Политика конфиденциальности

1. 1. Назначение

1.1. Настоящий документ определяет политику МБДОУ «Детский сад №34» (далее – Оператор) в отношении обработки персональных данных (далее – ПДн).

1.2. Настоящая политика в области обработки и защиты ПДн (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года (с изменениями от 30.12.2020) и действует в отношении всех персональных данных, обрабатываемых Оператором.

1.3. Целью настоящей Политики является защита интересов Оператора, субъектов ПДн обрабатываемых Оператором, а также выполнение законодательства Российской Федерации о персональных данных.

1.4. Политика распространяется на Данные, полученные как до, так и после подписания настоящей Политики.

2. 2. Общие положения

 2.1. В целях гарантированного выполнения норм федерального законодательства Оператор считает важнейшей задачей соблюдение принципов законности, целостности и конфиденциальности при обработке ПДн, а также обеспечение безопасности процессов их обработки.

2.2. Политика характеризуется следующими признаками: 2.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПДн субъектов персональных данных.

2.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке. 2.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

2.3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на подразделения (отделы, отделения), принимающие участие в указанных процессах.

3. 3. Информация об операторе

Наименование: Муниципальное бюджетное дошкольное образовательное учреждение города Кургана «Детский сад комбинированного вида № 34 «Филиппок».

Краткое наименование: МБДОУ «Детский сад №34».

ИНН/КПП: 4501035065/450101001

Фактический адрес: 640015, г. Курган, ул. Урожайная, 147а

e-mail: filippok34@yandex.ru ___________________

В реестре операторов персональных данных под регистрационным номером _____

4. 4. Правовые основания обработки персональных данных

4.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

4.1.1. Конституция Российской Федерации.

4.1.2. Трудовой кодекс Российской Федерации.

4.1.3. Гражданский кодекс Российской Федерации.

4.1.4. Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

4.1.5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями от 30.12.2020г.).

4.1.6. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 4.1.7. Федеральным законом РФ от 29.12.2012 г. № 273-ФЗ "Об образовании в Российской Федерации".

4.1.7. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.1.8. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

4.1.9. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, №149/6/6-622, 2008).

4.1.10. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/5- 144, 2008).

4.1.11. Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом директора ФСТЭК России №58 от 05.02.2010).

4.1.12. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 14.02.2008 заместителем директора ФСТЭК России).

4.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:

4.2.1. Положение об обработке и защите персональных данных

4.2.2. Приказ об утверждении перечня информационных систем персональных данных.

4.2.3. Перечень персональных данных, обрабатываемых в информационных системах персональных данных.

4.2.4. Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

4.2.5. Акт определения уровня защищенности информационной системы персональных данных МБДОУ «Детский сад № 34».

4.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

4.2.7. Приказ об утверждении мест хранения материальных носителей ПДн.

4.2.8. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в информационных системах персональных данных, для выполнения служебных (трудовых) обязанностей.

4.2.9. Инструкции пользователя информационных систем персональных данных.

4.2.10. Другие внутренние организационно - распорядительные документы, определяющие политику Оператора в области обработки и защиты персональных данных.

5. 5. Цели обработки персональных данных.

 Оператор в смешанной обработке обрабатывает персональные данные исключительно в следующих целях:

5.1.Обеспечение исполнения трудовых отношений между работником и работодателем.

5.2.Обучение воспитанников в рамках программы дошкольного образования РФ, оказания дополнительных образовательных услуг, а также для физического, морального и творческого развития воспитанников.

5.3.Обеспечение исполнения договора гражданско-правового характера с физическими лицами, оказывающими услуги оператору.

5.4.Повышения качества образования в организации. Рассмотрение жалоб, обращений и (или) предложений физических лиц, написавших сообщения на официальном сайте Оператора, или подавших письменное обращение в адрес оператора.

6. 6. Категории обрабатываемых персональных данных

6.1. В смешанной обработке у Оператора обрабатываются следующие категории ПДн:

6.1.1. Работников - субъекты состоящих в трудовых отношениях с оператором (работодателем).

6.1.2. Близких родственников работников – субъекты, являющиеся иждивенцами работников оператора;

6.1.3. Воспитанников и их родителей (законных представителей) - субъекты состоящих в образовательных отношениях с Учреждением.

6.1.4. Близких родственников воспитанников и их родителей (законных представителей) – субъекты, являющиеся близкими родственниками воспитанников и их родителей (законных представителей) в соответствии с Семейным кодексом Российской Федерации.

6.1.5. Физических лиц, оказывающих услуги оператору по гражданскоправовому договору – субъекты, оказывающие оператору по гражданско-правовому договору.

6.1.6. Физических лиц, подавшие жалобы, обращения и (или) предложения в адрес Оператора – субъекты, подавшие в адрес оператора жалобы, обращения и (или) предложения в соответствии с Федеральным законом РФ от 02 мая 2006 года № 59-ФЗ.

7. 7. Принципы обработки персональных данных

7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».

7.2. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

7.3. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

7.3.1 Обработка персональных данных осуществляется на законной и справедливой основе;

7.3.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

7.3.3 Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

7.3.4 Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

7.3.5 При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

7.3.6 Сроки хранения персональных данных установлены нормами Российского Федерального законодательства.

8. 8. Сведения о третьих лицах, участвующих в обработке персональных данных

8.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

- Муниципальное бюджетное учреждение города Кургана «Курганский городской инновационно-методический центр» (г. Курган, ул. Гоголя, д.103-А).

 -Центр бухгалтерского учета детских садов № 3 (г. Курган, ул. К.Мяготина д.134).

- Отделение пенсионного фонда России по Курганской области (г. Курган, ул. 4-я Больничная, 10).

- Государственное бюджетное учреждение «Курганская поликлиника № 1» (г. Курган, ул. Невежина, 5).

 - Государственное автономное образовательное учреждение второго профессионального образования «Институт развития образования и социальных технологий» (г. Курган, ул. Пичугина, д. 38).

-  Государственное бюджетное учреждение «Курганский областной наркологический диспансер» (г. Курган, ул. Кирова, 78).

 - Государственного казенного учреждения «Курганская областная психоневрологическая больница» (г. Курган, ул. Ленина, 27).

 - ФБУЗ «Центр гигиены и эпидемиологии в Курганской области» – (г. Курган, ул. Максима Горького, д. 170).

 - Департамент социальной политики Администрации города Кургана (г. Курган, ул. Куйбышева, 111).

 - ГБУ «Курганская детская поликлиника» (г. Курган, ул. К. Мяготина 114).

 - ГКУ «УСЗН № 1» (г. Курган, ул. Володарского № 38).

9. 9. Меры по обеспечению безопасности персональных данных при их обработке

 9.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

9.1.1. Назначением ответственных за организацию обработки персональных данных.

9.1.2. Осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

9.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников.

9.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

9.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, в частности, применением средств криптографической защиты информации Крипто Про CSP.

9.1.6. Учетом машинных носителей персональных данных.

9.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

9.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

9.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

9.1.10. Контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

9.1.11. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

9.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении об обеспечении безопасности персональных данных» и локально утверждённых специальных инструкциях.

10. Права субъектов персональных данных

10.1. В соответствии с №152-ФЗ «О персональных данных» субъект персональных данных имеет право:

10.1.1. Получить сведения касающиеся обработки ПДн оператором, а именно:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-  сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»;

- информацию об осуществленной или предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные № 152-ФЗ «О персональных данных» или другими федеральными законами.

10.1.2. Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

10.1.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

10.1.4. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

10.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.

10.3. Для реализации своих прав (см. пп. 10.1.1–10.1.4.) и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

10.4. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.2).

10.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

11. Контроль и надзор за обработкой персональных данных

 11.1. Внутренними организационно-распорядительными документами назначены Ответственные за организацию обработки персональных данных в МБДОУ «Детский сад №34».

11.2. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

11.3. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

12. Заключительные положения

 12.1. Оператор имеет право вносить изменения в настоящую Политику.

12.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.