Положение по персональным данным

14.09.2014 20:03

 

 

УТВЕРЖДАЮ

Заведующий МБДОУ детский сад

«Светлячок» с. Посёлки

___________________ И.А.Маришева

«____»________________2012 г.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


ПОЛОЖЕНИЕ

о порядке обработки и защиты

 персональных данных

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2012

 

Содержание

Обозначения и сокращения.…………………………………………………

3

Термины и определения…………………………………………..…………

4

1. Основные положения……………………………………….……………..

6

2  Обязанности оператора………………………………………….………...

13

3. Права субъекта ПДн по обеспечению защиты ПДн, обрабатываемых оператором………………………................................................................

18

4. Хранение и использование персональных данных...................................

20

5. Передача персональных данных………………………………………….

24

6. Защита персональных данных………………….…………………….......

26

7. Ответственность за нарушение режима защиты, обработки и порядка использования персональных данных…………………………………….

28

 


Обозначения и сокращения

 

ИСПДн – информационная система персональных данных.

МНИ – машинный носитель информации.

ПДн – персональные данные.

Положение – настоящее «Положение о порядке обработки и защиты персональных данных».

Типовая форма – типовая форма документов, содержащих ПДн.

ЭСО – электронная система образования.


Термины и определения

 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Доступ к информации – возможность получения информации и ее использования.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Носитель информации – физический объект, предназначенный для хранения информации.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. (В контексте данного документа оператором является образовательное учреждение)

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.


  1. Основные положения

 

  1. Настоящее Положение разработано в соответствии с требованиями:
  • федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Трудового кодекса Российской Федерации;
  • положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (постановление Правительства РФ от 15 сентября 2008г. № 687);
  • положения «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено Постановлением Правительства РФ от 17.11.2007 г. N 781.
  • постановления Правительства РФ от 21 марта 2012 года № 211 « Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
    1. Настоящее Положение разработано в целях соблюдения требований законодательства Российской Федерации в области ПДн и защиты информации, относящейся к личности субъектов ПДн образовательных учреждений.
    2. Настоящим Положением определяется порядок обработки (сбор, накопление, хранение, использование, распространение, уничтожение) ПДн субъектов ПДн образовательных учреждений.
    3. В состав ПДн субъектов ПДн образовательных учреждений входят:
  • паспортные данные;
  • анкета;
  • автобиография;
  • сведения об образовании и специальности;
  • сведения о трудовом и общем стаже;
  • сведения о предыдущем месте работы;
  • сведения о составе семьи;
  • сведения о воинском учете;
  • сведения о заработной плате;
  • сведения о социальных льготах;
  • наличие судимостей;
  • адрес места жительства;
  • номер домашнего телефона;
  • адрес электронной почты (личной, служебной);
  • адрес в системе видеоконференцсвязи;
  • содержание трудового договора;
  • принадлежность к образовательному учреждению;
  • принадлежность к  учебной группе;
  • данные ДУЛ;
  • история обучения (для воспитанников);
  • послужной список (для воспитателей);
  • информация о поощрениях
  • содержание декларации, подаваемой в налоговую инспекцию;
  • подлинники и копии приказов по личному составу;
  • основания к приказам по личному составу;
  • сведения о повышении квалификации и переподготовке, об аттестации;
  • сведения, направляемые в органы статистики;
  • сведения о заболеваниях, нетрудоспособности;
  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей, обучению;
  • информация об ограничениях и потребностях по здоровью;
  • информация о физическом развитии;
  • информация о поощрениях;
  • информация об успеваемости;
  • информация о ведении (для воспитателей) дополнительных курсов/кружков;
  • информация о посещении (для воспитанников) дополнительных курсов/кружков;
  • информация о месте в очереди в дошкольное образовательное учреждение;
  • информация о родителях/законных представителях (ФИО, данные ДУЛ, телефон);
  • рекомендации, характеристики и иные сведения, относящиеся к персональным данным субъектов ПДн;
  • иные документы, содержащие сведения о субъекте ПДн нахождение которых в ИСПДн оператора необходимо для корректного документального оформления правоотношений с субъектом ПДн.
  • ПДн субъектов ПДн, внесенные в ИСПДн оператора, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации.
    1. Обеспечение конфиденциальности ПДн не требуется:
  • в случае обезличивания ПДн;
  • в отношении общедоступных ПДн.
    1. В целях исполнения требований законодательства РФ (в том числе трудового законодательства), субъект ПДн обязан:
      1. Передавать оператору достоверные, документированные ПДн, состав которых установлен законодательством РФ (в том числе Трудовым кодексом РФ,  законом «О персональных данных» и т.д.).
      2. В случае изменения сведений, содержащих ПДн (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, семейном положении, состоянии здоровья (при выявлении противопоказаний для выполнения служебных обязанностей (работы, обучения), обусловленных служебным контрактом (трудовым договором), или иных, своевременно (как правило, в 3-дневный срок) сообщать о таких изменениях оператору ПДн.
    2. Доступ к ПД субъектов ПДн разрешается только специально уполномоченным лицам, при этом указанные лица могут получать только те ПДн субъектов ПДн, которые необходимы для выполнения конкретных функций.
    3. Руководитель образовательного учреждения определяет перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование ПДн субъектов ПДн образовательного учреждения и несущих ответственность за нарушение режима защиты этих ПДн в соответствии с законодательством Российской Федерации.
    4. Все лица, в функциональные (должностные) обязанности которых входит получение, обработка и защита ПДн субъектов ПДн в ИСПДн оператора ПДн, при приёме на работу обязаны подписать обязательство о неразглашении ПДн.
    5. Обработка ПДн допускается в следующих случаях:
  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
  • обработка ПДн необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта ПДн на едином портале государственных и муниципальных услуг;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн, за исключением целей по продвижению товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (допускается только при условии предварительного согласия субъекта ПДн);
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные ПДн);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
    1. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законом «О персональных данных».
      1. Обработка специальных категорий ПДн допускается в случаях, если:
  • субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
  • ПДн сделаны общедоступными с субъектом ПДн;
  • обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
  • обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно – розыскной деятельности, об исполнительном производстве, уголовно – исполнительным законодательством Российской Федерации;
  • обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
    1. Операторы, являющиеся государственными органами, муниципальными органами могут создавать в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные ИСПДн.
    2. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки ПДн или обозначения принадлежности ПДн, содержащихся в государственных или муниципальных ИСПДн, конкретному субъекту ПДн. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности ПДн, содержащихся в государственных или муниципальных ИСПДн, конкретному субъекту ПДн.

 


  1. Обязанности оператора

 

  1. В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке ПДн субъекта ПДн обязаны соблюдать следующие общие требования:
    1. Обработка ПДн субъекта ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам ПДн в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъектов ПДн, контроля количества и качества выполняемой работы, и обеспечения сохранности имущества.
    2. Все ПДн субъекта ПДн следует получать у него самого. Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
    3. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и пользователях ПДн, способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
    4. Оператор не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
    5. Оператор не имеет права получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
    6. При принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, оператор не имеет права основываться на ПДн субъекта ПДн, полученных исключительно в результате их автоматизированной обработки.
    7. Решение, порождающее юридические последствия в отношении работника или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме работника  или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
    8. Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
    9. Оператор обязан рассмотреть указанное выше возражение, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
    10. Оператор обязан обеспечить конфиденциальность ПДн, за исключением случаев обезличивания ПДн и в отношении общедоступных ПДн.
    11. В общедоступные источники ПДн (в том числе справочники, адресные книги) с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
    12. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по его требованию либо по решению суда или иных уполномоченных государственных органов.
    13. Защита ПДн субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена оператором за счет его (оператора) средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
    14. Субъекты ПДн и их представители должны быть ознакомлены под личную подпись с документами оператора, устанавливающими порядок обработки ПДн субъекта ПДн в конкретной ИСПДн, а также об их правах и обязанностях в этой области.
    15. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту тайны.
  2. Для устранения нарушений законодательства, допущенных при обработке ПДн, а также в целях уточнения, блокирования и уничтожения ПДн оператор обязан:
    1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
    2. В случае подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора ПДн) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
    3. В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора ПДн. В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.
      1. Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
    4. В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
    5. В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
    6. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в частях 2.2.3. – 2.3.5. настоящего документа, оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 


  1. Права субъекта ПДн по обеспечению защиты ПДн, обрабатываемых оператором

 

  1. Субъект ПДн имеет право письменного отзыва согласия на обработку его ПДн.
  2. В случае отзыва Субъектом ПДн согласия на обработку ПДн оператор  вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в федеральном законе «О персональных данных».
  3. Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся у оператора, имеет право:
    1. Получать полную информацию о своих ПДн и обработке ПДн, в том числе автоматизированной.
    2. Получать свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта ПДн, за исключением случаев, предусмотренных законом «О персональных данных».
    3. Требовать исключения или исправления неверных или неполных ПДн, а также ПДн, обработанных с нарушением Федерального законодательства. Субъект ПДн при отказе оператора исключить или исправить его ПДн имеет право заявить в письменной форме оператору о своем несогласии, обосновав соответствующим образом такое несогласие. ПДн оценочного характера субъект ПДн имеет право дополнить заявлением, выражающим его собственную точку зрения.
    4. Требовать от оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных изменениях или исключениях.
    5. Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн, считает, что оператор осуществляет обработку его ПДн с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
  4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
    1. Обработка ПДн, включая ПДн, полученные в результате оперативно - розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка.
    2. Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
    3. Доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

 


  1. Хранение и использование персональных данных

 

  1. Личные дела хранятся в бумажном виде в папках установленного образца, прошитые и пронумерованные по страницам. Личному делу присваивается регистрационный номер, который фиксируется в журнале учета личных дел. Личные дела находятся в кадровой службе в запираемых сейфах (металлических шкафах), обеспечивающих защиту от доступа посторонних лиц.
  2. Трудовые книжки хранятся отдельно от личных дел в закрытом сейфе (металлическом шкафу). Личные карточки субъектов ПДн (ф.Т-2) хранятся в картотечных ящиках, исключающих доступ к ним посторонних лиц.
  3. Копировать и делать выписки ПДн субъекта ПДн разрешается исключительно в служебных целях с письменного разрешения руководителя кадровой службы.
  4. Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке образовательного учреждения и в том объеме, который позволяет не разглашать излишний объем ПДн.
  5. Оформление справки с места работы производится по заявлению сотрудника образовательного учреждения. При выдаче справки с места работы необходимо удостовериться в личности сотрудника, которому эта справка выдается. Не разрешается выдавать её родственникам или сослуживцам лица, которому требуется справка (за исключением случаев предоставления нотариально заверенной доверенности).
  6. Первичные бухгалтерские документы по начислению зарплаты, по начислению за дни отпуска, ведомости распределения зарплаты, ведомости по удержаниям из заработной платы и т.п. подшиваются в дела и хранятся в сейфах (металлических шкафах). Лицевые счета сотрудников образовательных учреждений с расчетными листками хранятся в сейфах (металлических шкафах или картотечных шкафах).
  7. Для фиксации и хранения ПДн субъектов ПДн на бумажных носителях используются унифицированные формы, утверждённые Госкомстатом РФ.
  8. Номенклатурные дела с ПДн предусматриваются сводной номенклатурой дел образовательного учреждения и, при необходимости, регистрируются в номенклатурах дел кадровой службы и бухгалтерии.
    1. Указанные документы ведутся в соответствии с нормативными документами по кадровому и бухгалтерскому учёту Госкомстата РФ и Минтруда РФ.
    2. На номенклатурных делах кадровой службы и бухгалтерии (кроме дел с приказами по личному составу) проставляется гриф ограничения доступа «ПД» (персональные данные).
  9. При использовании типовых форм, должны соблюдаться следующие условия обработки ПДн, осуществляемой без использования средств автоматизации:
    1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, наименование и адрес предприятия, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн.
    2. Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн (при необходимости получения письменного согласия на обработку ПДн).
    3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, информация о которых содержится в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов других субъектов ПДн.
    4. Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
  10. ПДн субъектов ПДн могут также храниться в электронном виде в ИСПДн образовательного учреждения и на МНИ.
    1. На МНИ ПДн проставляется гриф ограничения доступа «ПД» (персональные данные), учёт их осуществляется в отдельных журналах.
    2. Порядок обработки и требования к обеспечению безопасности ПДн при их обработке в ИСПДн осуществляться в полном соответствии с утвержденной проектной, организационно - распорядительной и эксплуатационной документацией ИСПДн.
  11. Уничтожение носителей ПДн (бумажных документов и МНИ) производится комиссионно по актам установленной формы, с оформлением отметок об уничтожении в учётных журналах и номенклатуре дел.
  12. Носители ПДн пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями.
  13. Передача ПДн в электронном виде по телекоммуникационным каналам связи, осуществляется только по защищенным по требованиям безопасности информации в соответствии с законодательством РФ каналам связи.
  14. После увольнения (выпуска, перевода) субъекта ПДн в его личное дело вносятся соответствующие документы (заявление субъекта ПДн о расторжении трудового договора, копия приказа об увольнении и т.п.), дело и лицевой счёт передаются на архивное хранение.
  15. Уборка и другие необходимые хозяйственные работы в помещениях, в которых обрабатываются и (или) хранятся ПДн, производятся в присутствии сотрудников образовательного учреждения, отвечающих за находящиеся в этих помещениях носители ПДн. Во время уборки и хозяйственных работ все документы и носители ПДн должны находиться в сейфах (металлических шкафах, картотечных шкафах, ящиках).
  16. В конце рабочего дня все документы и МНИ, содержащие ПДн субъектов ПДн, убираются в надёжно запираемые сейфы (металлические шкафы, картотечные шкафы, ящики), которые уполномоченный сотрудник образовательного учреждения опечатывает своей личной печатью.
  17. Физическая защита помещений, в которых хранятся и обрабатываются ПДн, и технических средств ИСПДн обеспечивается с помощью персонала и инженерно - технических средств, предотвращающих или существенно затрудняющих проникновение в помещение посторонних лиц, хищение, подмену или уничтожение документов, накопителей и носителей информации.

 


  1. Передача персональных данных

 

  1. Информация, относящаяся к ПДн субъекта ПДн, может быть предоставлена государственным органам и негосударственным структурам только в порядке, установленном федеральным законодательством.
  2. Пользователями ПДн вне образовательного учреждения могут являются:
  • пользователи системы ЭСО;
  • налоговые инспекции;
  • правоохранительные органы;
  • органы статистики;
  • страховые агентства;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • кредитные организации;
  • подразделения федеральных и муниципальных органов управления.
    1. Надзорно - контрольные органы имеют право безвозмездно получать информацию, необходимую для реализации своих полномочий.
    2. ПДн субъекта ПДн могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта ПДн (его законного представителя).
    3. В случае развода бывшая супруга (супруг) имеют право обратиться в образовательное учреждение с письменным запросом о размере заработной платы субъекта ПДн (сотрудника образовательного учреждения) без его согласия в порядке, установленном законодательством РФ.
    4. Оператор не вправе предоставлять ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом.
    5. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение ПДн субъекта ПДн, либо отсутствует письменное согласие субъекта ПДн на предоставление его ПДн, оператор обязан отказать в предоставлении ПДн.
      1. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении ПДн.
    6. ПДн субъектов ПДн могут быть переданы представителям субъектов ПДн в порядке, установленном законодательством РФ (в том числе Трудовым кодексом), в том объеме, в каком это необходимо для выполнения указанными их представителями функций.
    7. Оператор обязан предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности.
    8. Запрещается передача ПДн субъекта ПДн в коммерческих целях без его письменного согласия.

 


  1. Защита персональных данных

 

  1. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
  2. Обеспечения безопасности ПДн субъектов ПДн достигается применением следующих организационных и технических мер:
    1. Пропускной режим образовательного учреждения.
    2. Оборудование помещений, в которых обрабатываются и хранятся ПДн, инженерно - техническими средствами охраны.
    3. Рациональное размещение рабочих мест сотрудников образовательного учреждения, при котором исключался бы доступ к защищаемой информации (ПДн) посторонних лиц.
    4. Определение и регламентация состава сотрудников образовательного учреждения, имеющих право входа в помещение, в котором обрабатываются ПДн.
    5. Ограничение и регламентация состава сотрудников образовательного учреждения, в функциональные обязанности которых предполагают наличие доступа к ПДн в принципе и к конкретным ПДн в частности.
    6. Избирательное и обоснованное распределение документов, носителей и информации между сотрудниками образовательного учреждения.
    7. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
    8. Знание лицами, уполномоченными на обработку и использование ПДн, требований нормативно-методических документов по их защите.
    9. Обеспечение необходимых условий в помещении для работы с носителями ПДн и ИСПДн.
    10. Организация порядка хранения и уничтожения носителей ПДн.
    11. Учет МНИ ПДн.
    12. Обеспечение раздельного хранения ПДн (материальных носителей, информации в электронном виде), обработка которых осуществляется в различных целях.
    13. Определение угроз безопасности ПДн при их обработке в ИСПДн.
    14. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн.
    15. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
    16. Использование защищённых по требованиям безопасности информации ИСПДн.
    17. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
    18. Обнаружение фактов НСД к ПДн и принятие соответствующих мер.
    19. Восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним.
    20. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

 


  1. Ответственность за нарушение режима защиты, обработки и порядка использования персональных данных

 

  1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут предусмотренную законодательством РФ ответственность.
  2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, установленных законодательством РФ, подлежит возмещению в соответствии с законодательством РФ.
  3. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

 

Назад