Рейтинг: 4.8/5.0 (1846 проголосовавших)Категория: Бланки/Образцы
В МАОУ "Падунская СОШ" была проведена соответствующая работа в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных»:
1. Приказами директора:
- введен режим обработки и защиты персональных данных МАОУ «СОШ № 59»
- назначен ответственный за безопасность персональных данных
- назначен администратор информационной безопасности
2. Организован доступ ответственных за обработку персональных данных в информационных системах персональных данных, на основании прав перечисленных в Матрице о разграничении прав доступа к обрабатываемым персональным данным.
3. Разработан комплект документов согласно ФЗ №152:
- Положение об обработке и защите персональных данных МАОУ "Падунская СОШ"
- Согласие работника на обработку своих персональных данных
- Согласие родителей на обработку персональных данных ребенка
- Инструкция администратора информационных систем персональных данных.
4. Меры по обеспечению безопасности ПДн сотрудников, учащихся и их родителей (законных представителей) в МАОУ "Падунская СОШ" при их обработке.
Организационные меры: информация о ПДн доступна для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, назначены ответственные за обеспечение безопасности персональных данных, в организации в ближайшее время будет введено положение о защите персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации.
Технические меры. используется электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
5. Правовое основание обработки персональных данных.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);
Гражданский кодекс РФ;
Налоговый кодекс РФ;
Закон РФ от 10.07.1992 № 3266-1 «Об образовании»;
Устав МАОУ «Падунская СОШ»
6. Правовое основание защиты персональных данных:
Закон РФ «О персональных данных» №152-ФЗ от 27.07.2006г.;
Статья 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;
Статья 137 УК РФ «Нарушение неприкосновенности частной жизни».
Категории персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей учащихся (законных представителей), сведения об учебном процессе и занятости обучающегося ( перечень изученных, изучаемых предметов и факультативных курсов, успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной и итоговой аттестации, данные о посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения и др.
Цель обработки персональных данных: осуществление образовательной деятельности (получение начального образования, основного общего образования, среднего полного общего образования, в т.ч. формирование базы данных в рамках проведения ЕГЭ.
Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.
ИНФОРМАЦИЯ О ПЕРЕЧНЕ ДОКУМЕНТОВ ИСПДн
Наименование учреждения: Муниципальное автономное общеобразовательное учреждение Заводоуковского городского округа «Падунская средняя общеобразовательная школа имени Заслуженного учителя школы РСФСР И.Е. Хребтова»
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Председатель Правительства
Российской Федерации
В. Зубков
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
об обеспечении безопасности персональных данных
муниципального общеобразовательного учреждения
Крупинской средней общеобразовательной школы
1.1.Настоящим положением определяется порядок получения, обработки, хранения и другого использования персональных данных работниковмуниципального общеобразовательного учреждения Крупинской
средней общеобразовательной школы – далее Учреждение.
1.2. Положение о работе с персональными данными определяет основные требования к работе с персональными данными работниками образовательного учреждения.
1.3. Настоящее положение разработано на основании Федерального закона от 27.07.2006 г. № 152 -Ф3 «О персональных данных» с изменениями от 25.11.2009 г. № 266 -ФЗ «О внесении изменений в Федеральный закон «О персональных данных», Федерального закона от 27.07.2006 г. №149 ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ от 17.11. 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.11.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4. Цель разработки настоящего положения - определение порядка с персональными данными работников Учреждения, обеспечение защиты их прав и свобод, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников.
1.5. Лица, персональные данные которых используются:
- физические лица, состоящие в договорных отношениях с Учреждением,
- работники Учреждения, с которыми заключены трудовые договоры;
- участники образовательного процесса (обучающиеся, родители обучающихся, их законные представители).
1.6. Порядок ввода в действие и изменения положения:
1.6.1. Настоящее положение утверждается и вводится в действие приказом директора образовательного учреждения и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.
1.6.2. Все изменения и дополнения в положение вносятся приказом директора образовательного учреждения.
1.7. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, если иное не определено законом.
2. Основные понятия и состав персональных данных
Для реализации целей настоящего положения используются следующие понятия:
- персональные данные работника - информация, относящаяся к определенному или определенному на основании такой информации сотруднику, необходимая работодателю в связи с трудовыми отношениями;
- персональные данные участника образовательного процесса - информация, относящаяся к определенному или определенному на основании такой информации участнику образовательного процесса, необходимая в связи с его обращением в Учреждение с заявлением или с жалобами;
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение, обновление, использование, передача, обезличивание, блокирование, уничтожение персональных данных работников Учреждения;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работника, участника образовательного процесса, требование не допускать их распространения без его согласия или иного законного основания;
- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия конкретного участника образовательного процесса или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их преставления;
- документированная информация - зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.1. В состав персональных данных работников Учреждения входят документы, содержащие информацию, необходимую работодателю в связи с трудовыми отношениями при его приеме, переводе, увольнении (о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы).
2.1.1 Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса РФ лицо, поступающее на работу,
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
2.1.2. При оформлении работника в Учреждение заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и библиографические данные работника:
- общие сведения (Ф.И.О. ребенка, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о приеме на работу;
- сведения о переводе на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения о месте жительства и контактных телефонах.
2.1.3. В Учреждении создаются и хранятся группы документов, содержащие данные о работниках в единичном или сводном виде.
2.1.4. Документы, содержащие персональные данные работников:
- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- подлинники и копии приказов по личному составу: личные дела и трудовые книжки работников;
- дела, содержащие основания к приказу по личному составу;
- дела, содержащие материалы аттестации работников;
- копии отчетов, направленных в государственные органы статистики, налоговые инспекции и другие учреждения).
2.1.5. Документация по организации работы школы (Устав школы, положения, должностные инструкции работников, приказы, приказы Управления образования Администрации Павлово-Посадского муниципального района), документы по планированию, учету, анализ и отчетность в части работы с персоналом.
2.2. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф на них не ставится.
3.1. Под обработкой персональных данных работников понимается получение, хранение, комбинирование, передачи или любое другое использование персональных данных работника.
3.2. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных работника обязан соблюдать следующие общие правила:
3.2.1. При определении объема и содержания, обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
3.2.2. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.2.3. Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то последний должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.4. Письменное согласие работника на обработку своих персональных данных включает в себя:
- фамилия, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилия, имя, отчество, адрес оператора, получающего согласие работника на получение персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие работника;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- сроки, в течение которых действует согласие, а также порядок его отзыва.
3.2.5. Согласие работника на обработку своих персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового Кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг работников, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
3.2.6. Оператор не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.2.7. Оператор не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.2.8. Обработка персональных данных работников Учреждения может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.9. Работники должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
3.3. Использование персональных данных возможно только в соответствии с целями, определяющими их получение.
3.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
З.4. При принятии решений, затрагивающих интересы работника, оператор не имеет права основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.5. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными) оператор до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- фамилия, имя, отчество, адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права работника, предоставляющего персональные данные.
4. Доступ к персональным данным
4.1. Оператор должен разрешить доступ к персональным данным работника только специально уполномоченным лицам, определенным приказом по школе, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
4.2. Внутренний доступ к персональным данным работников. К обработке, передаче и хранению персональных данных работника имеют доступ:
- руководители Учреждения: директор, заместители директора;
- специалист, отвечающий за обработку персональных данных работников школы при их приеме на работу, увольнении или перемещении по службе;
- сам работник, носитель персональных данных;
- сотрудники Управления образования при выполнении ими служебных обязанностей.
4.3. Конкретный перечень лиц, имеющих доступ к персональным данным работников, определяется приказом директора школы.
4.4. Внешний доступ к персональным данным работников.
К числу массовых потребителей персональных данных вне образовательного учреждения можно отнести государственные и муниципальные функциональные структуры:
-органы социального страхования;
- подразделения муниципальных органов местного самоуправления.
4.5. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.6. Организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.7. Сведения о работнике школы или уже уволенном могут быть представлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
4.8. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
5. Передача и хранение персональных данных
5.1. Передача персональных данных работника возможна только с его согласия или в случаях, прямо предусмотренных законодательством.
5.1.1. При передаче персональных данных работника оператор должен соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работника в порядке, установленном федеральными законами;
- передавать персональные данные работника его представителям в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
5.1.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
5.1.3. При передаче персональных данных работника (в том числе и в коммерческих целях) за пределы школы оператор не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
5.1.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких данных обязан представить работнику следующую информацию:
фамилия, имя, отчество, адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных
- установленные настоящим Федеральным законом права работника, предоставляющего персональные данные.
5.1.5. Осуществлять передачу персональных данных работников в пределах школы в соответствии с настоящим положением.
5.2. Хранение персональных данных происходит в порядке, исключающем их утрату или их неправомерное использование.
5.2.1 Персональные данные работников хранятся в школе.
5.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1 С: Зарплата и кадры»
5.2.3. Персональные данные работников школы хранятся на бумажных носителях в помещении школы, для этого используются оборудованные шкафы и сейфы. Личные дела уволенных работников хранятся в архиве школы.
5.2.4. Сведения о начислении и выплате заработной платы работникам хранятся на бумажных носителях в помещении бухгалтерии. По истечении сроков хранения, установлены законодательством РФ, данные сведения передаются в архив школы.
5.3. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные работников, возлагаются на должностных лиц школы и закрепляются в должностных инструкциях.
5.4. В отношении некоторых документов действующим законодательством РФ могут быть установлены иные требования хранения, чем предусмотрено настоящим положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
6.1. Защита персональных данных представляет собой регламентированный и динамически выстроенный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий достаточно надежную безопасность информации.
6.2. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законом.
6.3. «Внутренняя защита»
6.3.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и работниками школы.
6.3.2. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение состава сотрудников, в функциональные обязанности которых входит работа по обработке персональных данных работников;
- строгое избирательное обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа сотрудников к персональным данным;
- разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- ограничение в работе с личными делами сотрудников. Личные дела могут выдаваться на рабочие места только директором школы. Личные дела сотрудников могут быть выданы в исключительных случаях, по письменному разрешению директора школы и его заместителей.
6.3.3. Обеспечение защиты персональных данных работника на электронных носителях. Все информационные базы, содержащие персональные данные работников, должны быть защищены паролем, который сообщается только назначенному приказом директора школы.
6.4. «Внешняя защита»
6.4.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быт не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
6.4.2. Для обеспечения внешней защиты необходимо соблюдать ряд мер:
- строго ограниченный доступ сотрудников к базе персональных данных;
- использование паролированного доступа к базе персональных данных;
- отключение от общей сети персональных компьютеров с информационными базами данных;
- установление сертифицированной системы защиты персональных данных;
- технические средства охраны, сигнализации;
- обеспечение круглосуточной охраны здания и помещений школы.
6.5. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
6.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
6.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации.
7.Права работников по обеспечению защиты их персональных данных
7.1. Работники имеют право на полную информацию о своих персональных данных и их обработке, а также право на получение свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные.
7.2. Работники могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.
7.3. Персональные данные оценочного характера работник имеют право дополнить заявлением, выражающим его собственную точку зрения.
7.4. Работники имеют право на сохранение и защиту своей личной жизни и семейной тайны.
7.5. Работники могут обжаловать в уполномоченный орган по защите прав или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
8. Обязанности работников по обеспечению достоверности их персональных данных
8.1. Для обеспечения достоверности персональных данных работники обязаны предоставлять оператору или его представителю точные сведения о себе.
8.2. В случае изменения сведений, составляющих персональные данные, работник обязан в течение 10 рабочих дней сообщить об этом оператору.
8.3. Работник обязан своевременно поставить в известность директора школы об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов, при необходимости изменяются данные об образовании, профессии, специальности и др.
8.4. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение Морального, материального вреда.
8.5. Предоставление работнику гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством.
9. Ответственность за нарушение настоящего положения
9.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
9.2. Оператор, в соответствии со своими полномочиями владеющий информацией о работниках, получающий и использующий ее, несет ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность на основании ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса РФ об административных правонарушениях.
9.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.4. Каждый сотрудник, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации, за неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера директор школы вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
9.5. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечивать каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного взыскания.
9.6. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность на основании ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю» и ст. 241 «Пределы материальной ответственности работника» Трудового кодекса РФ.
9.7. Материальный ущерб, нанесенный работнику за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в полном объеме наосновании ст. 235 «Материальная ответственность работодателя за ущерб, причиненный имуществу работника» Трудового кодекса РФ, а моральный ущерб - в форме и размерах, определенных трудовым договором на основании ст. 237 «Возмещение морального вреда, причиненного работнику» Трудового кодекса РФ.
9.8. Неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью.
10. Заключительные положения
10.1. Настоящее положение вступает в силу с момента его утверждения директором Учреждения.
10.2. Настоящее положение доводится до сведения всех сотрудников школы.
