение государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования в Камчатском крае;
• информационное обеспечение управления в системе образования в Камчатском крае, в том числе предоставление государственных, муниципальных услуг и социальных мер в сфере образования, реализуемых в электронной форме;
• ознакомление с результатами государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования и/или подача апелляции о несогласии с выставленными баллами;
• рассмотрение обращений и запросов физических лиц;
• обеспечение пропускного и внутриобъектового режима на территории Оператора;
• проведение статистического наблюдения (с обезличиванием).

4. Категории субъектов персональных данных, объём обрабатываемых персональных данных и сроки обработки

1. Оператор определяет содержание и объём обрабатываемых персональных данных в соответствиями с заявленными целями обработки персональных данных в локальных актах. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2. Оператор обеспечивает соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
3. Сроки обработки и хранения персональных данных для каждой указанной в разделе 3 настоящей Политики цели обработки персональных данных устанавливаются с учётом соблюдения требований, в том числе условий обработки персональных данных, определённых законодательством, и/или с учётом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.

5. Сведения о реализуемых требованиях к защите персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер для обеспечения требований законодательства о персональных данных. К таким мерам относятся:

1. разработка локальных актов Оператором, реализующих требования законодательства в области обработки и защиты персональных данных;
2. назначение лица, ответственного за организацию обработки персональных данных;
3. ограничение состава работников Оператора, имеющих доступ к персональным данным, и организация разрешительной системы доступа к ним;
4. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с данной Политикой, другими локальными актами Оператора по вопросам обработки персональных данных;
5. определение в должностных инструкциях работников Оператора обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
6. организация учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
7. определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе частной модели актуальных угроз;
8. размещение технических средств обработки персональных данных в пределах охраняемой территории;
9. ограничение допуска посторонних лиц в помещения, недопущение их нахождения в помещениях, где ведётся работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны ответственных лиц;
10. использование для нейтрализации актуальных угроз средств защиты информации;
11. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
12. применение средств защиты на всех узлах информационной сети;
13. осуществление внутреннего контроля соответствия обработки персональных данных законодательству в области обработки и защиты персональных данных, настоящей Политики, локальным актам Оператора.

6. Порядок и условия обработки персональных данных

1. Обработка персональных данных Оператором может осуществляться следующими способами:
   1. неавтоматизированная обработка персональных данных;
   2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
   3. смешанная обработка персональных данных.
2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, предоставление, доступ, распространение, уничтожение, а также осуществление иных действий в соответствии с действующим законодательством Российской Федерации.
3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее — Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
4. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие свободно, своей волей и в своём интересе.
5. Согласие даётся в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерации случаях согласие оформляется в письменной форме.
6. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
7. В случаях, предусмотренных законодательством (например, распространение персональных данных), Оператор получает письменные согласия соответствующих субъектов персональных данных.
8. Трансграничная передача персональных данных Оператором не осуществляется.
9. При осуществлении обработки персональных данных Оператор использует базы данных, находящиеся на территории РФ.

7. Актуализация, исправление, удаление и уничтожение персональных данных

1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена.
2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами Российской Федерации.
3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8. Ответы на запросы субъектов персональных данных на доступ к персональным данным

1. По запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
2. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

9. Заключительные положения

1. Отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике или других локальных актах Оператора, регулируются согласно положениям законодательства Российской Федерации.
2. Оператор имеет право вносить изменения в настоящую Политику. После внесения изменений новая редакция размещается на сайте Оператора.