Информационная безопасность

Информационная безопасность
Просмотров: 2670

Положение

«О персональных данных работников

муниципального бюджетного дошкольного образовательного учреждения детского сада комбинированного вида № 10

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение определяет порядок обработки (получения, использования,

хранения, уточнения (обновления, изменения), распространения (в том числе передачи),

обезличивания, блокирования, уничтожения, защиты) персональных данных работников и воспитанников (участников образовательного процесса) муниципального бюджетного

дошкольного образовательного учреждения детского сада комбинированного вида № 10 (далее - ДОУ), а также гарантии обеспечения конфиденциальности сведений о них.

1.2. Настоящее Положение разработано на основании: Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации ((в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ,от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ), Постановления Правительства Российской Федерации от 01.11.2012 № 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных и иных нормативных правовых актов Российской Федерации.

1.3. Требования настоящего Положения распространяются на всех работников и воспитанников (участников образовательного процесса) ДОУ.

 

  1. ОСНОВНЫЕ ПОНЯТИЯ, ОБОЗНАЧЕНИЯ

 

В настоящем Положении используются следующие понятия и термины:

- работник - физическое лицо, вступившее в трудовые отношения с работодателем;

- работодатель - муниципальное бюджетное дошкольное образовательное учреждение детский сад комбинированного вида № 10 (далее - ДОУ);

- воспитанники (участники образовательного процесса) - дети, посещающие ДОУ,

- родители (законные представители) которые заключили договор об образовании с ДОУ;

- субъекты персональных данных - работники и воспитанники ДОУ, третьи лица;

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая ДОУ в связи с трудовыми отношениями и организацией образовательного процесса;

- оператор - ДОУ и должностные лица ДОУ, организующие и (или) осуществляющие обработку персональных данных;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), защиту, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

- конфиденциальность персональных данных - обязательное для соблюдения должностным лицом ДОУ, иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- информация - сведения (сообщения, данные) независимо от формы их представления;

доступ к информации - возможность получения информации и ее использования.

  1. ЦЕЛИ И ЗАДАЧИ

3.1. Целями настоящего Положения выступают:

  • обеспечение соответствия законодательству Российской Федерации действий работников ДОУ, направленных на обработку персональных данных работников, воспитанников, третьих лиц (других граждан);
  • обеспечение защиты персональных данных от несанкционированного доступа, утраты,

неправомерного их использования или распространения.

3.2. Задачами настоящего Положения являются:

  • определение принципов, порядка обработки персональных данных; определение условий обработки персональных данных, способов защиты персональных данных;
  • определение прав и обязанностей ДОУ и субъектов персональных данных при обработке

персональных данных.

  1. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Персональные данные включают в себя:

  • фамилию, имя, отчество, дату и место рождения, должность, место работы, сведения об образовании, звание, паспортные данные, место жительства, контактные телефоны, адрес электронной почты, лицевой счет сберегательной книжки, сведения о доходах, включая размер должностного оклада, надбавок, доплат, материальной помощи, пенсии и пр., номер страхового свидетельства государственного пенсионного страхования, данные о присвоении ИНН, семейное положение, состав семьи;
  • фамилии, имена, отчества, даты рождения детей;
  • фамилию, имя, отчество, должность и место работы супруга(и);
  • данные об инвалидности, о прохождении медицинского осмотра при приеме на работу, периодических медицинских осмотров, о наличии прививок;
  • программу реабилитации инвалида;
  • данные о трудовой деятельности, продолжительность стажа, в т.ч. педагогического стажа;
  • отношение к воинской обязанности;
  • сведения об обучении;
  • фамилии, имена, отчества родителей или иных законных представителей;
  • среднедушевой доход семьи и др.

4.2. ДОУ осуществляет обработку персональных данных следующих категорий субъектов:

  • работников, состоящих в трудовых отношениях с ДОУ;
  • воспитанников в ДОУ;
  • иных физических лиц, данные о которых обрабатываются во исполнение уставных задач ДОУ.

4.3. Информация о персональных данных может содержаться:

  • на бумажных носителях;
  • на электронных носителях;
  • в информационно-телекоммуникационных сетях и иных информационных системах.

4.4. ДОУ использует следующие способы обработки персональных данных:

  • автоматизированная обработка;
  • без использования средств автоматизации;
  • смешанная обработка (с применением объектов вычислительной техники).

4.5. ДОУ самостоятельно устанавливает способы обработки персональных данных в

зависимости от целей такой обработки и материально-технических возможностей ДОУ.

4.6. При обработке персональных данных с применением объектов должностные лица, осуществляющие такую обработку (пользователи объектов технических средств и программного обеспечения), должны быть ознакомлены под роспись с локальными нормативными актами ДОУ, устанавливающими порядок применения объектов технических средств и программного обеспечения в ДОУ, в частности:

  • Положение об официальном сайте муниципального бюджетного дошкольного образовательного учреждения детского сада комбинированного вида № 10
  • (detsad-10.ru);
  • Положение «О персональных данных работников муниципального бюджетного дошкольного образовательного учреждения детского сада комбинированного вида

№ 10 и участников образовательного процесса»;

  • Положение о разграничении прав доступа к обрабатываемым персональным данным;
  • Инструкция о порядке обработки персональных данных работников и воспитанников (участников образовательного процесса) муниципального бюджетного дошкольного образовательного учреждения детского сад комбинированного вида № 10;
  • План мероприятий по обеспечению безопасности персональных данных;
  • Перечень персональных данных, подлежащих защите;
  • Перечень сведений конфиденциального характера;
  • Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • Приказ об утверждении мест хранения персональных данных;
  • Приказ о назначении комиссии по уничтожению персональных данных;
  • Приказ о перечне лиц, допущенных к обработке персональных данных;
  • Соглашение о неразглашении персональных данных;

Заполнять документацию:

Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;

4.7. Персональные данные работников ДОУ содержатся в следующих документах

(копиях указанных документов):

  • заявления работников (о принятии на работу, об увольнении и т.п.);
  • паспорт (или иной документ, удостоверяющий личность);
  • трудовая книжка;
  • страховое свидетельство государственного пенсионного страхования;
  • свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;
  • документы воинского учёта;
  • документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;
  • карточка Т-2;
  • автобиография;
  • личный листок по учёту кадров;
  • медицинское заключение о состоянии здоровья, индивидуальная программа реабилитации, медицинская справка о прохождении медицинских осмотров;
  • документы, содержащие сведения об оплате труда;
  • другие документы, содержащие персональные данные и предназначенные для использования в служебных целях и др.

4.8. Персональные данные воспитанников ДОУ могут содержаться в следующих документах (копиях указанных документов):

  • заявления родителей (законных представителей) воспитанников (в том числе о приеме,

восстановлении, отчислении и т.п.);

  • родительский договор;
  • справки (в том числе справки об оплате по договору);
  • списки лиц, зачисленных в МБДОУ;
  • паспорт или иной документ, удостоверяющий личность родителей (законных представителей) воспитанников;
  • страховое свидетельство государственного пенсионного страхования родителей (законных представителей) воспитанников;
  • документы воинского учёта родителей (законных представителей) воспитанников; медицинские документы, содержащие сведения о состоянии здоровья воспитанника (медицинская справка, врачебно-консультативное заключение, протоколы заседания ВКК, пр.);
  • справки об установлении инвалидности; индивидуальная программа реабилитации инвалида;
  • документы, содержащие сведения о материальной помощи и иных выплатах;
  • документы, подтверждающие право на льготный порядок поступления в ДОУ (свидетельства о смерти родителей, постановление главы города (распоряжение администрации) об установлении опеки, попечительства над несовершеннолетним, свидетельство о рождении, ходатайства отдела опеки и попечительства, департамента семьи, опеки и попечительства о содействии в поступлении в ДОУ на имя руководителя;
  • решения суда о лишении родительских прав и взыскании алиментов;
  • справки об установлении инвалидности, индивидуальная программа реабилитации лица и т.п.);
  • приказы по воспитанникам, выписки из приказов;
  • другие документы, содержащие персональные данные и предназначенные для использования в целях организации образовательного процесса.

5.СОЗДАНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Создание персональных данных

5.1.1. Документы, содержащие персональные данные, создаются путём:

  • копирования оригиналов (документ об образовании, свидетельство ИНН, свидетельство

государственного пенсионного страхования, др.);

  • внесения сведений в учётные формы (на бумажных и электронных носителях);
  • получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография, др.).

5.2. Основы организации обработки персональных данных в ДОУ (цели, принципы, правовые основы, права и обязанности субъектов персональных данных)

5.2.1. Обработка персональных данных работников и воспитанников осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, Федеральных законов, иных нормативных правовых актов Российской Федерации и реализации уставных задач ДОУ.

5.2.2. Принципы обработки персональных данных:

  • законность целей и способов обработки персональных данных; соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ДОУ;
  • соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимость объединения, созданных для несовместимых между собой

целей баз данных информационных систем, содержащих персональные данные.

5.2.3. Правовыми основаниями обработки персональных данных работников ДОУ выступают трудовое законодательство РФ и иные нормативные правовые акты, содержащие нормы трудового права, воспитанников - законодательство об образовании РФ, а также локальные нормативные акты ДОУ.

5.2.4. В отношениях по обработке персональных данных субъекты персональных данных имеют право:

  • получать полную информацию о своих персональных данных и об обработке этих данных (в том числе автоматизированной);
  • знакомиться со сведениями, содержащими свои персональные данные, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • выбирать представителей для защиты своих персональных данных;
  • получать доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона;
  • при отказе оператора исключить или исправить персональные данные субъект персональных данных имеет право заявить об этом в письменной форме администрации ДОУ;
  • дополнить персональные данные оценочного характера путем выражения в письменном заявлении собственного мнения;
  • требовать от администрации ДОУ предоставления информации обо всех изменениях персональных данных, произведенных ДОУ, а также уведомления всех лиц, которым по вине должностных лиц ДОУ были сообщены неверные или неполные персональные данные субъекта;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любые неправомерные действия или бездействие администрации ДОУ при обработке его персональных данных.

5.2.5. При обращении субъекта персональных данных или его законного представителя по вопросам предоставления информации о персональных данных, относящихся к соответствующему субъекту, ДОУ обязано сообщить данному субъекту информацию о наличии персональных данных, предоставить возможность ознакомления с ней.

5.2.6. Обращения субъектов персональных данных фиксируются в журналах обращений по ознакомлению с персональными данными, которые ведутся в структурных подразделениях МБДОУ по форме, утвержденной приказом руководителя ДОУ.

5.2.7. В отношениях, связанных с обработкой персональных данных, субъекты персональных данных обязаны:

  • передавать ДОУ достоверные персональные данные;
  • своевременно в срок, не превышающий 14 дней, сообщать ДОУ об изменении своих персональных данных.

5.3. Сроки обработки персональных данных

5.3.1. Общий срок обработки персональных данных определяется периодом времени, в течение которого ДОУ осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки, в том числе хранение персональных данных.

5.3.2. Обработка персональных данных начинается с момента их получения ДОУ и заканчивается:

  • по достижении заранее заявленных целей обработки;
  • по факту утраты необходимости в достижении заранее заявленных целей обработки.

5.3.3. ДОУ осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

5.4. Условия обработки персональных данных

5.4.1. Общим условием обработки персональных данных является наличие письменного согласия субъектов персональных данных на осуществление такой обработки. Персональные данные ДОУ получает непосредственно от работника, воспитанника, родителей (законных представителей) воспитанников.

Федеральными законами могут предусматриваться случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5.4.2. Сообщение сведений о персональных данных работника или воспитанника его родственникам, членам семьи, иным близким ему людям также производится только при получении письменного согласия субъекта персональных данных.

5.4.3. При передаче персональных данных третьим лицам, в том числе представителям работников, воспитанников, в порядке, установленном нормативными правовыми актами РФ и настоящим Положением, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения третьими лицами их функций.

5.4.4. Субъект персональных данных, о котором запрашиваются сведения, относящиеся к персональным данным, должен быть уведомлен о передаче его персональных данных третьим лицам.

5.4.5. Запрещается передача персональных данных в коммерческих целях без согласия субъекта персональных данных, а также иное использование персональных данных в неслужебных целях.

  1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ДОУ при обработке персональных данных принимает необходимые организационные и технические меры, в том числе использует шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

6.2. В целях обеспечения защиты персональных данных разрабатываются и утверждаются:

  • планы мероприятий по защите персональных данных;
  • планы внутренних проверок состояния защиты персональных данных;
  • списки лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей;
  • локальные нормативные акты и должностные инструкции;
  • иные документы, регулирующие порядок обработки и обеспечения безопасности и

конфиденциальности персональных данных.

6.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счёт средств ДОУ в порядке, установленном законодательством РФ.

6.4. В случае выявления неправомерных действий с персональными данными ДОУ обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений ДОУ обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ДОУ обязан уведомить субъекта персональных данных или его законного представителя.

6.5. Внутренняя защита персональных данных

6.5.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу или в запираемом металлическом сейфе.

6.5.2. Выдача ключей от сейфа производится руководителем лицу, в функции которого входит обработка определенных персональных данных (а на период его временного отсутствия - болезнь, отпуск и т.п. - лицом, исполняющим ее обязанности), только уполномоченным сотрудникам. Сдача ключа осуществляется лично руководителю после закрытия сейфа или несгораемого шкафа.

6.5.3. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

6.5.4. Персональные данные, содержащиеся на электронных носителях информации, хранятся в памяти персональных компьютеров операторов. Доступ к указанным персональным компьютерам строго ограничен кругом лиц, ответственных за обработку персональных данных.

Информация на электронных носителях должна быть защищена паролем доступа, который подлежит смене не реже 1 (одного) раза в 6 (шесть) месяцев.

6.6. Внешняя защита персональных данных.

6.6.1. Помещения и территория ДОУ охраняются, в том числе с помощью средств визуального наблюдения.

6.6.2. Персональные данные в зависимости от способа их фиксации (бумажный носитель, электронный носитель) подлежат обработке таким образом, чтобы исключить возможность ознакомления с содержанием указанной информации сторонними лицами.

  1. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

 

 

 

 

 

Вид нарушения

Предусмотренное наказание

Чем

установлено

 

Нарушение порядка сбора,

хранения, использования или

распространения персональных

данных.

Штраф для должностных лиц - от 500 до 1000 рублей;

для юридических лиц - от 5000 до 10 000 рублей

Статья 13.11 КоАП

РФ

Нарушение законодательства о

труде.

 

Штраф для должностных лиц - от 500 до 5000 рублей;

для юридических лиц –

от 30 000 до 50 000 рублей

Статья 5.27 КоАП

РФ

 

Нарушение правил хранения и

использования персональных

данных, повлекшее за собой

материальный ущерб работодателю.

Материальная ответственность работника в пределах его среднего месячного заработка

(ст. 238, 241 ТК РФ)

Статья 238 ТК РФ

 

Ненадлежащее хранение и

использование персональных

данных, повлекших за собой ущерб работнику.

 

Возмещение морального вреда работнику в денежной форме в размерах, определенных

трудовым договором (ст. 237 ТК РФ);

возмещение материального ущерба работнику в полном объеме (ст. 235 ТК РФ)

Статья 234 ТК РФ12

 

Разглашение служебной тайны,

ставшей известной работнику при выполнении им трудовых

обязанностей

 

Материальная ответственность работника;

дисциплинарная ответственность работника

(ст. 192, 195 ТК РФ) вплоть до расторжения трудового договора по пункту «в» статьи 81 ТК РФ

Пункт 7 статьи 243 ТК

РФ

Нарушение неприкосновенности

частной жизни

Уголовная ответственность

 

Статья 137 УК РФ

Неправомерный доступ к

охраняемой законом компьютерной

информации

Уголовная ответственность

 

Статья 272 УК РФ

 

7.2. Руководители структурных подразделений, в функции которых входит обработка персональных данных, несут персональную ответственность за нарушение порядка доступа работников данных структурных подразделений ДОУ и третьих лиц к информации, содержащей персональные данные.

7.3. Должностные лица ДОУ, обрабатывающие персональные данные, несут персональную ответственность за:

7.3.1. не обеспечение конфиденциальности информации, содержащей персональные данные;

7.3.2. неправомерный отказ субъекту персональных данных в предоставлении собранных в установленном порядке персональных данных либо предоставление неполной или заведомо ложной информации.

 

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящее Положение вступает в силу с момента его утверждения руководителем ДОУ и действует бессрочно, до замены его новым Положением.

8.2. Настоящее Положение действует в отношении всех работников и воспитанников ДОУ