МКДОУ «Центр развития ребенка – детский сад №9»

Положение об обработке персональных данных для интернет-сайта

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке персональных данных для интернет-сайта (далее – Положение) является локальным нормативным актом и разработано для муниципального казённого дошкольного образовательного учреждения «Центр развития ребёнка – детский сад №9» Бутурлиновского муниципального района Воронежской области (далее – Организация).

1.2. Настоящим Положением устанавливается порядок обработки персональных данных пользователей сайта http://butds9.ru Организации (далее – Оператор), и обеспечивается соблюдение требований защиты прав граждан при обработке персональных данных.

1.3. Настоящее Положение утверждено приказом заведующего Организации и действует до его отмены или до его замены иным аналогичным внутренним документом.

1.4. Настоящее Положение является обязательным для исполнения всеми сотрудниками Организации, имеющими доступ к персональным данным пользователей.

1.5. Целью создания настоящего сайта Организации является предоставление физическим и юридическим лицам (пользователям) необходимых сведений о деятельности Организации и информирование об образовательной деятельности и услугах, предоставляемых Организацией. Сведения на сайте в большей степени носят информационный характер.

1.6. Все содержимое сайта является собственностью Организации и защищено действующим законодательством, регулирующим вопросы авторского права. В связи с чем, пользователи сайта могут использовать его содержание в личных и некоммерческих целях. Использование содержания сайта в иных случаях не допускается.

1.7. Организация не разрешает внесение в содержание данного сайта каких- либо изменений, а также последующее воспроизведение его содержания.

1.8. На сайте Организации могут находиться ссылки и формы на другие веб-сайты, в данном случае Организация не несет ответственность за конфиденциальность информации на других ресурсах.

1.9. Передавая Организации свои персональные данные, субъект соглашается с условиями, приведенными здесь. В соответствии с действующим законодательством и Политикой Организации о защите персональных данных, пользователь может в любое время их изменить, обновить или попросить об удалении.

II. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ

2.1. Для целей настоящего Положения используются следующие основные понятия:

сайт – совокупность программно-аппаратных средств для ЭВМ, обеспечивающих публикацию данных в Интернет для всеобщего обозрения. Сайт доступен по уникальному электронному адресу или его буквенному обозначению. Может содержать графическую, текстовую, аудио-, видео-, а также иную информацию, воспроизводимую с помощью ЭВМ;

оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

персональные данные (далее – Данные) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

субъект персональных данных в контексте настоящего положения – физическое лицо, являющееся клиентом – пользователем сайта http://butds9.ru;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

III. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ

3.1. Состав персональных данных:

3.1.1. Самостоятельно предоставляемые (при регистрации) Пользователем данные:

  • фамилия, имя, отчество;
  • контактная информация, включая номера телефонов, e-mail.

3.1.2. Автоматически собираемые данные:

  • IP-адрес пользователя;
  • дата, время и количество посещений;
  • адрес сайта, с которого пользователь осуществил переход на сайт Организации;
  • сведения о местоположении;
  • сведения о посещенных страницах, о просмотре рекламных баннеров;
  • информация, предоставляемая браузером (тип устройства, тип и версия браузера, операционная система и т.п.).

3.2. Указанные в пункте 3.1 Положения персональные данные обрабатываются в целях идентификации Пользователей, обеспечения исполнения пользовательского соглашения, предоставления Пользователю персонализированных сервисов и контента, улучшения качества работы сайта и предоставления сервисов, таргетирования рекламных материалов, проведения на основе обезличенных персональных данных статистических и иных исследований.

3.3. Обработка персональных данных Пользователей производится с их согласия. Пользователь, регистрирующийся на сайте http://butds9.ru с целью получения доступа к сервисам Организации, тем самым выражает свое полное согласие в соответствии с Федеральными законами Российской Федерации на автоматизированную, а также без использования средств автоматизации, обработку и использование своих персональных данных.

IV. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сведения, перечисленные в статье 3 настоящего Положения, являются конфиденциальными. Организация обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения без согласия клиентов, либо наличия иного законного основания.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).

V. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Пользователей осуществляется Организацией с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 5.2 настоящей статьи. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на оператора.

5.2. Организация имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:

  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.3. Персональные данные, передаваемые пользователем Организации, обрабатываются в строгом соответствии с действующим законодательством. Данные находятся на серверах РФ, защищены в соответствии с действующем законодательством.

VI. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организации при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

а) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
б) способы обработки персональных данных, применяемые Оператором;
в) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
г) перечень обрабатываемых персональных данных и источник их получения;
д) сроки обработки персональных данных, в том числе сроки их хранения;

6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

VII. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется Оператором исключительно для достижения целей, определенных настоящим положением и пользовательским соглашением.

7.2. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.

7.3. К обработке персональных данных Пользователя могут иметь доступ только работники Организации, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.

7.4. В целях исполнения требований действующего законодательства Российской Федерации обработка данных в Организации осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

VIII. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В случаях, установленных законодательством Российской Федерации, Организация вправе осуществлять передачу Данных третьим лицам в случаях, предусмотренных законодательством Российской Федерации.

8.2. Организация вправе поручить обработку Данных субъектов третьим лицам с согласия субъекта Данных, на основании заключаемого с этими лицами договора.

8.3. Лица, осуществляющие обработку Данных на основании заключаемого с Организацией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты Данных, предусмотренные Законом.

8.4. Для каждого третьего лица в договоре определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку Данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Данных при их обработке, указываются требования к защите обрабатываемых Данных в соответствии с Законом.

8.5. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.

IX. ТРЕБОВАНИЯ К ЗАЩИТЕ ДАННЫХ

9.1. Организация при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

9.2. К таким мерам в соответствии с Законом, в частности, относятся:

9.2.1. назначение лица, ответственного за организацию обработки Данных, и лица, ответственного за обеспечение безопасности Данных;

9.2.2. разработка и утверждение локальных актов по вопросам обработки и защиты Данных;

9.2.3. применение правовых, организационных и технических мер по обеспечению безопасности Данных:

  • об определение угроз безопасности Данных при их обработке в информационных системах персональных данных;
  • о применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных.

9.2.4. контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных;

9.2.5. оценка вреда, который может быть причинен субъектам Данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

9.2.6. соблюдение условий, исключающих несанкционированный доступ к материальным носителям Данных и обеспечивающих сохранность Данных;

9.2.7. ознакомление работников Организации, непосредственно осуществляющих обработку Данных, с положениями законодательства Российской Федерации о Данных, локальными актами по вопросам обработки и защиты Данных.

9.3. Сотрудник Организации, имеющий доступ к персональным данным Пользователя в связи с исполнением трудовых обязанностей:

  • обеспечивает хранение информации, содержащей персональные данные Пользователей, исключающее доступ к ним третьих лиц;
  • в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Пользователей;
  • при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать носители, содержащие персональные данные Пользователей лицу, на которое локальным актом Организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, указанные выше документы и иные носители передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.

9.4. При увольнении сотрудника, имеющего доступ к персональным данным Пользователей, носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.

9.5. Допуск к персональным данным Пользователей других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

9.6. Защита доступа к электронным базам данных, содержащим персональные данные Пользователей, обеспечивается:

  • использованием антивирусных и иных программно-технических средств защиты периметра внутренней сети, не допускающих несанкционированный вход в локальную сеть Оператора;
  • разграничением прав доступа с использованием учетной записи.

9.7. Все электронные приложения, содержащие персональные данные, включая информационные системы персональных данных, папки и файлы, содержащие персональные данные, защищаются паролем.

9.8. Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения руководителя Организации.

9.9. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных.

X. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ДАННЫХ

10.1. Сроки обработки (хранения) Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями федеральных законов, требованиями операторов Данных, по поручению которых Организация осуществляет обработку Данных, основными правилами работы архивов организаций, сроками исковой давности.

10.2. Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания

XI. ИЗМЕНЕНИЯ И ОБНОВЛЕНИЯ

11.1. Организация оставляет за собой право вносить необходимые изменения на сайте, заменять или удалять любые части его содержания и ограничивать доступ к сайту в любое время по своему усмотрению.

11.2. Организация также оставляет за собой право изменения Политики конфиденциальности в любое время с целью дальнейшего совершенствования системы защиты от несанкционированного доступа к сообщаемым персональным данным.