МУНИЦИПАЛЬНОЕ КАЗЕННОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
«ИХАЛЬСКАЯ СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА»
(МКОУ «ИХАЛЬСКАЯ СОШ»)
ПРИКАЗ
п. Ихала
от 26 декабря 2023 года
№ 192 -О
Об организации работы по защите
информации в МКОУ «Ихальская СОШ»
На основании статьи 24 Конституции РФ, Федерального Закона РФ от 27.07.2006 г. № 149ФЗ. (в редакции от 02.07.2021 г.) «Об информации, информационных технологиях и о защите информации»
и Федерального закона РФ от 27.07.2006 г № 152-ФЗ. (в редакции от 02.07.2021 г.) «О персональных
данных», Федерального закона РФ от 21. 07. 2014 г. N 242-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных
в информационно-телекоммуникационных сетях» (с изменениями от 31 декабря 2014 года), Федерального
закона РФ от 14.07. 2022 г. № 266 -ФЗ «О внесении изменений в Федеральный закон «О персональных
данных», ПРИКАЗЫВАЮ
1. Назначить ответственными за защиту информации составляющей служебную тайну и
персональные данные Дитину А.А., директора учреждения
2. Утвердить список сотрудников, допущенных к выполнению работ по обработке
персональных данных:
Медведкову М.Г., заместитель директора по УВР;
Меньшикову М.Г., старший воспитатель дошкольных групп
3. Утвердить «Политику защиты и обработки персональных данных МКОУ «Ихальская
СОШ» (Приложение 1)
4. Утвердить «Положение о защите и обработке персональных данных работников МКОУ
«Ихальская СОШ» (Приложение 2)
5. Утвердить «Инструкцию по проведению мониторинга информационной безопасности и
антивирусного контроля при обработке персональных данных в МКОУ «Ихальская СОШ»
(Приложение 3)
6. Утвердить «Положение о защите и обработке персональных данных обучающихся и
третьих лиц МКОУ «Ихальская СОШ» (Приложение 4)
7. Утвердить «Порядок уничтожения и обезличивания персональных данных МКОУ
«Ихальская СОШ» (Приложение 5)
8. Контроль за исполнением приказа оставляю за собой.
Директор
Ознакомлены
Дитина А.А
�Приложение 1 к приказу № 192 от 26.12.2023
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
Муниципального казенного общеобразовательного учреждения
«Ихальская средняя общеобразовательная школа»
(МКОУ «Ихальская СОШ»)
1. Общие положения
1.1. Настоящая Политика МКОУ «Ихальская СОШ» (далее - Политика) разработана во
исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных» (далее – Закон о персональных данных), Федерального
закона от
14.07. 2022 № 266 ФЗ «О внесении изменений в Федеральный закон «О персональных
данных», в целях обеспечения защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые МКОУ
«Ихальская СОШ» (далее - Оператор) обрабатывает с использованием и без
использования средств автоматизации.
1.3.Локальные нормативные акты и иные документы, регламентирующие обработку
персональных данных в МКОУ «Ихальская СОШ», разрабатываются с учетом
положений Политики.
1.4. Политика распространяется на отношения в области обработки персональных
данных,возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая
Политика публикуется в свободном доступе в информационно-телекоммуникационной
сети Интернет на сайте Оператора.
1.6. МКОУ «Ихальская СОШ» – оператор персональных данных
– обязано:
1.6.1. Соблюдать конфиденциальность персональных данных, а именно не
распространять персональные данные и не передавать их третьим лицам без согласия
субъекта персональных данных или его законного представителя, если иное не
предусмотренозаконодательством.
1.6.2. Обеспечить субъектам персональных данных, их законным представителям
возможность ознакомления с документами и материалами, содержащими их
персональные данные, если иное не предусмотрено законодательством.
1.6.3. Разъяснять субъектам персональных данных, их законным представителям
юридические последствия отказа предоставить персональные данные.
1.6.4. Блокировать или удалять неправомерно обрабатываемые, неточные
персональные данные либо обеспечить их блокирование или удаление.
1.6.5. Прекратить обработку и уничтожить персональные данные либо обеспечить
прекращение обработки и уничтожение персональных данных при достижении цели их
обработки.
1.6.6. Прекратить обработку персональных данных или обеспечить прекращение
обработки персональных данных в случае отзыва субъектом персональных данных
�согласия на обработку его персональных данных, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому является
субъект персональных данных, или иным соглашением между МКОУ «Ихальская СОШ»
и субъектом персональных данных.
1.7. МКОУ «Ихальская СОШ» не имеет права:
1.7.1. Использовать персональные данные субъектов персональных данных без их
согласия в случаях, предусмотренных законодательством.
1.7.2. Предоставлять персональные данные субъектов персональных данных третьим
лицам в случаях, предусмотренных законодательством.
1.8. Работники, совершеннолетние учащиеся, родители несовершеннолетних учащихся,
иные субъекты персональных данных обязаны:
1.8.1. В случаях, предусмотренных законодательством, предоставлять МКОУ «Ихальская
СОШ» достоверные персональные данные.
1.8.2.При изменении персональных данных, обнаружении ошибок или неточностей в них
незамедлительно сообщать об этом МКОУ «Ихальская СОШ».
1.9. Субъекты персональных данных вправе:
1.9.1. Получать информацию, касающуюся обработки своих персональных данных, кроме
случаев, когда такой доступ ограничен федеральными законами.
1.9.2. Требовать от МКОУ «Ихальская СОШ» уточнить персональные данные,
блокировать их или уничтожить, если персональные данные являются неполными,
устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки.
1.9.3. Дополнить персональные данные оценочного характера заявлением, выражающим
собственную точку зрения.
1.9.4. Обжаловать действия или бездействие МКОУ «Ихальская СОШ» в
уполномоченном органе по защите прав субъектов персональных данных или в судебном
порядке.
1.10. В Политике используются следующие понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для
распространения – это персональные данные, доступ неограниченного круга лиц к
которым предоставлен субъектом персональных данных путем дачи согласия на
обработку персональных данных, разрешенных субъектом персональных данных для
распространения.
Оператор персональных данных (оператор) – государственный орган, муниципальный
орган, юридическое или физическое лицо, самостоятельно или совместно с другими
лицами организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции), совершаемые с персональными
данными.
Обработка персональных данных – любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием средств
автоматизации или без их использования. Обработка персональных данных включает в
себя в том числе:
�
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (предоставление, доступ);
распространение;
обезличивание;
блокирование;
удаление;
уничтожение.
�Автоматизированная обработка персональных данных – обработка персональных
данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится
невозможным
без
использования
дополнительной
информации
определить
принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку, информационных
технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
�2. Цели сбора персональных данных
2.1. Целями сбора персональных данных МКОУ «Ихальская СОШ» являются:
2.1.1. Организация образовательной деятельности по образовательным программам
основного общего и среднего общего образования в соответствии с законодательством и
уставом МКОУ «Ихальская СОШ».
2.1.2. Регулирование трудовых отношений с работниками МКОУ «Ихальская СОШ»
2.1.3. Реализация гражданско-правовых договоров, стороной, выгодоприобретателем или
получателем которых является субъект персональных данных.
2.1.4. Обеспечение безопасности.
3. Правовые основания обработки персональных данных
3.1. Правовыми основаниями обработки персональных данных в МКОУ «Ихальская
СОШ» являются устав и нормативные правовые акты, для исполнения которых и в
соответствии с которыми МКОУ «Ихальская СОШ» осуществляет обработку
персональных данных, в том числе:
– Конституция РФ
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90)
- Гражданский кодекс РФ
- Налоговый кодекс РФ
- Закон РФ 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации"»
- Устав МКОУ «Ихальская СОШ»
3.2. Правовыми основаниями обработки персональных данных в МКОУ «Ихальская
СОШ» также являются договоры с физическими лицами, заявления (согласия,
доверенности) учащихся и родителей (законных представителей) несовершеннолетних
учащихся, согласия на обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов
персональных данных
4.1. МКОУ «Ихальская СОШ» обрабатывает персональныеданные следующих категорий
субъектов персональных данных:
физические лица, состоящие с МКОУ «Ихальская СОШ»в трудовых отношениях;
родственников работников, в том числе бывших;
физические лица, уволившиеся из МКОУ «Ихальская СОШ»;
физические лица, являющиеся соискателями на работу;
физические лица, состоящие с МКОУ «Ихальская СОШ»в гражданско-правовых
отношениях;
учащихся;
родителей (законных представителей) учащихся;
физических лиц, указанных в заявлениях (согласиях, доверенностях) учащихся и
родителей (законных представителей) несовершеннолетних учащихся;
физических лиц – посетителей МКОУ «Ихальская СОШ».
�4.2. ПД, обрабатываемые Оператором:
данные, полученные при осуществлении трудовых отношений;
данные, полученные для осуществления отбора кандидатов на работу;
данные, полученные при осуществлении гражданско-правовых отношений.
4.3. Специальные категории персональных данных МКОУ «Ихальская СОШ»
обрабатывает только на основании и согласно требованиям федеральных законов.
4.4. Биометрические персональные данные МКОУ «Ихальская СОШ» не обрабатывает.
4.5. МКОУ «Ихальская СОШ»
обрабатывает персональные данные в объеме,
необходимом:
для осуществления образовательной деятельности по реализации основных и
дополнительных
образовательных
программ,
обеспечения безопасности,
укрепления здоровья учащихся, создания
благоприятных
условий
для
разностороннего
развития личности, в том числе: обеспечения отдыха и
оздоровления учащихся;
выполнения функций и полномочий работодателя в трудовых отношениях;
выполнения функций и полномочий экономического субъекта при осуществлении
бухгалтерского и налогового учета;
исполнения сделок и договоров гражданско-правового характера, в которых МКОУ
«Ихальская СОШ» является стороной, получателем (выгодоприобретателем).
4.6. Содержание и объем обрабатываемых персональных данных в МКОУ «Ихальская СОШ»
соответствуют заявленным целям обработки.
5. Порядок и условия обработки персональных данных
5.1.
МКОУ «Ихальская СОШ»
осуществляет сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение использование,
передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление и уничтожение персональных данных.
�5.2. Обработка персональных данных:
5.2.1. МКОУ «Ихальская СОШ» обрабатывает персональные данные в следующих
случаях: – субъект персональных данных дал согласие на обработку своих персональных
данных; – обработка персональных данных необходима для выполнения МКОУ
«Ихальская СОШ» возложенных на него законодательством функций, полномочий и
обязанностей; – персональные данныеявляются общедоступными.
5.2.2. МКОУ «Ихальская СОШ» обрабатывает персональные данные: – без использования
средств автоматизации; – с использованием средств автоматизации в программах и
информационных системах: «1С: Зарплата и кадры», «АИС Электронная школа».
5.2.3. МКОУ «Ихальская СОШ» обрабатывает персональные данные в сроки: –
необходимые для достижения целей обработки персональных данных; – определенные
законодательством для обработки отдельных видов персональных данных;
– указанные в согласии субъекта персональных данных.
5.3. Хранение персональных данных:
5.3.1. МКОУ «Ихальская СОШ» хранит персональные данные в течение срока,
необходимого для достижения целей их обработки, а документы, содержащие
персональные данные:
– в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом
архивных сроков хранения.
5.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в
запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.
5.3.3. Персональные данные, обрабатываемые с использованием средств автоматизации,
хранятся в порядке и на условиях, которые определяет политика безопасности данных
средств автоматизации.
5.3.4. При автоматизированной обработке персональных данных не допускается хранение
и размещение документов, содержащих персональные данные, в открытых электронных
каталогах (файлообменниках) информационных систем.
5.4. Прекращение обработки персональных данных:
5.4.1. Лица, ответственные за обработку персональных данных в МКОУ «Ихальская
СОШ», прекращают их обрабатывать в следующих случаях:
�– достигнуты цели обработки персональных данных;
– истек срок действия согласия на обработку персональных данных;
– отозвано согласие на обработку персональных данных;
– обработка персональных данных неправомерна.
5.5. Передача персональных данных:
5.5.1. МКОУ «Ихальская СОШ» обеспечивает конфиденциальность персональных
данных.
5.5.2. МКОУ «Ихальская СОШ» передает персональные данные третьим лицам в
следующих случаях: – субъект персональных данных дал согласие на передачу своих
данных; – передать данные необходимо в соответствии с требованиями законодательства
в рамках установленной процедуры.
5.5.3. МКОУ «Ихальская СОШ» не осуществляет трансграничную передачу
персональных данных.
5.6. МКОУ «Ихальская СОШ» принимает необходимые правовые, организационные и
технические меры для защиты персональных данных от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении персональных
данных, в том числе: – издает локальные нормативные акты, регламентирующие
обработку персональных данных; – назначает ответственного за организацию обработки
персональных данных; – определяет список лиц, допущенных к обработке персональных
данных; – знакомит работников, осуществляющих обработку персональных данных, с
положениями законодательства о персональных данных, в том числе с требованиями к
защите персональных данных.
6. Защита персональных данных
6.1. В соответствии с требованиями нормативных документов Оператором создана
система защиты персональных данных (СЗПД), состоящая из подсистем правовой,
организационной и технической защиты.
6.2. Подсистема правовой защиты представляет собой комплекс правовых,
организационно-распорядительных и нормативных документов, обеспечивающих
создание, функционирование и совершенствование СЗПД.
6.3. Подсистема организационной защиты включает в себя организацию структуры
управления СЗПД, разрешительной системы, защиты информации при работе с
сотрудниками, партнерами и сторонними лицами.
6.4. Подсистема технической защиты включает в себя комплекс технических,
программных, программно-аппаратных средств, обеспечивающих защиту ПД.
6.5. Основными мерами защиты ПД, используемыми Оператором, являются:
6.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет
организацию обработки ПД, обучение и инструктаж, внутренний контроль за
соблюдением учреждением и его работниками требований к защите ПД.
�6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и
разработка мер и мероприятий по защите ПД.
6.5.3. Разработка политики в отношении обработки персональных данных.
6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение
регистрации и учета всех действий, совершаемых с ПД в ИСПД.
6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную
систему в соответствии с их производственными обязанностями.
6.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации.
6.5.7. Сертифицированное
обновляемыми базами.
антивирусное
программное
обеспечение
с
регулярно
6.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих
несанкционированный к ним доступ.
6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и
принятие мер.
6.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним.
6.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку
персональных данных, положениям законодательства РФ о персональных данных, в том
числе требованиям к защите персональных данных, документам, определяющим политику
Оператора в отношении обработки персональных данных, локальным актам по вопросам
обработки персональных данных.
6.5.12. Осуществление внутреннего контроля и аудита.
7. Основные права субъекта ПД и обязанности Оператора
7.1. Основные права субъекта ПД.
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
•подтверждение факта обработки ПД Оператором;
•правовые основания и цели обработки ПД;
•цели и применяемые Оператором способы обработки ПД;
•наименование и место нахождения Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты
ПД на основании договора с Оператором или на основании федерального закона;
•сроки обработки персональных данных, в том числе сроки их хранения;
�•порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным
законом;
•наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД
по поручению Оператора, если обработка поручена или будет поручена такому лицу;
•обращение к Оператору и направление ему запросов;
•обжалование действий или бездействия Оператора.
7.2. Обязанности Оператора.
Оператор обязан:
•при сборе ПД предоставить информацию об обработке ПД;
•в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
•при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
•опубликовать или иным образом обеспечить неограниченный доступ к документу,
определяющему его политику в отношении обработки ПД, к сведениям о реализуемых
требованиях к защите ПД;
•принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения ПД, а также от иных неправомерных действий в отношении ПД;
•давать ответы на запросы и обращения субъектов ПД, их представителей и
уполномоченного органа по защите прав субъектов ПД.
8. Актуализация, исправление, удаление и уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным
8.1. Подтверждение факта обработки персональных данных Оператором, правовые
основания и цели обработки персональных данных, а также иные сведения, указанные в ч.
7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту
персональных данных или его представителю при обращении либо при получении запроса
субъекта персональных данных или его представителя. В случае предоставления
субъектом персональных данных, его законным представителем фактов о неполных,
устаревших, недостоверных или незаконно полученных персональных данных
МКОУ «Ихальская СОШ»
актуализирует, исправляет, блокирует, удаляет или
уничтожает их и уведомляет о своих действиях субъекта персональных данных.
8.2. При достижении целей обработки персональных данных, а также в случае отзыва
субъектом персональных данных согласия на обработку персональных данных
персональные данные подлежат уничтожению, если иное не предусмотрено договором,
стороной, получателем (выгодоприобретателем) по которому является субъект
персональных данных.
�8.3. Решение об уничтожении документов (носителей) с персональными данными
принимает комиссия, состав которой утверждается приказом директора МКОУ
«Ихальская СОШ» .
8.4. Документы (носители), содержащие персональные данные, уничтожаются по акту о
выделении документов к уничтожению. Факт уничтожения персональных данных
подтверждается актом об уничтожении документов (носителей), подписанным членами
комиссии.
8.5. Уничтожение документов (носителей), содержащих персональные данные,
производится путем сожжения, дробления (измельчения), химического разложения. Для
уничтожения бумажных документов может быть использован шредер.
8.6. Персональные данные на электронных носителях уничтожаются путем стирания или
форматирования носителя.
8.7. По запросу субъекта персональных данных или его законного представителя МКОУ
«Ихальская СОШ» сообщает ему информацию об обработке его персональных данных.
8.7.1. Запрос должен содержать:
•номер основного документа, удостоверяющего личность субъекта персональных данных
или его представителя, сведения о дате выдачи указанного документа и выдавшем его
органе;
•сведения, подтверждающие участие субъекта персональных данных в отношениях с
Оператором (номер договора, дата заключения договора, условное словесное обозначение
и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки
персональных данных Оператором;
•подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной
подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с
требованиями Закона о персональных данных все необходимые сведения или субъект не
обладает правами доступа к запрашиваемой информации, то ему направляется
мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть
ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе, если
доступ субъекта персональных данных к его персональным данным нарушает права и
законные интересы третьих лиц.
�Приложение 2 к приказу № 192 от 26.12.2023
Положение
о защите и обработке персональных данных
работников
муниципального казенного общеобразовательного
учреждения
«Ихальская средняя общеобразовательная школа»
(МКОУ «Ихальская СОШ»)
1. Общие положения
1.1 Настоящее Положение разработано в соответствии со статьей 24 Конституции
Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными
законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях
и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
Федерального закона от 14.07. 2022 № 266 ФЗ «О внесении изменений в Федеральный
закон «О персональных данных», Постановлением Правительства Российской Федерации
от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О персональных
данных» (с изменениями от 15 апреля 2019 года), Федеральным законом № 273-ФЗ от
29.12.2012 «Об образовании в Российской Федерации» с изменениями от 2 июля 2021
года.
1.2. Целью Положения является защита персональных данных соискателей, работников и
их родственников от неправомерного или случайного доступа, уничтожения, изменения,
блокирования, копирования, распространения и иных неправомерных действий.
1.3. Настоящее Положение определяет порядок работы с персональными данными в
МКОУ «Ихальская СОШ» работников, соискателей на вакантные должности, работников, в том
числе бывших, их родственников, а также гарантии конфиденциальности личной информации,
которую соискатели и работники предоставляют администрации МОУ «Средняя школа № 8 имени
Н.Г. Варламова», гарантии конфиденциальности сведений о работнике, предоставленных
работником работодателю, а также устанавливает ответственности должностных лиц, имеющих
доступ к персональным данным.
2. Основные понятия, используемые в Положении.
2.1. Персональные данные — любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных).
2.2.Персональные данные, разрешенные субъектом персональных данных
Для распространения – это персональные данные, доступ неограниченного круга
лиц к которым предоставлен субъектом персональных данных путем дачи согласия
на обработку персональных данных, разрешенных субъектом персональных данных
дляраспространения.
2.3. Оператор персональных данных (оператор) — государственный орган,
муниципальный орган, юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными.
2.4. Обработка персональных данных — любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение,
�использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных — обработка персональных
данных с помощью средств вычислительной техники.
2.6. Распространение персональных данных — действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
2.7. Предоставление персональных данных — действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
2.8. Блокирование персональных данных — временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных).
2.9. Уничтожение персональных данных — действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных.
2.10. Обезличивание персональных данных — действия, в результате которых становится
невозможным
без
использования
дополнительной
информации
определить
принадлежность персональных данных конкретному субъекту персональных данных.
2.11. Информационная система персональных данных — совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств.
2.12. Общедоступные данные — сведения общего характера и иная информация, доступ
к которой не ограничен.
3. Перечень обрабатываемых персональных данных
3.1.МКОУ «Ихальская СОШ» обрабатывает следующиеперсональные данные соискателей:
фамилия, имя, отчество (при наличии);
дата и место рождения; информация об образовании, квалификации, наличии
специальных знаний, специальной подготовки;
результаты тестирования, собеседования.
3.1. Персональные данные соискателей содержатся в документах, которые представляют
соискатели.
3.2. МКОУ «Ихальская СОШ» обрабатывает следующиеперсональные данные работников:
• паспортные данные работника;
• ИНН;
• копия страхового свидетельства государственного пенсионного страхования;
• копия документа воинского учета (для военнообязанных и лиц, подлежащих
призыву на военную службу);
• копия документа об образовании, квалификации или наличии специальных знаний
(при поступлении на работу, требующую специальных знаний или специальной
подготовки);
• анкетные данные, заполненные работником при поступлении на работу или в
процессе работы (в том числе – автобиография, сведения о семейном положении
работника, перемене фамилии, наличии детей и иждивенцев);
• документы о возрасте малолетних детей и месте их обучения;
• документы о состоянии здоровья детей и других родственников (включая справки
об инвалидности, о наличии хронических заболеваний);
• документы о состоянии здоровья (сведения об инвалидности, о беременности и
т.п.);
• иные документы, которые с учетом специфики работы и в соответствии с
законодательством Российской Федерации должны быть предъявлены работником
при заключении трудового договора или в период его действия (включая
�медицинские заключения, предъявляемые работником при прохождении
обязательных предварительных и периодических медицинских осмотров);
• трудовой договор;
• заключение по данным психологического исследования (если такое имеется);
• копии приказов о приеме, переводах, увольнении, повышении заработной платы,
премировании, поощрениях и взысканиях;
• личная карточка по форме Т-2;
• заявления, объяснительные и служебные записки работника;
• документы о прохождении работником аттестации, повышения квалификации;
• иные документы, содержащие сведения о работнике, нахождение которых в
личном деле работника необходимо для документального оформления трудовых
правоотношений с работником (включая приговоры суда о запрете заниматься
педагогической деятельностью или занимать руководящие должности).
3.3. Персональные данные работников содержатся в их личных делах, картотеках и базах
данных информационных систем.
3.4. В состав документов, содержащих персональные данные работников МКОУ
«Ихальская СОШ»:
входят: штатное расписание;
трудовая книжка работника;
трудовой договор с работником и дополнительные соглашения к нему;
медицинскаякнижка;
личная карточка работника (форма № Т-2);
приказы по личному составу;
документы по оплате труда;
документы об аттестации работников;
электронные классные журналы, журналы обучения на дому;
табели учета рабочего времени.
3.5. МКОУ «Ихальская СОШ» обрабатывает следующие персональные данные
родственников работников:
сведения, предоставленные работником в объеме личной карточки по форме Т2.
3.6. Персональные данные родственников работников содержатся в личных делах
работников и базах данных кадровых информационных систем.
4. Сбор, обработка и хранение персональных данных
4.1. Сбор персональных данных соискателей осуществляет специалист по кадрам
МКОУ «Ихальская СОШ», которому поручен подбор кадров, в том числе из
общедоступной информации о соискателях в интернете.
4.2. Сбор персональных данных работников осуществляет специалист по кадрам у самого
работника. Если персональные данные работника можно получить только у третьих лиц,
инспектор уведомляет об этом работника и берет у него письменное согласие на
получение данных.
4.3. Сбор персональных данных родственников работника осуществляет специалист по
кадрам из документов личного дела, которые представил работник. При определении
объема и содержания обрабатываемых персональных данных работника работодатель
должен руководствоваться 24 статьей Конституцией Российской Федерации, 65 статьей
Трудового Кодекса и иными федеральными законами.
4.4. Обработка персональных данных соискателей ведется исключительно в целях
определения возможности их трудоустройства.
4.5. Обработка персональных данных работников ведется исключительно в целях
обеспечения соблюдения законодательства РФ, содействия работникам
в
трудоустройстве, получении образования, продвижении по службе, обеспечения их
личной безопасности и сохранности имущества, контроля количества и качества
выполняемой ими работы.
�4.6. Обработка персональных данных родственников работников ведется исключительно в
целях обеспечения соблюдения законодательства РФ, реализации прав работников,
предусмотренных трудовым законодательством и иными актами, содержащими нормы
трудового права.
4.7. Сбор и обработка персональных данных, которые относятся к специальной категории
(сведения о расовой, национальной принадлежности, политических взглядах, религиозных
или философских убеждениях, состоянии здоровья, интимной жизни) возможны только с
согласия субъекта персональных данных либо в следующих случаях: персональные
данные общедоступны; обработка персональных данных ведется в соответствии с
законодательством о государственной социальной помощи, трудовым законодательством,
пенсионным законодательством РФ; обработка персональных данных необходима для
защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных либо жизни, здоровья или иных жизненно важных интересов других лиц, а
получить согласие у субъекта персональных данных невозможно; обработка
персональных данных ведется в медико-профилактических целях, в целях установления
медицинского диагноза, оказания медицинских и медико-социальных услуг при условии,
что обработку персональных данных осуществляет лицо, профессионально занимающееся
медицинской деятельностью и обязанное в соответствии с законодательством РФ
сохранять врачебную тайну; обработку персональных данных регламентирует
законодательство РФ об обороне, о безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об оперативно-розыскной
деятельности, об исполнительном производстве либо уголовно-исполнительное
законодательство РФ.
4.8. Сбор и обработка персональных данных родственников работников, которые
относятся к специальной категории (сведения о расовой, национальной принадлежности,
политических взглядах, религиозных или философских убеждениях, состоянии здоровья,
интимной жизни), не допускаются.
4.9. Сбор и обработка персональных данных соискателей, работников и их родственников
о членстве в общественных объединениях или профсоюзной деятельности не
допускаются, за исключением случаев, предусмотренных федеральными законами.
4.10. Личные дела, трудовые и медицинские книжки работников хранятся в бумажном
виде в папках в кабинете директора в специально отведенной секции сейфа,
обеспечивающего защиту от несанкционированного доступа.
4.11. Документы, содержащие личную информацию о работнике, кроме указанных в
пункте 4.10 Положения, хранятся в бумажном виде в отделе кадров в приѐмной и в
электронном виде в информационных системах«1С: Зарплата и кадры», «АИС
Электронная школа.Барс». 4.12. Документы соискателя, который не был трудоустроен,
уничтожаются в течение 30 дней с момента принятия решения об отказе в
трудоустройстве.
4.13. Документы, содержащие персональные данные работников и родственников
работников, подлежат хранению и уничтожению в сроки и в порядке, предусмотренные
номенклатурой дел и архивным законодательством РФ.
4.14. Работники вправе требовать исключения или исправления неверных или неполных
персональных данных, а также данных, обработанных с нарушениями требований
Трудового кодекса или иного федерального закона.
Персональные данные оценочного характера работник вправе дополнить заявлением,
выражающим его собственную точку зрения. По требованию работника МКОУ
«Ихальская СОШ» обязано известить всех лиц, которым ранее были сообщены неверные
или неполные персональные данные этого работника, обо всех произведенных в них
исключениях, исправлениях или дополнениях.
5. Доступ к персональным данным работников имеют.
5.1. Доступ к персональным данным соискателя имеют:
директор – в полном объеме;
�заместитель директора, ст. воспитатель– в полном объеме.
5.2. Доступ к персональным данным работника имеют:
директор – в полном объеме;
заместитель директор, ст.воспитатель – в полном объеме;
бухгалтер – в объеме данных, которые необходимы для оплаты труда, уплаты налогов,
взносов, предоставления статистической информации и выполнения иных обязательных
для работодателя требований законодательства по бухгалтерскому, бюджетному и
налоговому учету;
иные работники, определяемые приказом директора МКОУ «Ихальская СОШ» в пределах
своей компетенции.
5.3. Доступ к персональным данным родственников работника имеют:
директор – в полном объеме;
заместитель директор, ст.воспитатель – в полном объеме;
бухгалтер – в объеме данных, которые необходимы для обеспечения соблюдения
законодательства РФ, реализации прав работника, предусмотренных трудовым
законодательством и иными актами, содержащими нормы трудового права.
Перечень лиц, допущенных к обработке персональных данных соискателей и работников,
утверждается приказом директора МКОУ «Ихальская СОШ».
5.4.Помимо лиц, указанных в п. 5.2,5.3. настоящего Положения, право доступа к
персональным данным работников имеют лица, уполномоченные действующим
законодательством.
6. Передача персональных данных
6.1. Работники МКОУ «Ихальская СОШ», имеющие доступ к персональным данным
соискателей, работников и родственников работников, при передаче этих данных должны
соблюдать следующие требования:
6.1.1. Не передавать и не распространять персональные данные без письменного согласия
субъекта персональных данных, за исключением случаев, когда это необходимо: для
предупреждения угрозы жизни и здоровью субъекта персональных данных, если получить
такое согласие невозможно; для статистических или исследовательских целей (при
обезличивании); в случаях, напрямую предусмотренных федеральными законами.
6.1.2. Передавать без согласия субъекта персональных данных информацию в
государственные и негосударственные функциональные структуры, в том числе в
налоговые инспекции, фонды медицинского и социального страхования, пенсионный
фонд, правоохранительные органы, страховые агентства, военкоматы, медицинские
организации, контрольно-надзорные органы при наличии оснований, предусмотренных в
федеральных законах, или мотивированного запроса от данных структур.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на
правовые основания запроса, в том числе подтверждающие полномочия органа,
направившего запрос, а также перечень запрашиваемой информации.
6.1.3. Размещать без согласия работников в целях обеспечения информационной
открытости МКОУ «Ихальская СОШ» на официальном сайте МКОУ «Ихальская СОШ»:
6.1.3.1. Информацию о директоре МКОУ «Ихальская СОШ», его заместителях, в том
числе: фамилию, имя, отчество (при наличии); должность; контактные телефоны; адрес
электронной почты.
6.1.3.2. Информацию о персональном составе педагогических работников с указанием
уровня образования, квалификации и опыта работы, в том числе: фамилию, имя, отчество
(при наличии); занимаемую должность (должности); преподаваемые дисциплины; ученую
степень (при наличии); ученое звание (при наличии); наименование направления
подготовки и (или) специальности; данные о повышении квалификации и (или)
профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по
специальности.
�6.1.4. Передавать персональные данные представителям работников и соискателей в
порядке, установленном Трудовым кодексом, ограничивая эту информацию только теми
персональными данными, которые необходимы для выполнения функций представителя,
подтвержденных документально.
6.2. Передача персональных данных соискателей, работников и их родственников
работником одного структурного подразделения работнику другого структурного
подразделения осуществляется в порядке и на условиях, определенных локальным актом
МКОУ «Ихальская СОШ». Лица, которые получают персональные данные, должны быть
предупреждены о том, что эти данные могут быть использованы лишь в целях, для
которых они сообщены. Директор МКОУ «Ихальская СОШ»
и уполномоченные им лица вправе требовать подтверждения исполнения этого правила.
7. Права работника в целях обеспечения защиты персональных данных, хранящихся
у работодателя
7.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя,
работники имеют право:
7.1.1. Получать полную информацию о своих персональных данных и их обработке.
7.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на
получение копии любой записи, содержащей персональные данные работника, за
исключением случаев, предусмотренных федеральными законами. Получение указанной
информации о своих персональных данных возможно при личном обращении работника,
– к заместителю директора, ответственному за организацию и осуществление хранения
персональных данных работников.
7.1.3. На определение своих представителей для защиты своих персональных данных.
7.1.4. На доступ к медицинской документации, отражающей состояние их здоровья, с
помощью медицинского работника по их выбору.
7.1.5. Требовать об исключении или исправлении неверных или неполных персональных
данных, а также данных, обработанных с нарушением требований действующего
законодательства. Указанное требование должно быть оформлено письменным
заявлением работника на имя директора школы. При отказе руководителя организации
исключить или исправить персональные данные работника, работник имеет право заявить
в письменном виде руководителю организации, осуществляющей образовательную
деятельность, о своем несогласии, с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить
заявлением, выражающим его собственную точку зрения.
7.1.6. Требовать об извещение организацией всех лиц, которым ранее были сообщены
неверные или неполные персональные данные работника обо всех произведенных в них
исключениях, исправлениях или дополнениях.
7.1.7. Обжаловать в суде любые неправомерные действия или бездействия организации
при обработке и защите его персональных данных.
8. Обязанности субъекта персональных данных по обеспечению достоверности его
персональных данных
8.1. В целях обеспечения достоверности персональных данных работники обязаны:
8.1.1. При приеме на работу в организацию, осуществляющую образовательную
деятельность, представлять уполномоченным работникам достоверные сведения о себе в
порядке и объеме, предусмотренном законодательством Российской Федерации.
8.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес
места жительства, паспортные данные, сведения об образовании, состоянии здоровья
(вследствие выявления в соответствии с медицинским заключением противопоказаний
для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об
этом в течение 5 рабочих дней с даты их изменений.
�9. Меры обеспечения безопасности персональных данных
9.1. К основным мерам обеспечения безопасности персональных данных в МКОУ
«Ихальская СОШ» относятся:
Назначение ответственного за организацию обработки персональных данных. В
обязанности ответственного входит организация обработки персональных данных,
обучение и инструктаж работников, внутренний контроль за соблюдением в МКОУ
«Ихальская СОШ» требований законодательства к защите персональных данных.
Издание политики обработки персональных данных и локальных актов по вопросам
обработки персональных данных.
9.1.1. Ознакомление работников, осуществляющих обработку персональных данных, с
положениями законодательства о персональных данных, в том числе с требованиями к
защите персональных данных, политикой обработки персональных данных и локальными
актами МКОУ «Ихальская СОШ» по вопросам обработки персональных данных.
9.1.2. Определение угроз безопасности персональным данным при их обработке с
использованием средств автоматизации и разработка мер по защите таких персональных
данных.
9.1.3. Установление правил доступа к персональным данным, обрабатываемым с
использованием средств автоматизации, а также регистрация и учет всех действий,
совершаемых с персональными данными в информационных системах, контроль за
принимаемыми мерами по обеспечению безопасности персональных данных и уровня
защищенности информационных систем.
9.1.4. Учет машинных носителей персональных данных.
9.1.5. Проведение мероприятий при обнаружении несанкционированного доступа к
персональным данным, обрабатываемым с использованием средств автоматизации, в том
числе восстановление персональных данных, которые были модифицированы или
уничтожены вследствие несанкционированного доступа к ним.
9.1.6. Оценка вреда, который может быть причинен субъектам персональных данных в
случае нарушения законодательства о персональных данных, оценка соотношения
указанного вреда и принимаемых мер.
9.1.7. Внутренний контроль и (или) аудит соответствия обработки персональных данных
требованиям законодательства.
9.1.8. Публикация политики обработки персональных данных и локальных актов по
вопросам обработки персональных данных на официальном сайте МКОУ «Ихальская
СОШ»
10. Ответственность
10.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту
персональных данных соискателей на вакантные должности, работников, в том числе
бывших, и их родственников, привлекаются к дисциплинарной и материальной
ответственности, а в случаях, установленных законодательством РФ, к гражданскоправовой, административной и уголовной ответственности в порядке, установленном
федеральными законами.
10.2. Моральный вред, причиненный соискателям на вакантные должности, работникам, в
том числе бывшим, и их родственникам вследствие нарушения их прав, нарушения
правил обработки персональных данных, а также несоблюдения требований к защите
персональных данных, подлежит возмещению в порядке и на условиях, предусмотренных
законодательством РФ. Возмещение морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных субъектом персональных данных
убытков.
11. Заключительные положения
11.1. Настоящее Положение о защите персональных данных работников МКОУ
«Ихальская СОШ» является локальным нормативным актом, принимается
�и утверждается (либо вводится в действие) приказом директора МКОУ «Ихальская
СОШ».
11.2. Все изменения и дополнения, вносимые в настоящее Положение, оформляются в
письменной форме в соответствии действующим законодательством Российской
Федерации.
11.3. Положение о защите персональных данных работников МКОУ «Ихальская СОШ»
принимается на неопределенный срок.
11.4. После принятия Положения (или изменений и дополнений отдельных пунктов и
разделов) в новой редакции предыдущая редакция автоматически утрачивает силу.
�Приложение 3 к приказу № 192 от 26.12.2023
Инструкция
по проведению мониторинга информационной безопасности и антивирусного
контроля при обработке персональных данных
в муниципальном казенном общеобразовательном учреждении
« Ихальская средняя общеобразовательная школа»
(МКОУ «Ихальская СОШ»)
1. Общие положения
Данная Инструкции устанавливает порядок планирования и проведения мониторинга
информационной
безопасности
автоматизированных
систем,
обрабатывающих
персональные данные, от несанкционированного доступа, распространения, искажения и
утраты информации школы.
2. Виды мониторинга информационной безопасности
2.1. Мониторинг работоспособности аппаратных компонент автоматизированных
систем, обрабатывающих персональные данные, осуществляется в процессе их
администрирования и при проведении работ по техническому обслуживанию
оборудования. Наиболее существенные компоненты системы, имеющие встроенные
средства контроля работоспособности (серверы, активное сетевое оборудование) должны
контролироваться постоянно в рамках работы администраторов соответствующих систем.
2.2. Мониторинг парольной защиты и контроль надежности пользовательских паролей
предусматривают:
установление сроков действия паролей (не более 3 месяцев);
периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на
количество символов и очевидность с целью выявления слабых паролей, которые
легко угадать или дешифровать с помощью специализированных программных
средств (взломщиков паролей).
2.3. Мониторинг целостности программного обеспечения включает следующие действия:
проверка контрольных сумм и цифровых подписей каталогов и файлов
сертифицированных программных средств при загрузке операционной системы;
обнаружение дубликатов идентификаторов пользователей;
восстановление системных файлов администраторами систем с резервных копий
при несовпадении контрольных сумм.
2.4. Мониторинг попыток несанкционированного доступа
Предупреждение и своевременное выявление попыток несанкционированного доступа
осуществляется с использованием средств операционной системы и специальных
программных средств, и предусматривает:
фиксацию неудачных попыток входа в систему в системном журнале;
протоколирование работы сетевых сервисов;
выявление фактов сканирования определенного диапазона сетевых портов, в
короткие промежутки времени с целью обнаружения сетевых анализаторов,
изучающих систему и выявляющих ее уязвимости.
2.5. Мониторинг производительности автоматизированных систем, обрабатывающих
персональные данные, производится по обращениям пользователей, в ходе
администрирования систем и проведения профилактических работ для выявления
попыток несанкционированного доступа, повлекших существенное уменьшение
производительности систем.
�3. Порядок проведения системного аудита
3.1. Системный аудит производится ежеквартально и в особых ситуациях. Он включает
проведение обзоров безопасности, тестирование системы, контроль внесения изменений в
системное программное обеспечение.
3.2. Обзоры безопасности проводятся с целью проверки соответствия текущего
состояния систем, обрабатывающих персональные данные, тому уровню безопасности,
удовлетворяющему требованиям политики безопасности. Обзоры безопасности имеют
целью выявление всех несоответствий между текущим состоянием системы и состоянием,
соответствующем специально составленному списку для проверки.
Обзоры безопасности должны включать:
отчеты о безопасности пользовательских ресурсов, включающие наличие
повторяющихся пользовательских имен и идентификаторов, неправильных
форматов регистрационных записей, пользователей без пароля, неправильной
установки домашних каталогов пользователей и уязвимостей пользовательских
окружений;
проверку содержимого файлов конфигурации на соответствие списку для
проверки;
обнаружение изменений системных файлов со времени проведения последней
проверки (контроль целостности системных файлов);
проверку прав доступа и других атрибутов системных файлов (команд, утилит и
таблиц);
проверку правильности настройки механизмов аутентификации и авторизации
сетевых сервисов;
проверку корректности конфигурации системных и активных сетевых устройств
(мостов, маршрутизаторов, концентраторов и сетевых экранов).
3.3. Активное тестирование надежности механизмов контроля доступа производится
путем осуществления попыток проникновения в систему (с помощью автоматического
инструментария или вручную).
3.4. Пассивное тестирование механизмов контроля доступа осуществляется путем
анализа конфигурационных файлов системы. Информация об известных уязвимостях
извлекается из документации и внешних источников. Затем осуществляется проверка
конфигурации системы с целью выявления опасных состояний системы, т. е. таких
состояний, в которых могут проявлять себя известные уязвимости. Если система
находится в опасном состоянии, то, с целью нейтрализации уязвимостей, необходимо
либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости),
либо установить программные коррекции, либо установить другие версии программ, в
которых данная уязвимость отсутствует, либо отказаться от использования системного
сервиса, содержащего данную уязвимость.
3.5. Внесение изменений в системное программное обеспечение осуществляется
администраторами систем, обрабатывающих персональные данные, с обязательным
документированием изменений в соответствующем журнале; уведомлением каждого
сотрудника, кого касается изменение; выслушиванием претензий в случае, если это
изменение причинило кому-нибудь вред; разработкой планов действий в аварийных
ситуациях для восстановления работоспособности системы, если внесенное в нее
изменение вывело ее из строя.
4. Порядок антивирусного контроля
4.1. Для защиты серверов и рабочих станций необходимо использовать антивирусные
программы:
резидентные антивирусные мониторы, контролирующие подозрительные действия
программ;
утилиты для обнаружения и анализа новых вирусов.
�4.2. К использованию допускаются только лицензионные средства защиты от
вредоносных программ и вирусов или сертифицированные свободно распространяемые
антивирусные средства.
4.3. При подозрении на наличие невыявленных установленными средствами защиты
заражений следует использовать Live CD с другими антивирусными средствами.
4.4. Установка и настройка средств защиты от вредоносных программ и вирусов на
рабочих станциях и серверах автоматизированных систем, обрабатывающих
персональные данные, осуществляется администраторами соответствующих систем в
соответствии с руководствами по установке приобретенных средств защиты.
4.5.
Устанавливаемое (изменяемое) программное обеспечение должно быть
предварительно проверено администратором системы на отсутствие вредоносных
программ и компьютерных вирусов. Непосредственно после установки (изменения)
программного обеспечения рабочей станции должна быть выполнена антивирусная
проверка.
4.6. Запуск антивирусных программ должен осуществляться автоматически по заданию,
централизованно созданному с использованием планировщика задач (входящим в
поставку операционной системы либо поставляемым вместе с антивирусными
программами).
4.7. Антивирусный контроль рабочих станций должен проводиться ежедневно в
автоматическом режиме. Если проверка всех файлов на дисках рабочих станциях
занимает неприемлемо большое время, то допускается проводить выборочную проверку
загрузочных
областей
дисков,
оперативной
памяти,
критически
важных
инсталлированных файлов операционной системы и загружаемых файлов по сети или с
внешних носителей. В этом случае полная проверка должна осуществляться не реже
одного раза в неделю в период неактивности пользователя. Пользователям рекомендуется
осуществлять полную проверку во время перерыва на обед путем перевода рабочей
станции в соответствующий автоматический режим функционирования в запертом
помещении.
4.8.
Обязательному антивирусному контролю подлежит любая информация
(исполняемые файлы, текстовые файлы любых форматов, файлы данных), получаемая
пользователем по сети или загружаемая со съемных носителей (магнитных дисков,
оптических дисков, флэш-накопителей и т.п.). Контроль информации должен проводиться
антивирусными средствами в процессе или сразу после ее загрузки на рабочую станцию
пользователя. Файлы, помещаемые в электронный архив, должны в обязательном порядке
проходить антивирусный контроль.
4.9. Устанавливаемое (изменяемое) на серверы программное обеспечение должно быть
предварительно проверено администратором системы на отсутствие компьютерных
вирусов и вредоносных программ. Непосредственно после установки (изменения)
программного обеспечения сервера должна быть выполнена антивирусная проверка.
4.10. На серверах систем, обрабатывающих персональные данные, необходимо
применять специальное антивирусное программное обеспечение, позволяющее:
осуществлять антивирусную проверку файлов в момент попытки записи файла на
сервер;
проверять каталоги и файлы по расписанию с учетом нагрузки на сервер.
4.11. На серверах электронной почты необходимо применять антивирусное программное
обеспечение, обеспечивающее проверку всех входящих сообщений. В случае если
проверка входящего сообщения на почтовом сервере показала наличие в нем вируса или
вредоносного кода, отправка данного сообщения должна блокироваться. При этом должно
осуществляться автоматическое оповещение администратора почтового сервера,
отправителя сообщения и адресата.
4.12. Необходимо организовать регулярное обновление антивирусных баз на всех
рабочих станциях и серверах.
4.13. Администраторы систем должны проводить регулярные проверки протоколов
работы антивирусных программ с целью выявления пользователей и каналов, через
�которых распространяются вирусы. При обнаружении зараженных вирусом файлов
администратор системы должен выполнить следующие действия:
отключить от компьютерной сети рабочие станции, представляющие вирусную
опасность, до полного выяснения каналов проникновения вирусов и их
уничтожения;
немедленно сообщить о факте обнаружения вирусов непосредственному
начальнику с указанием предположительного источника (отправителя, владельца и
т.д.) зараженного файла, типа зараженного файла, характера содержащейся в файле
информации, типа вируса и выполненных антивирусных мероприятий
5. Порядок анализа инцидентов
5.1. Если администратор системы, обрабатывающей персональные данные, подозревает
или получил сообщение о том, что его система подвергается атаке или уже была
скомпрометирована, то он должен установить:
факт попытки несанкционированного доступа (НСД);
продолжается ли НСД в настоящий момент;
кто является источником НСД;
что является объектом НСД;
когда происходила попытка НСД;
как и при каких обстоятельствах была предпринята попытка НСД;
точка входа нарушителя в систему;
была ли попытка НСД успешной;
определить системные ресурсы, безопасность которых была нарушена;
какова мотивация попытки НСД.
5.2. Для выявления попытки НСД необходимо установить, какие пользователи в
настоящее время работают в системе, на каких рабочих станциях. Выявить
подозрительную активность пользователей, проверить, что все пользователи вошли в
систему со своих рабочих мест, и никто из них не работает в системе необычно долго.
Кроме того, необходимо проверить, что никто из пользователей не выполняет
подозрительных программ и программ, не относящихся к его области деятельности.
5.3. При анализе системных журналов администратору необходимо произвести
следующие действия:
проверить наличие подозрительных записей системных журналов, сделанных в
период предполагаемой попытки НСД, включая вход в систему пользователей,
которые должны бы были отсутствовать в этот период времени, входы в систему из
неожиданных мест, в необычное время и на короткий период времени;
проверить не уничтожен ли системный журнал и нет ли в нем пробелов;
просмотреть списки команд, выполненных пользователями в рассматриваемый
период времени;
проверить наличие исходящих сообщений электронной почты, адресованные
подозрительным хостам;
проверить наличие мест в журналах, которые выглядят необычно;
выявить попытки получить полномочия суперпользователя или другого
привилегированного пользователя;
выявить наличие неудачных попыток входа в систему.
5.4.
В ходе анализа журналов активного сетевого оборудования (мостов,
переключателей, маршрутизаторов, шлюзов) необходимо:
проверить наличие подозрительных записей системных журналов, сделанных в
период предполагаемой попытки НСД;
проверить не уничтожен ли системный журнал и нет ли в нем пробелов;
проверить наличие мест в журналах, которые выглядят необычно;
выявить попытки изменения таблиц маршрутизации и адресных таблиц;
�
проверить конфигурацию сетевых устройств с целью определения возможности
нахождения в системе программы, просматривающей весь сетевой трафик.
5.5. Для обнаружения в системе следов, оставленных злоумышленником, в виде файлов,
вирусов, троянских программ, изменения системной конфигурации необходимо:
составить базовую схему того, как обычно выглядит система;
провести поиск подозрительных файлов, скрытые файлы, имена файлов и
каталогов, которые обычно используются злоумышленниками;
проверить содержимое системных файлов, которые обычно изменяются
злоумышленниками;
проверить целостность системных программ;
проверить систему аутентификации и авторизации.
5.6. В случае заражения значительного количества рабочих станций после устранения его
последствий проводится системный аудит.
�Приложение 4 к приказу № 192 от 26.12.2023
Положение
о защите и обработке персональных данных обучающихся и третьих лиц
муниципального казенного общеобразовательного учреждения
«Ихальская средняя общеобразовательная школа»
(МКОУ «Ихальская СОШ»)
1. Общие положения
1.1. Настоящее Положение о разработано на основании статьи 24 Конституции РФ, Закона
«Об информации, информационных технологиях и о защите информации» № 149-ФЗ от
27.07.2006 г. (в редакции от 02.07.2021 г.) и Федерального закона РФ «О персональных
данных» № 152-ФЗ от 27.07.2006 г. (в редакции от 02.07.2021 г), Федерального закона от
14.07. 2022 № 266 ФЗ «О внесении изменений в Федеральный закон «О персональных
данных», Федерального закона РФ от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в
отдельные законодательные акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационно-телекоммуникационных сетях» (с
изменениями от 31 декабря 2014 года).
1.2. Настоящее Положение определяет порядок работы с персональными данными
МКОУ «Ихальская СОШ» (получения, обработки, использования, хранения и т.д.)
обучающихся, их родителей (законных представителей) и иных третьих лиц, а также
гарантии конфиденциальности личной информации, которую обучающиеся, родители
(законные представители) и иные третьи лица предоставляют администрации МКОУ
«Ихальская СОШ».
1.3. Персональные данные относятся к категории конфиденциальной информации.
1.4.Все работники МКОУ «Ихальская СОШ» в соответствии со своими полномочиями
владеющие информацией об обучающихся, получающие и использующие её, несут
ответственность в соответствии с законодательством Российской Федерации за нарушение
режима защиты, обработки и порядка использования этой информации.
1.5.Целью Положения является защита персональных данных учащихся, родителей
(законных представителей) и иных третьих лиц от неправомерного или случайного доступа,
уничтожения, изменения, блокирования, копирования, распространения и иных
неправомерных действий.
2. Основные понятия, используемые в Положении.
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Персональные данные, разрешенные субъектом персональных данных для
распространения – это персональные данные, доступ неограниченного круга лиц к
которым предоставлен субъектом персональных данных путем дачи согласия на обработку
персональных данных, разрешенных субъектом персональных данных
для
распространения.
2.3. Обработка персональных данных — любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных — обработка персональных
данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных — действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
�2.6. Предоставление персональных данных — действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных — временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных).
2.8. Уничтожение персональных данных — действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных.
2.9. Обезличивание персональных данных — действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных — совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств.
2.11. Общедоступные данные — сведения общего характера и иная информация, доступ к
которой не ограничен.
3.Перечень обрабатываемых персональных данных
3.1. МКОУ «Ихальская СОШ» обрабатывает следующиеперсональные данные учащихся:
а) фамилия, имя, отчество (при наличии);
б) дата и место рождения;
в) адрес местожительства;
г) сведения из документов:
свидетельства о рождении, паспорта;
свидетельства о регистрации;
документа, подтверждающего родство учащегося с родителями (законными
представителями);
документа, подтверждающего право на пребывание на территории РФ;
заключения и других рекомендаций психолого-медико-педагогической комиссии;
медицинского заключения о принадлежности к медицинской группе для занятий
физической культурой;
медицинского заключения о характере полученных повреждений здоровья в результате
несчастного случая и степени их тяжести, а также о возможном
нахождении пострадавшего в состоянии алкогольного, наркотического или токсического
опьянения, заключения о причине смерти;
иных медицинских заключений;
информированных согласий на медосмотр;
карты профилактического медицинского осмотра несовершеннолетнего (учетная форма
№ 030-ПО/у-17);
аттестата;
документов, содержащих информацию об успеваемости (в том числе выписки из классного
журнала с текущими отметками и результатами промежуточной аттестации).
3.2. Персональные данные учащихся содержатся в их личных делах в виде копий
документов.
3.3. МКОУ «Ихальская СОШ» обрабатывает следующие персональные данные родителей
(законных представителей) учащихся:
а) фамилия, имя, отчество (при наличии);
б) адрес местожительства;
в) контактные телефоны;
г) сведения из документов:
паспорта или другого документа, удостоверяющего личность;
� документов для предоставления льгот (удостоверение многодетной семьи, документа о
признании инвалидом).
3.4. Персональные данные родителей (законных представителей) содержатся в личных
делах учащихся в виде копий документов.
3.5. МКОУ «Ихальская СОШ» обрабатывает следующие персональные данные
физических лиц по договорам, физических лиц, указанных в заявлениях (согласиях,
доверенностях и т. п.) учащихся или родителей (законных представителей)
несовершеннолетних учащихся:
а) фамилия, имя, отчество (при наличии);
б) адрес местожительства;
в) контактные телефоны;
г) сведения из документов:
паспорта или другого документа, удостоверяющего личность;
диплома или иного документа об образовании;
трудовой книжки.
Персональные данные третьих лиц содержатся в документах, которые представили
физические лица, заключившие с «Ихальская СОШ» договор, и в документах, которые
подписали (выдали) учащиеся или родители (законные представители).
3.6. Данные документы являются конфиденциальными, хотя, учитывая их массовость и
единое место обработки и хранения, соответствующий гриф ограничения на них не
ставится. Режим конфиденциальности персональных данных снимается в случаях
обезличивания или по истечении 75-летнего срока хранения, если иное не определено
законом.
3.7. МКОУ «Ихальская СОШ» определяет объем, содержание обрабатываемых
персональных данных обучающихся, руководствуясь Конституцией Российской
Федерации, данным Положением, Уставом школы и иными федеральнымизаконами.
3. Общие требования при обработке, сборе и хранении персональных данных и
гарантии их защиты
3.1. Сбор персональных данных учащихся, родителей (законных представителей)
осуществляет директор (заместитель директора, старший воспитатель) МКОУ «Ихальская
СОШ» во время приема документов на обучение.
3.2.Сбор данных физических лиц по договорам осуществляет директор (заместитель
директора, старший воспитатель) МКОУ «Ихальская СОШ» при оформлении договоров.
3.2. Сбор данных третьих лиц, указанных в заявлениях (согласиях, доверенностях и т. п.)
учащихся или родителей (законных представителей) несовершеннолетних учащихся,
осуществляет директор (заместитель директора, старший воспитатель) МКОУ «Ихальская
СОШ» при оформлении или приеме документов.
3.3. Принимающий документы вправе принять персональные данные учащихся, родителей
(законных представителей) учащихся только у этих лиц лично. Сбор персональных данных
у несовершеннолетнего учащегося возможен только по достижении учащимся 14 лет с
согласия его родителей (законных представителей). Специалист по кадрам вправе принять
документы и сведения, которые содержат персональные данные третьих лиц, только у
таких лиц.
3.4. МКОУ «Ихальская СОШ» вправе делать запрос в медицинскую организацию и
обрабатывать персональные данные учащихся при расследовании несчастного случая, если
это требуется для работы комиссии. Результаты расследования вместе с медицинскими
заключениями хранятся в отдельных папках в специальном шкафу, доступ к которому
имеют только члены комиссии.
3.5. Обработка персональных данных учащихся ведется исключительно в целях реализации
их прав на получение образования в рамках осваиваемых образовательных программ и с
согласия на обработку персональных данных.
�3.6. Обработка персональных данных родителей (законных представителей) учащихся
ведется исключительно в целях реализации прав родителей (законных представителей) при
реализации МКОУ «Ихальская СОШ» прав учащихся на получение образования в рамках
осваиваемых образовательных программ и с согласия на обработку персональных данных.
3.7. Обработка персональных данных физических лиц по договорам ведется исключительно
в целях исполнения договора, стороной которого, выгодоприобретателем или поручителем
по которому является такое физическое лицо, а также для заключения договора по
инициативе физического лица или договора, по которому физическое лицо будет
выгодоприобретателем или поручителем. Получение согласия в данном случае не
требуется. Обработка персональных данных третьих лиц, указанных в заявлениях
(согласиях, доверенностях и т. п.) учащихся или родителей (законных представителей)
несовершеннолетних учащихся, ведется исключительно в целях реализации прав родителей
(законных представителей) при реализации МКОУ «Ихальская СОШ» прав учащихся на
получение образования и с согласия третьих лиц на обработку.
3.8. Личные дела учащихся хранятся в контролируемом (закрытом) помещении МКОУ
«Ихальская СОШ» в бумажном виде в папках в специальном шкафу, который
обеспечивает защиту от несанкционированного доступа. В личных делах учащихся
хранятся персональные данные учащихся и их родителей (законных представителей).
3.9. Договоры, содержащие персональные данные третьих лиц, хранятся в бухгалтерии
МКОУ «Ихальская СОШ» в бумажном виде в папках в специальном шкафу, который
обеспечивает защиту от несанкционированного доступа (бухгалтерское обслуживание
осуществляется по договору) .
3.10. Заявления (согласия, доверенности и т. п.) учащихся и родителей (законных
представителей) несовершеннолетних учащихся, содержащие персональные данные
третьих лиц, хранятся в контролируемом (закрытом) помещении МКОУ «Ихальская СОШ»
в бумажном виде в папках в специальном шкафу, который обеспечивает защиту от
несанкционированного доступа.
3.11. МКОУ «Ихальская СОШ» ведет журнал учета посетителей, в котором ответственные
лица фиксируют персональные данные посетителей: фамилию, имя, отчество (при наличии),
сведения из документа, удостоверяющего личность. Перечень лиц, ответственных за
ведение журнала, утверждается приказом директора МКОУ «Ихальская СОШ».
Копирование информации журнала и передача ее третьим лицам не допускается, за
исключением случаев, предусмотренных законодательством РФ.
3.12. Личные дела, журналы и иные документы, содержащие персональные данные,
подлежат хранению и уничтожению в сроки и в порядке, предусмотренные номенклатурой
дел и архивным законодательством РФ.
4. Права и обязанности обучающихся, достигших 14-летнего возраста и родителей или
законных представителей обучающихся, не достигших 14-летнего возраста в области
защиты персональных данных
4.1. Обучающиеся школы, достигшие 14-летнего возраста, и родители или законные
представители обучающихся, не достигших 14-летнего возраста, обязаны:
4.1.1. Передавать
директору
МКОУ
«Ихальская
СОШ»,
осуществляющей
образовательную деятельность, его заместителям, классным руководителям, специалисту
по кадрам, медицинским работникам, секретарю школы, оператору достоверные сведения о
себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
4.1.2. В случае изменения персональных данных: фамилия, имя, отчество, адрес места
жительства, паспортные данные, состоянии здоровья сообщать классному руководителю об
этом в течение 5 рабочих дней с даты их изменений.
4.2. Обучающиеся школы, достигшие 14-летнего возраста, и родители или законные
представители обучающихся, не достигших 14-летнего возраста, имеют право на:
�4.2.1. Полную информацию о своих персональных данных и обработке этих данных.
4.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на
получение копии любой записи, содержащей персональные данные обучающегося, за
исключением случаев, предусмотренных федеральными законами. Получение указанной
информации о своих персональных данных возможно при личном обращении обучающегося
(его родителя или представителя), – к классному руководителю, а после - к заместителю
директора, ответственному за организацию и осуществление хранения персональных данных
обучающихся.
4.2.3. Обжалование в суде любых неправомерных действия при обработке и по защите
персональных данных.
5. Доступ к персональным данным
5.1. Доступ к персональным данным учащегося, родителей (законного представителя)
имеют:
директор – в полном объеме;
заместитель директора по учебно-воспитательной работе – в полном объеме;
старший воспитатель – в полном объеме;
классные руководители – в объеме данных, которые необходимы для выполнения
функций классного руководителя: фамилия, имя, отчество (при наличии) учащегося;
фамилия, имя, отчество (при наличии) родителей учащегося, адрес местожительства,
контактные телефоны, рекомендации психолого-медико-педагогической комиссии;
фамилия, имя, отчество (при наличии) и контактные телефоны третьих лиц, которым
родители (законные представители) передали часть своих полномочий;
социальный педагог – в объеме данных, которые необходимы для выполнения
мероприятий по воспитанию, обучению, развитию и социальной защите учащегося;
педагог-психолог, логопед – в объеме данных, которые нужны для диагностической,
психокоррекционной, реабилитационной работы с учащимся, оказания консультативной
помощи учащемуся, его родителям (законным представителям) и педагогическим
работникам МКОУ «Ихальская СОШ».
5.2.Доступ к персональным данным третьих лиц по договорам имеют:
директор – в полном объеме;
старший воспитатель – в полном объеме;
бухгалтер – в полном объеме.
5.3. Доступ к персональным данным третьих лиц, на которых оформлены заявления
(согласия, доверенности и т. п.) и которые зафиксированы в журнале учета посетителей,
имеют:
директор – в полном объеме;
заместитель директора – в полном объеме;
старший воспитатель – в полном объеме;
лица, ответственные за ведение журнала, в объеме данных, которые необходимы для
обеспечения безопасности МКОУ «Ихальска СОШ»: фамилия, имя, отчество (при наличии)
посетителя; данные документа, удостоверяющего личность.
5.4. Перечень лиц, допущенных к обработке персональных данных, утверждается приказом
директора МКОУ «Ихальская СОШ».
5.5.Сведения об обучающемся могут быть предоставлены (только с письменного запроса
на бланке организации):
• Управлению образования;
• Администрации Лахденпохского муниципального района;
• Военному комиссариату;
• Центру занятости населения;
• Надзорно-контрольным органам, которые имеют доступ к информации только в
сфере своей компетенции;
�•
Медицинским учреждениям, которые имеют доступ к информации только в сфере
своей компетенции и т. д.
5.6. Персональные данные обучающегося могут быть предоставлены родственникам с
письменного разрешения родителей или законных представителей обучающихся, не
достигших 14-летнего возраста или письменного разрешения обучающегося, достигшего 14летнего возраста.
6. Передача персональных данных
6.1. Работники МКОУ «Ихальская СОШ», имеющие доступ к персональным данным
учащихся, родителей (законных представителей) учащихся и третьих лиц, при передаче
этих данных должны соблюдать следующие требования:
6.2. Не передавать персональные данные без письменного согласия субъекта персональных
данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы
жизни и здоровью учащихся, если получить такое согласие невозможно, для
статистических или исследовательских целей (при обезличивании), а также в других
случаях, напрямую предусмотренных федеральными законами.
6.3. Предупреждать лиц, которым переданы персональные данные учащихся, родителей
(законных представителей) учащихся, третьих лиц, о том, что эти данные могут быть
использованы лишь в целях, для которых они сообщены субъектами персональных данных.
7. Меры обеспечения безопасности персональных данных
7.1. К основным мерам обеспечения безопасности персональных данных в МКОУ
«Ихальская СОШ»:
7.1.1. Назначение ответственного за организацию обработки персональных данных. В
обязанности ответственного входит организация обработки персональных данных,
обучение и инструктаж работников, внутренний контроль за соблюдением в МКОУ
«Ихальская СОШ» требований законодательства к защите персональных данных.
7.1.2. Издание политики обработки персональных данных и локальных актов по вопросам
обработки персональных данных.
7.1.3. Ознакомление работников, осуществляющих обработку персональных данных, с
положениями законодательства о персональных данных, в том числе с требованиями к
защите персональных данных, политикой обработки персональных данных и локальными
актами МКОУ «Ихальская СОШ» по вопросам обработки персональных данных.
7.1.4. Определение угроз безопасности персональным данным при их обработке с
использованием средств автоматизации и разработка мер по защите таких персональных
данных.
7.1.5. Установление правил доступа к персональным данным, обрабатываемым с
использованием средств автоматизации, а также регистрация и учет всех действий,
совершаемых с персональными данными в информационных системах, контроль за
принимаемыми мерами по обеспечению безопасности персональных данных и уровня
защищенности информационных систем.
7.1.6. Учет машинных носителей персональных данных.
7.1.7. Проведение мероприятий при обнаружении несанкционированного доступа к
персональным данным, обрабатываемым с использованием средств автоматизации, в том
числе восстановление персональных данных, которые были модифицированы или
уничтожены вследствие несанкционированного доступа к ним.
7.1.8. Оценка вреда, который может быть причинен субъектам персональных данных в
случае нарушения законодательства о персональных данных, оценка соотношения
указанного вреда и принимаемых мер.
7.1.9. Внутренний контроль и (или) аудит соответствия обработки персональных данных
требованиям законодательства.
�7.1.10. Публикация политики обработки персональных данных и локальных актов по
вопросам обработки персональных данных на официальном сайте МКОУ «Ихальская
СОШ».
8. Ответственность
за
персональных данных.
нарушение
норм,
регулирующих
обработку
и
защиту
8.1. Защита прав обучающегося, установленных настоящим Положением и
законодательством Российской Федерации, осуществляется судом в целях пресечения
неправомерного использования персональных данных обучающегося, восстановления
нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
8.2. Лица, виновные в нарушении положений законодательства Российской Федерации в
области персональных данных при обработке персональных данных обучающегося,
привлекаются к дисциплинарной и материальной ответственности в порядке,
установленном Трудовым Кодексом и иными федеральными законами, а также
привлекаются к гражданско-правовой, административной и уголовной ответственности в
порядке, установленном федеральными законами.
9.3. Персональная ответственность — одно из главных требований к организации
функционирования системы защиты персональной информации и обязательное условие
обеспечения эффективности этой системы.
9.4. За нарушение правил хранения и использования персональных данных, повлекшее за
собой материальный ущерб общеобразовательной организации, работник несет
материальную ответственность в соответствии с действующим трудовым законодательством.
9.5. Материальный ущерб, нанесенный субъекту персональных данных за счет
ненадлежащего хранения и использования персональных данных, подлежит возмещению в
порядке, установленном действующим законодательством.
9.6. Моральный вред, причиненный субъекту персональных данных вследствие нарушения
его прав, нарушения правил обработки персональных данных, установленных настоящим
Федеральным законом, а также требований к защите персональных данных, установленных в
соответствии с Федеральным законом № 152-ФЗ «О персональных данных», подлежит
возмещению в соответствии с законодательством Российской Федерации. Возмещение
морального вреда осуществляется независимо от возмещения имущественного вреда и
понесенных субъектом персональных данных убытков.
9. Заключительные положения
9.1. Настоящее Положение утверждается (либо вводится в действие) приказом директора
МКОУ «Ихальская СОШ»
9.2. Все изменения и дополнения, вносимые в настоящее Положение, оформляются в
письменной форме в соответствии действующим законодательством Российской Федерации.
9.3. Положение принимается на неопределенный срок. Изменения и дополнения к
Положению принимаются в порядке, предусмотренном п.9.1. настоящего Положения.
9.4. После принятия Положения (или изменений и дополнений отдельных пунктов и
разделов) в новой редакции предыдущая редакция автоматически утрачивает силу.
�Приложение 5 к приказу № 192 от 26.12.2022
Порядок уничтожения и обезличивания персональных данных
муниципального казенного общеобразовательного учреждения
«Ихальская средняя общеобразовательная школа»
(МКОУ «Ихальская СОШ»)
1. Общие положения
1.1. Порядок уничтожения персональных данных в МКОУ «Ихальская СОШ» (далее –
Порядок) устанавливает способы уничтожения и обезличивания носителей, содержащих
персональные данные субъектов персональных данных, а также лиц, уполномоченных
проводить эти процедуры.
1.2. Настоящий Порядок разработан на основе Федерального закона от 27.07.2006 № 149ФЗ «Об информации, информационных технологиях и о защите информации»,
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального
закона от 14.07. 2022 № 266 ФЗ «О внесении изменений в Федеральный закон «О
персональных данных».
2. Правила уничтожения носителей, содержащих персональные данные
2.1. Уничтожение носителей, содержащих персональные данные субъектов персональных
данных, должно соответствовать следующим правилам:
– быть конфиденциальным, исключая возможность последующего восстановления;
– оформляться юридически, в частности, актом о выделении к уничтожению носителей,
содержащих персональные данные субъектов персональных данных (Приложение № 1), и
актом об уничтожении носителей, содержащих персональные данные субъектов
персональных данных (Приложение № 2);
– должно проводиться комиссией по уничтожению персональных данных; – уничтожение
должно касаться только тех носителей, содержащих персональные данные субъектов
персональных данных, которые подлежат уничтожению в связи с истечением срока
хранения, достижением цели обработки указанных персональных данных либо утратой
необходимости в их достижении, не допуская случайного или преднамеренного
уничтожения актуальных носителей.
3. Порядок уничтожения носителей, содержащих персональные данные
3.1. Персональные данные субъектов персональных данных хранятся не дольше, чем этого
требуют цели их обработки, и подлежат уничтожению по истечении срока хранения,
достижении целей обработки или в случае утраты необходимости в их достижении, а
также в иных случаях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О
персональных данных».
3.2. Носители, содержащие персональные данные субъектов персональных данных,
уничтожаются комиссией по уничтожению персональных данных, утвержденной
�приказом директора МКОУ «Ихальская СОШ» (далее –Комиссия).
3.3. Носители, содержащие персональные данные субъектов персональных данных,
уничтожаются Комиссией в сроки, установленные Федеральным законом от 27.07.2006 №
152-ФЗ «О персональных данных».
3.4. Комиссия производит отбор носителей персональных данных, подлежащих
уничтожению, с указанием оснований для уничтожения.
3.5. На все отобранные к уничтожению материалы составляется акт по форме,
приведенной в Приложении № 1 к Порядку. В акте исправления не допускаются.
Комиссия проверяет наличие всех материалов, включенных в акт.
3.6. По окончании сверки акт подписывается всеми членами Комиссии и утверждается
ответственным за организацию обработки персональных данных.
3.7. Уничтожение носителей, содержащих персональные данные субъектов персональных
данных, производится в присутствии всех членов Комиссии, которые несут персональную
ответственность за правильность и полноту уничтожения перечисленных в акте
носителей.
3.8. Уничтожение персональных данных, если это допускается материальным носителем,
может производиться способом, исключающим дальнейшую обработку этих
персональных данных с сохранением возможности обработки иных данных,
зафиксированных на материальном носителе.
3.9. Уничтожение носителей, содержащих персональные данные, осуществляется в
следующем порядке: – уничтожение персональных данных, содержащихся на бумажных
носителях, осуществляется путем измельчения на мелкие части, исключающие
возможность последующего восстановления информации. – хранящихся на ПЭВМ и (или)
на перезаписываемых съемных машинных носителях информации, используемых для
хранения информации вне ПЭВМ (флеш-накопителях, внешних жестких дисках, CDдисках и иных устройствах), производится с использованием штатных средств
информационных и операционных систем; – уничтожение персональных данных,
содержащихся на машиночитаемых носителях, которые невозможно уничтожить с
помощью штатных средств информационных и операционных систем, производится
путем нанесения носителям неустранимого физического повреждения, исключающего
возможность их использования, а также восстановления данных, в том числе путем
деформирования, нарушения единой целостности носителя.
4. Порядок оформления документов об уничтожении персональных данных
4.1. Об уничтожении носителей, содержащих персональные данные, Комиссия составляет
и подписывает акт об уничтожении носителей, содержащих персональные данные
субъектов персональных данных, по форме, приведенной в Приложении № 2 к Порядку.
4.2. Акт об уничтожении носителей, содержащих персональные данные субъектов
персональных данных, утверждается директором МКОУ «Ихальская СОШ».
�4.3. Акт о выделении документов, содержащих персональные данные субъектов
персональных данных, к уничтожению и акт об уничтожении носителей, содержащих
персональные данные субъектов персональных данных, хранятся у ответственного за
организацию обработки персональных данных в течение срока хранения,
предусмотренного номенклатурой дел, затем акты передаются в архив МКОУ «Ихальская
СОШ».
5. Порядок обезличивания персональных данных
5.1. В случае невозможности уничтожения персональных данных они подлежат
обезличиванию, в том числе для статистических и иных исследовательских целей.
5.2. Способы обезличивания при условии дальнейшей обработки персональных данных: –
замена части данных идентификаторами; – обобщение, изменение или удаление части
данных; – деление данных на части и обработка в разных информационных системах; –
перемешивание данных.
5.3. Ответственным за обезличивание персональных данных является работник,
ответственный за организацию обработки персональных данных.
5.4. Решение о необходимости обезличивания персональных данных и способе
обезличивания принимает ответственный за организацию обработки персональных
данных.
5.5. Обезличенные персональные данные не подлежат разглашению и нарушению
конфиденциальности.
5.6. Обезличенные персональные данные могут обрабатываться с использованием и без
использования средств автоматизации.
5.7. При использовании процедуры обезличивания не допускается совместное хранение
персональных данных и обезличенных данных.
5.8. В процессе обработки обезличенных данных в случаях, установленных
законодательством Российской Федерации, может производиться деобезличивание. После
обработки персональные данные, полученные в результате такого деобезличивания,
уничтожаются.
�Приложение 1
УТВЕРЖДЕНО:
Директор МКОУ «Ихальская СОШ»
/______________/
Приказ №
от .....................202 г.
АКТ
.
.20
№
о выделении к уничтожению носителей, содержащих персональные данные
субъектов персональных данных
На основании требований законодательства Российской Федерации о персональных
данных и локальных нормативных актов МКОУ «Ихальская СОШ» комиссия по
уничтожению персональных данных отобрала к уничтожению носители,
содержащие персональные данные:
№ Заголовок
п/п дела
Носитель Номер
описи
Номер
ед. хр.
по
описи
Количество Сроки
ед. хр.
хранения
и номера
статей по
перечню
Примечание
1
3
5
6
8
(групповой
заголовок
документов)
2
4
7
�Приложение 2
УТВЕРЖДЕНО:
Директор МКОУ «Ихальская СОШ»
Утверждаю
/_________________/
_______________
(должность)
Приказ №
от .....................
202 г.
____________ / ____________
"__" ______________ 20__ года
Акт об уничтожении персональных данных №
г.
"
"
20
года
Комиссия в составе председателя,
_ (должность, ФИО), и членов,
(должности, ФИО), наделенная полномочиями
(наименование документа)
(должность, ФИО) №
20 года, составила настоящий акт о нижеследующем.
от " "
" "
20 года в соответствии с положениями Федерального закона от 27.07.2006
№152-ФЗ "О персональных данных" комиссией было произведено уничтожение персональных
данных
(категория лиц). Данные находились на бумажных носителях,
хранящихся в
(наименование оператора персональных данных).
№ п/п
Наименование носителя
Уничтожение информации произведено
полное уничтожение персональных данных.
(способ уничтожения), гарантирующим
Основания для уничтожения персональных данных:
Подписи
Председатель комиссии:
Члены комиссии:
/
/
/
Пояснения
.
��
