Информация о порядке обработки и защиты персональных данных.
Предварительный просмотр:
Муниципальное бюджетное дошкольное образовательное учреждение детский сад №15 посёлка Бичевого муниципального образования Ленинградский район
ПРИКАЗ
посёлок Бичевой
от 30.10.2014г. № 75 – осн.
О порядке обработки и защиты персональных данных в ОУ
В связи с вступлением в силу с 01.01.2011 Закона № 152-ФЗ от 27.07.2006 г. «О персональных данных», с целью организации работ по соблюдению требований законодательства в сфере защиты персональных данных п р и к а з ы в а ю:
1. Утвердить «Положение о защите, хранении, обработке и передаче персональных данных работников муниципального общеобразовательного учреждения средней общеобразовательной школы» (Приложение 1) и «Положение о защите, хранении, обработке и передаче персональных данных обучающихся муниципального общеобразовательного учреждения средней общеобразовательной школы» (Приложение 2), Перечень конфиденциальной информации о сотрудниках и учащихся школы (Приложение 3), Список сотрудников ОУ, допущенных к обработке персональных данных (Приложение 4), форму Листов соглашений на обработку персональных данных для сотрудников ОУ и родителей (законных представителей) обучающихся (Приложения 5, 6), Инструкцию пользователя автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных) (Приложение 7).
1. Возложить ответственность за организацию технической защиты персональных данных в ОУ с 30.10.2014 г. на заведующего МБДОУ № 15 Я.А. Сумину.
1. Назначить заведующего МБДОУ № 15 Я.А.Сумину, ответственной за техническое администрирование организации защиты персональных данных.
1. Заведующему МБДОУ №15 Я. А. Суминой - внести изменения/дополнения в должностные инструкции (функциональные обязанности) работников, имеющих доступ к конфиденциальной информации (персональным данным).
1. Контроль за исполнением приказа оставляю за собой.
Заведующий МБДОУ №15 Я. А. Сумина.
Приложение 1 к приказу №75 - осн от 30.10.2014г. |
Положение
о защите, хранении, обработке и передаче персональных данных работников муниципального бюджетного дошкольного образовательного учреждения детский сад №15 посёлка Бичевого муниципального образования Ленинградский район
Общие положения
Настоящее Положение разработано в соответствии со ст. 24 Конституции РФ от 12.12.1993г. (с изменениями и дополнениями), Гражданским кодексом РФ от 26.01.1996г. № 14-ФЗ (с изменениями и дополнениями), Трудовым Кодексом от 30.12.2001г. № 197-ФЗ, федеральными законами от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006г. № 152-ФЗ «О персональных данных».
Настоящее Положение распространяется на всех сотрудников, и все работники должны быть ознакомлены с этим Положением под роспись.
1.1. Персональные данные работника – информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника. Они включают в себя: опознавательные данные (ФИО, дата и место рождения, трудовая биография работника, факты биографии); личные характеристики работника (гражданство, наличие научных трудов, изобретений и т.д.); сведения о семейном положении; составе семьи; социальном положении; служебном положении; навыках; о финансовом положении. К предоставляемым персональным данным работника относится информация, содержащаяся в трудовой книжке, в страховом свидетельстве государственного пенсионного страхования; информация об образовании, квалификации; информация медицинского характера; информация в документах воинского учета и в других документах, которые содержат данные, необходимые работодателю в связи с трудовыми отношениями.
1.2. Обработка персональных данных работника осуществляется в целях обеспечения соблюдения законов и других нормативно-правовых актов.
1.3. Работодатель вправе проверять персональные данные работников с целью формирования кадрового резерва.
1.4. При приеме на работу, заключении трудового договора, заполнении анкетных данных работодатель не имеет право получать и обобщать информацию о религиозных, политических и других убеждениях работника.
1.5. Все персональные данные работника работодатель получает только от него самого.
1.6. Работодатель получает и обрабатывает данные о частной жизни работника только с его письменного согласия.
1.7. Работодатель сообщает работнику цели, предположительные источники, способы получения персональных данных, характер персональных данных и последствия отказа работника дать письменное согласие на их получение.
1.8. Получать персональные данные работников на основании закона могут: налоговые органы, Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральная инспекция труда. Использование персональных данных работника допустимо только в соответствии с целями, определившими их получение. Передача персональных данных работника возможна только с согласия работника, если иное не предусмотрено законодательством.
1.9. Работодатель имеет право собирать персональную информацию, содержащуюся в документах, предоставленных работником при приеме на работу.
1.10. Работодатель производит расчет и выплату налогов за работника путем удержания их из заработной платы, работодатель имеет право собирать предусмотренные Налоговым Кодексом РФ сведения о налогоплательщике.
1.11. Данное Положение предотвращает несанкционированный доступ к информации, ее противоправное копирование, искажение, использование преднамеренного распространения недостоверной информации, использование информации в преступных и корыстных целях.
2. Порядок хранения, использования и передачи персональных данных работника
Хранение персональных данных должно исключать их утрату или их неправильное использование.
2.1. Хранение, выдача трудовых книжек (дубликаты трудовых книжек); хранение личных дел работников и иных документов, отражающих персональные данные работника, возлагаются на руководителя, делопроизводителя и работников бухгалтерии (список лиц утверждается приказом по МБДОУ №15).
2.2. Персональные данные работников вместе с необходимыми документами остаются у работодателя или лица, ответственного за оформление приема и хранения личных дел сотрудников. Порядок хранения трудовых книжек установлен Инструкцией по заполнению трудовых книжек.
2.3. Работодатель обеспечивает хранение первичных документов, связанных с обработкой документации по учету труда, кадров и оплаты труда в организации. В бухгалтерии хранятся документы по учету использования рабочего времени и расчетов с персоналом по оплате труда.
2.4. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
2.4.1. не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
2.4.2. не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
2.4.3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
2.4.4. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
2.4.5. Передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
2.5. Передача персональных данных работника в пределах организации:
2.5.1. Работодатель предоставляет информацию и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов, обязательных платежей в государственную бюджетную систему; документы о платежеспособности; сведения о численности, составе работающих, заработной плате и условиях труда, о наличии свободных рабочих мест; документы об оплате налогов по требованию органов власти управления, правоохранительных органов, юридических лиц, имеющих на это право.
2.5.2. Предоставляемая информация может быть устной или письменной, во втором случае – заверена печатью и подписями определенных лиц.
3. Обязанности работодателя по хранению и защите персональных данных работника
3.1. Работодатель обеспечивает защиту персональных данных работника от неправомерного их использования или утраты за счет собственных средств в порядке, установленном федеральным законом.
3.2. Работодатель знакомит работника под роспись со всеми внутренними документами, касающимися порядка обработки, передачи персональных данных работников, о правах и обязанностях в этой области.
3.3. Работодатель обеспечивает доступ к персональным данным работника только уполномоченным лицам.
3.5. Заведующий закрепляет в Приказе по Учреждению распределение обязанностей по обработке персональных данных.
3.6. Запрещается обработка информации в присутствии иных лиц, кроме имеющих право доступа к персональным данным работника. Руководитель хранит документы (трудовые книжки в сейфе); рекомендуется при обработке данных с помощью компьютера закрывать паролем файлы, имеющие персональные данные.
4. Права работников на защиту персональных данных
4.1. Согласно ст.89 ТК РФ работники имеют право на:
4.1.1. Полную информацию об их персональных данных и обработке этих данных;
4.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
4.1.3. Определение своих представителей для защиты своих персональных данных;
4.1.4. Доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
4.1.5. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
4.1.6. Требование об извещении работодателем всех лиц, которым раннее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
4.1.7. Работники должны быть ознакомлены под роспись с настоящим Положением. С этой целью в учреждении организуется и ведется Журнал ознакомления работников с настоящим Положением.
4.1.8. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5. Ответственность работодателя и лиц, осуществляющих работу с персональными данными
5.1. Работник обязан:
* знать Перечень сведений конфиденциального характера в МБДОУ №15.
* хранить в тайне известные ему конфиденциальные сведения, информировать руководителя о фактах нарушения порядка обращения с конфиденциальными сведениями, о ставших ему известным попытках несанкционированного доступа к информации;
* соблюдать правила пользования документами, порядок их учета и хранения, обеспечивать в процессе работы сохранность информации, содержащейся в них от посторонних лиц;
* знакомиться только с теми служебными документами, к которым получен доступ в силу исполнения своих служебных обязанностей.
5.2 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
5.3. К сотруднику, ответственному за хранение персональной информации работников, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно: замечание, выговор, увольнение. К дисциплинарной ответственности привлекаются только те работники, которые по условиям своих трудовых договоров обязаны соблюдать правила работы с персональными данными.
5.4. Работодатель вправе расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
Приложение 2 к приказу № 75- осн. от 30.10.2014г. |
Положение
о защите, хранении, обработке и передаче персональных данных воспитанников муниципального бюджетного дошкольного образовательного учреждения детский сад №15 посёлка Бичевого муниципального образования Ленинградский район
Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных дачных», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» и постановления Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» с целью обеспечения уважения прав и основных свобод каждого обучающегося при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1. Общие положения
1.1. Персональные данные воспитанников - сведения о фактах, событиях и обстоятельствах жизни воспитанника , позволяющие идентифицировать его личность, необходимые администрации образовательного учреждения (далее - администрация) в связи с отношениями обучения и воспитания воспитанника и касающиеся воспитанника.
1.2. К персональным данным воспитанника относятся:
- сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность;
- информация, содержащаяся в личном деле воспитанника;
- информация, содержащаяся в личном деле воспитанника, лишенного родительского попечения;
- информация о состоянии здоровья;
- документ о месте проживания;
- иные сведения, необходимые для определения отношений обучения и воспитания.
1.3. Администрация может получить от самого родителя (законного представителя) воспитанника данные о:
- фамилии, имени, отчестве, дате рождения, месте жительства воспитанника;
- фамилии, имени, отчестве родителей (законных представителей) воспитанника.
1.4. Иные персональные данные воспитанника, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления воспитаннику гарантий и компенсаций, установленных действующим законодательством:
- документы о составе семьи;
- документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний и т. п.);
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т. п.).
1.5. В случаях, когда администрация может получить необходимые персональные данные воспитанника только у третьего лица, она должна уведомить об этом одного из родителей (законного представителя) заранее и получить от него письменное согласие.
1.6. Администрация обязана сообщить одному из родителей (законному представителю) о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа одного из родителей (законного представителя) дать письменное согласие на их получение.
1.7. Персональные данные воспитанника являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных цепях.
1.8. При определении объема и содержания персональных данных воспитанника администрация руководствуется Конституцией Российской Федерации, федеральными законами и настоящим Положением.
2. Хранение, обработка и передача персональных данных воспитанника
2.1. Обработка персональных данных воспитанника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в целях воспитания и обучения воспитанника, обеспечения его личной безопасности, контроля качества образования, пользования льготами, предусмотренными законодательством Российской Федерации и локальными актами администрации.
2.2. Право доступа к персональным данным воспитанника имеют:
- работники управления образования (при наличии соответствующих полномочий, установленных приказом управления образования);
- заведующий образовательного учреждения;
- бухгалтер образовательного учреждения;
- воспитатель (только к персональным данным воспитанников);
- ответственный за питание;
- инспектор по охране прав детства;
- медработник.
2.3. Заведующий образовательного учреждения осуществляет прием воспитанника в образовательное учреждение.
Заведующий образовательного учреждения может передавать персональные данные обучающегося третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья воспитанника, а также в случаях, установленных федеральными законами.
2.4. Заведущий:
- принимает или оформляет вновь личное дело обучающегося и вносит в него необходимые данные;
- предоставляет свободный доступ родителям (законным представителям) к персональным данным воспитанника на основании письменного заявления.
К заявлению прилагается:
- родителем; копия документа, удостоверяющего личность;
- законным представителем; копия удостоверения опекуна (попечителя).
Не имеет права получать информацию об воспитаннике родитель, лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.
2.5. Бухгалтер имеет право доступа к персональным данным воспитанника в случае, когда исполнение им своих трудовых обязанностей или трудовых обязанностей работников бухгалтерии по отношению к воспитаннику (предоставление льгот, установленных законодательством) зависит от знания персональных данных воспитанника.
2.6. При передаче персональных данных воспитанника заведующий, бухгалтер, воспитатель, инспектор по охране прав детства образовательного учреждения обязаны:
- предупредить лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
- потребовать от этих лиц письменное подтверждение соблюдения этого условия.
2.7. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных воспитанника, определяются трудовыми договорами и должностными инструкциями.
2.8. Все сведения о передаче персональных данных обучающихся регистрируются в Журнале учета передачи персональных данных обучающихся образовательного учреждения в целях контроля правомерности использования данной информации лицами, ее получившими.
3. Обязанности работников администрации, имеющих доступ к персональным данным воспитанника
3.1. Работники администрации, имеющие доступ к персональным данным воспитанника, обязаны:
- не разглашать персональные данные воспитанника третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется;
- использовать персональные данные воспитанника, полученные только от него лично или с письменного согласия одного из родителей (законного представителя);
- обеспечить защиту персональных данных воспитанника от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации;
- ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись;
- соблюдать требование конфиденциальности персональных данных воспитанника;
- исключать или исправлять по письменному требованию одного из родителей (законного представителя) воспитанника его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства;
- ограничивать персональные данные воспитанника при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций;
- запрашивать информацию о состоянии здоровья воспитанника только у родителей (законных представителей);
- обеспечить воспитаннику или одному из его родителей (законному представителю) свободный доступ к персональным данным воспитанника, включая право на получение копий любой записи, содержащей его персональные данные;
- предоставить по требованию одного из родителей (законного представителя) воспитанника полную информацию о его персональных данных и обработке этих данных.
3.2. Лица, имеющие доступ к персональным данным воспитанника, не вправе:
- получать и обрабатывать персональные данные воспитанника о его религиозных и иных убеждениях, семейной и личной жизни;
- предоставлять персональные данные воспитанника в коммерческих целях.
3.3. При принятии решений, затрагивающих интересы воспитанника, администрации запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4. Права и обязанности обучающегося, родителя (законного представителя)
4.1. В целях обеспечения защиты персональных данных, хранящихся у администрации, воспитанника, родитель (законный представитель) имеют право на:
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе администрации исключить или исправить персональные данные воспитанника родитель (законный представитель) имеет право заявить в письменной форме администрации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера родитель (законный представитель) имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении администрацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные воспитанника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия администрации при обработке и защите персональных данных воспитанника;
- возмещение убытков и/или компенсацию морального вреда в судебном порядке.
4.2. Родитель (законный представитель) обязан сообщать администрации сведения, которые могут повлиять на принимаемые администрацией решения в отношении воспитанника.
5. Хранение персональных данных воспитанника
Должны храниться в сейфе на бумажных носителях и на электронных носителях с ограниченным доступом:
- документы, поступившие от родителя (законного представителя);
- сведения об воспитаннике поступившие от третьих лиц с письменного согласия родителя (законного представителя);
- иная информация, которая касается отношений обучения и воспитания воспитанника.
6. Ответственность администрации и ее сотрудников
Защита прав воспитанника, установленных законодательством Российской Федерации и настоящим Положением, осуществляется судом в целях пресечения неправомерного использования персональных данных воспитанника, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных воспитанника, привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Приложение 3 к приказу № 75-осн. от 30.10.2014г. |
Перечень
сведений конфиденциального характера
в МБДОУ№15
В настоящем Перечне предусматриваются категории сведений, представляющих конфиденциальную информацию (персональные данные) в МБДОУ№15, разглашение которых может нанести материальный, моральный или иной ущерб интересам данного учреждения, его работникам и воспитанникам.
№ п/п | Перечень сведений | Срок действия |
1 | Финансы |
|
1.1 | Сведения о бухгалтерском учете (за исключением годового баланса). | 3 года |
1.2 | Сведения о финансовых операциях. | 3 года |
1.3 | Сведения о величине доходов и расходов, о состоянии дебиторской и кредиторской задолженностях (за исключением годового баланса). | 3 года |
1.4 | Сведения, содержащиеся в финансово - договорных схемах Организации. | + 1 год после окончания действия договора |
2 | Личная безопасность сотрудников | |
2.1 | Персональные данные, сведения о фактах, событиях и обстоятельствах частной жизни сотрудника. | постоянно |
2.2 | Сведения об используемой в коллективе системе стимулов, укрепляющих дисциплину, повышающих производительность труда. | На период действия |
2.3 | Информация о личных отношениях специалистов как между собой, так и с руководством, сведения о возможных противоречиях, конфликтах внутри коллектива. | 3 года |
3 | Персональные данные воспитанников |
|
3.1 | Персональные данные воспитанников. | постоянно |
3.2 | Персональные данные родителей (законных представителей). | постоянно |
3.3 | Сведения, необходимые для предоставления воспитаннику гарантий и компенсаций, установленных действующим законодательством. | постоянно |
4 | Персональные данные о детях, оставшихся без попечения родителей |
|
4.1 | Персональные данные детей, оставшихся без попечения родителей. | постоянно |
4.2 | Персональные данные кандидатов в усыновители, приемные родители, опекуны. | постоянно |
5 | Безопасность | |
5.1 | Сведения о порядке и состоянии защиты конфиденциальной информации. | постоянно |
5.2 | Сведения о защищаемых информационных ресурсах в локальных сетях Организации. | постоянно |
5.2 | Сведения об охране организации, пропускном и внутриобъектовом режиме, системе сигнализации, о наличии средств контроля и управления доступом. | постоянно |
Приложение 4
к приказу № 75-осн от 30.10.2014г.
Список
сотрудников ОУ, допущенных к обработке персональных данных
№ п/п | Ф.И.О. сотрудника | Должность |
1. | Сумина Я.А. | Заведующий МБДОУ №15 |
2. | Тищенко Е.А., Омельченко Е.И., Олейникова О.И., Коблик З.В., Серобаба Л.С., Сташук С.Р., | Воспитатели, музыкальный руководитель |
3. | Коровайная Т.И. | Бухгалтер |
Приложение 6 к приказу № 75-осн от 30.10.2014г. |
Согласие
субъекта на обработку его персональных данных и данных его ребёнка/воспитанника, воспитанника МБДОУ №15
Я, _________________________________________________________________,
Фамилия, Имя, Отчество,
проживающий(ая) по адресу: _____________________________________________
паспорт (другой документ, удостоверяющий личность): __________ №_________,
когда и кем выдан _____________________________________________________ ,
являясь родителем (законным представителем) ______________________________
фамилия имя отчество ребенка
воспитанника в _____________ группе,
в соответствии с Федеральным Законом от 27.07.2006 №152-ФЗ «О персональных данных», даю согласие на обработку своих персональных данных (ПДн) и данных своего ребенка: фамилия, имя, отчество, дата рождения, пол, паспортные данные (или данные свидетельства о рождении), класс, адрес регистрации, адрес проживания, домашний или личный телефоны, статус (если есть), родной язык, гражданство; данные об образовании и итоговые оценки по четвертям, за год и экзаменационные по предметам; социальное положение семьи для решения социальных проблем; дата поступления в образовательное учреждение, дата и причина отчисления из образовательного учреждения.
С целью обработки и регистрации сведений, необходимых для оказания услуг воспитанникам в области образования в МБДОУ №15, соглашаюсь на обработку персональных данных с использованием средств автоматизации или без использования таких средств, включая хранение этих данных в архивах и размещение в локальной сети ОУ с целью предоставления доступа к ним. ОУ вправе рассматривать ПДн в применении к Федеральному Закону «О персональных данных» как общедоступные при следующих условиях: обработка данных осуществляется только в целях уставной деятельности, данные доступны ограниченному кругу лиц. Для ограничения доступа могут использоваться соответствующие средства, не требующие специальных разрешений и сертификации. Доступ может предоставляться административным и педагогическим работникам только в целях уставной деятельности. Открыто могут публиковаться только фамилии, имена и отчества обучающегося и родителей (законных представителей) в связи с названиями и мероприятиями ОУ и его структурных подразделений в рамках уставной деятельности, т.ч. на сайтах учреждений системы образования в целях распространения положительного опыта достижений ребенка.
Я предоставляю ОУ право осуществлять следующие действия (операции) с ПДн: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение.
Я проинформирован (а) и согласен (а) с тем, что информация об ОУ, организации и содержании учебного процесса является общедоступной и может публиковаться в открытых источниках.
ОУ вправе включать обрабатываемые персональные данные воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документами федеральных и муниципальных органов управления образованием, регламентирующих предоставление отчетных данных ОУ. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес ОУ по почте заказным письмом с уведомлением о вручении, либо вручен лично под расписку представителю ОУ.
С Положением о защите персональных данных в данном учреждении ознакомлен(а), права и обязанности в области защиты персональных данных мне разъяснены.
Согласие действительно с даты заполнения настоящего заявления и до окончания обучения в данном ОУ.
Адрес оператора персональных данных (МБДОУ №15):
Подпись родителя
(законных представителей) _________ /___________________________/ (Ф.И.О.)
Дата заполнения листа согласия _________
Приложение 7 к приказу № 75 –осн от 30.10.2014г. |
ИНСТРУКЦИЯ
пользователя по обеспечению информационной безопасности
автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных)
в МБДОУ №15
В Инструкции пользователя по обеспечению информационной безопасности при работе с базами данных мбдоу№15 (далее – Инструкция пользователя) использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД).
2. Комплекс программных средств (далее - КПС) - система или приложение, использующее непосредственный доступ к БД.
3. Идентификатор (учетное имя или login) - присвоенная пользователю индивидуально буквенно-числовая последовательность, используемая для идентификации пользователя при установлении доступа к БД и позволяющая однозначно определять работу конкретного пользователя в БД.
4. Пароль - секретная персональная последовательность символов, известная только пользователю, которая используется совместно с идентификатором для доступа в БД и позволяет подтвердить, что доступ к БД осуществляет именно конкретный пользователь.
5. Пользователи - должностные лица МБДОУ №15, а также все другие лица и организации, работающие с БД детского сада.
6. Администратор БД - должностное лицо МБДОУ №15», уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.
7. Локально-вычислительная сеть (далее - ЛВС) - группа компьютеров, а также периферийное оборудование, объединенные одним или несколькими автономными каналами передачи
цифровых данных в пределах одного или нескольких близлежащих зданий.
8. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем МБДОУ №15, определяющих нормальное функционирование систем и обеспечение безопасности информации, обрабатываемой в МБДОУ №15
Настоящий документ разработан на основе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с целью совершенствования методического обеспечения деятельности в данной области государственных и муниципальных органов, юридических и физических лиц, организующих и (или) осуществляющих обработку персональных данных (ПДн), определяющих цели и содержание обработки ПДн (операторов), а также заказчиков и разработчиков информационных систем персональных данных (ИСПДн) при решении ими задач по обеспечению безопасности ПДн.
Общие положения по организации доступа к конфиденциальной информации в МБДОУ№15
Инструкция пользователя определяет комплекс организационно - технических мероприятий по обеспечению безопасности конфиденциальной информации, хранящейся на компьютерах школы в БД и обрабатываемой с помощью средств вычислительной техники в МБДОУ №15
1. Инструкция пользователя является частью политики информационной безопасности МБДОУ№15, предназначена для обеспечения эффективной организации и управления доступом пользователей к конфиденциальной информации, хранящейся на компьютерах школы и в БД МБДОУ №15, и содержит требования по обеспечению информационной безопасности учреждения в части выполнения операций со кониденциальной информацией и по организации и управлению доступом к БД.
1. Требования Инструкции пользователя обязательны для выполнения всеми пользователями, которым предоставляется доступ к конфиденциальной информации МБДОУ №15.
1. Доступ к к конфиденциальной информации МБДОУ №15 предоставляется исключительно пользователям, утверждённым приказом администрации детского сада через предоставленный системным администратором МБДОУ №15 пароль.
1. Решение задач, связанных с организацией и управлением доступом должностных лиц МБДОУ №15 к конфиденциальной информации, осуществляется системным администратором школы.
При возникновении ситуаций, не включенных в положения настоящей Инструкции пользователя, решение принимает системный администратор.
1. Для доступа к БД школы у каждого пользователя БД должен иметь свой уникальный идентификатор и пароль доступа к БД.
1. Доступ к БД МБДОУ №15 может быть предоставлен с любого компьютера административной локальной сети.
1. Доступ к БД предоставляется пользователям на срок действия их трудовых отношений и исполнения служебных обязанностей в МБДОУ №15
Обязанности и ответственность пользователей автоматизированных рабочих мест, выделенных для обработки конфиденциальной информации.
1. Перед началом первой работы с конфиденциальной информацией пользователь обязан изучить Инструкцию пользователя и ознакомиться с ответственностью за выполнение требований Инструкции пользователя при работе с конфиденциальной информацией под роспись.
1. Пользователю запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа к конфиденциальной информации другим лицам. Запрещается хранение пароля в общедоступных местах, позволяющих другим лицам получить информацию о пароле.
1. Пользователь конфиденциальной информации обязан обеспечивать правильность ввода и коррекции данных, за которые он отвечает.
1. Пользователь обязан закрывать соединение с БД школы на время своего отсутствия у рабочей станции БД или вообще выходить по доступу к ресурсам компьютера с конфидициальными данными из своего идентификатора (например, teacher, secret, adminic и т.п., через Пуск_ Завершить сеанс Имя идентификатора).
1. В случае выявления инцидентов с доступам к ресурсам компьютера с конфиденциальными данными (фактов несанкционированного доступа посторонними людьми, людьми без допуска к конфиденциальным данным) пользователь обязан незамедлительно сообщить об этом системному администратору детского сада.
1. В случае выявления инцидентов с доступом к БД МБДОУ №15 (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.п.) пользователь обязан незамедлительно сообщить об этом администратору БД.
1. Установку и конфигурирование программного обеспечения на компьютерах с доступом к конфиденциальным данным школы выполняет системный администратор или администратор БД школы. Пользователям данных рабочих мест запрещается самостоятельно устанавливать какое-либо программное обеспечение.
1. Пользователю запрещается использовать информацию, полученную в результате доступа к конфиденциальным данным МБДОУ №15, в целях, не предусмотренных его функциональными обязанностями и технологическими схемами. Он не вправе разглашать, использовать в личных целях, либо передавать третьим лицам, в том числе государственным органам, конфиденциальную информацию, за исключением случаев, установленных законами Российской Федерации.
1. При нарушениях правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации.
1. Пользователь несет ответственность за все действия, совершенные от имени его идентификатора, учетной записи или логина, если не доказан факт несанкционированного использования таковых.
Положение о защите персональных данных регламентировано ТК РФ и должно быть в организации в обязательном порядке.
При разработке Положения необходимо руководствоваться гл. 14 ТК РФ "Защита персональных данных работника".
Положение разрабатывается сотрудниками кадровой службы, затем утверждается работодателем и хранится в кадрах.
Оформляется всё как обычно. Разрабаываете Положение о защите персональных данных, утверждаете его приказом организации, а в приказе указываете уполномоченных лиц, которым можно передавать персональные данные и в каком объеме их можно передавать (согласно одному из пунктов самого Положения, где процедура передачи этих данных будет четко прописана).
Если у вас прибывают новые работники, которые будут входить в группу таких увполномоченных лиц, то издаетеся приказ во изменение предыдущего с примерно такой формулировкой "В связи с приемом на работу новых работников ПРИКАЗЫВАЮ: 1. Дополнить список уполномоченных лиц, которым разрешено передавать персональные данные в объеме - ФИО, домашний адрес, номер контактного телефона: Иванов И.И., Петров П.П. и.т.д."
С приказом необходимо ознакомить всех уполномоченных лиц. Ответственность за хранение персональных данных должна быть также прописана в Положении (см. свиток).
Организация обработки и защиты персональных данных в малых организациях
В связи с приближением даты приведения в соответствие с требованиями действующего законодательства информационных систем персональных данных, указанной вФЗ № 152-ФЗ "О персональных данных", перед операторами встает вопрос порядка их действий по выполнению этих требований.
В крупных организациях, имеющих в своем составе службы администрирования ЛВС, безопасности информации, сопровождения баз данных, а также юридическую службу, вопросами защиты персональных данных, как правило, занимаются довольно давно и плотно. В малых же организациях, в которых нет таких подразделений (их функции выполняют либо приходящие специалисты, либо "продвинутые" родственники или знакомые), в лучшем случае о появлении законодательства о персональных данных только слышали. К последним можно отнести МБДОУ №15, отделы администрации, малые предприятия и многие другие. Бюджеты данных организаций сильно ограничены, и появление еще одной статьи расходов - это кошмарный сон руководителя.
В рамках данной статьи мы попытаемся определить, какие действия должен предпринять руководитель такой организации, чтобы с минимальными финансовыми затратами выполнить требования законодательства по вопросам персональных данных.
Наличие персональных данных
Для начала необходимо определить, имеются ли в организации персональные данные, их объем и где они содержатся. В этом помогут ФЗ № 152-ФЗ "О персональных данных" и Трудовой кодекс, которые определяют, что такое персональные данные и их обработка. Объем персональных данных имеет две составляющие: перечень идентификаторов (полей в форме) о субъекте персональных данных и количество субъектов. Персональные данные могут обрабатываться как с использованием средств автоматизации (например, СУБД "1С: Зарплата", установленная на ПЭВМ), так и без использования таких средств (например, на бумаге). В первом случае необходимо выполнять требования постановления Правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", во втором - требования постановления Правительства РФ № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Необходимость обработки персональных данных
Следующий шаг - важно определить необходимость обработки этих данных и правовое основание на их обработку. Дело в том, что объем персональных данных непосредственно влияет на требования к системе их защиты и соответственно на общую стоимость всех мероприятий, поэтому чем меньше обрабатывается данных, тем меньше будут затраты на их защиту. Правовым основанием обработки персональных данных можно считать перечень соответствующих виду деятельности кодов ОКВЭД в свидетельстве о государственной регистрации юридического лица (индивидуального предпринимателя) и, как следствие, законы и нормативные акты, регламентирующие заявленный вид деятельности. Стоит обратить внимание, что к разделу 72 ОКВЭД можно отнести обработку персональных данных средствами вычислительной техники, например СУБД "1С: Зарплата" или "Парус". В случае отсутствия соответствующих статей в учредительных документах имеет смысл провести работу по их добавлению.
Сбор данных и определение необходимости отправки уведомления
Затем необходимо собрать исходные данные, перечень которых можно взять из приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
После всего вышеперечисленного нужно проанализировать статью 22 ФЗ № 152-ФЗ и определить необходимость отправки уведомления о намерении обработки персональных данных в территориальный орган Россвязькомнадзора. Форму уведомления и адреса территориальных органов можно найти на сайте Федеральной службы по надзору в сфере связи и массовых коммуникаций по адресу http://www.rsoc.ru/main/di-rections/874/
Документация
Далее необходимо создать внутреннюю документацию организации, регламентирующую обработку персональных данных. Ее условно можно разделить на две части: общая документация и документация по защите персональных данных.
В первую группу должны войти: положение о персональных данных и общий технологический регламент их обработки. В первом документе необходимо отразить следующие вопросы:
∙ цели обработки персональных данных;
∙ круг субъектов, персональные данные которых подлежат обработке;
∙ состав персональных данных, необходимый для обработки;
∙ источники получения персональных данных;
∙ сроки хранения и сроки обработки;
∙ способы обработки персональных данных;
∙ маркировка и учет персональных данных;
∙ требования к персоналу;
∙ порядок взаимодействия с владельцем персональных данных;
∙ юридические последствия, возникающие при нарушении конфиденциальности персональных данных;
∙ сроки реагирования на обращения субъектов персональных данных;
∙ определение технических и программных средств обработки персональных данных;
∙ порядок защиты персональных данных;
∙ порядок контроля над соблюдением требований по обращению и защите персональных данных;
∙ требования к внутренней документации;
∙ должностные инструкции персонала, допущенного к обработке персональных данных.
Общий технологический регламент обработки персональных данных должен содержать описание технологического процесса обращения с персональными данными на всех этапах жизненного цикла без учета средств защиты информации:
∙ порядок приема должностными лицами персональных данных, внесения их в базу данных, обработки, хранения, дополнения, исправления, передачи, обезличивания, уничтожения; время и сроки выполнения всех операций;
∙ порядок взаимодействия с субъектом персональных данных (получение согласия на обработку, реагирование на запросы, предоставление собранной информации, уведомление о передаче, уничтожении);
∙ типовые формы документов (запросы, оповещения, разрешения и т.п.);
∙ порядок обращения с носителями информации: учета, хранения, присвоения и изменения класса персональных данных, передачи, приема, уничтожения, перевода в другой вид (например, распечатка электронного документа);
∙ порядок обращения с электронными и распечатанными носителями персональных данных при чрезвычайных ситуациях (наводнение, пожар, пропадание электропитания, теракт, вооруженное нападение, неадекватные действия клиентов, действия вирусов (атаки), отказы оборудования, переезды, нестыковки ключевой документации, введение военного положения);
∙ порядок обращения с электронными носителями персональных данных, средствами автоматизации, их содержащими, при техническом обслуживании и ремонте.
С наступлением 1 января 2010 г. над любым оператором персональных данных, не выполнившим требования, нависнет угроза штрафов, приостановки действия или даже отзыва лицензии. |
За разработкой документации по защите персональных данных рекомендуется обратиться к организациям, имеющим лицензии ФСТЭК и ФСБ России на деятельность по технической защите конфиденциальной информации.
Выполнение требований
Затем необходимо определиться и выполнить требования по инженерной защите объекта, на котором обрабатываются персональные данные в соответствии с требованиями постановления Правительства РФ № 687. Кроме того, рекомендуется привести в соответствие с требованиями пожарную и охранную сигнализацию.
Следующим шагом является выполнение требований руководящих документов ФСТЭК и ФСБ России по защите персональных данных. Данный вид деятельности является лицензируемым, и для его выполнения требуется привлекать организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации. На этом же этапе необходимо разработать специальный технологический регламент, который должен включать все вопросы общего с наложенными требованиями, предъявляемыми системой защиты информации.
Далее необходимо организовать повышение квалификации сотрудников и их осведомленности в области защиты персональных данных.