Муниципальное автономное дошкольное образовательное учреждение "Центр развития ребенка - детский сад №14"

Адрес142306, Московская область, Чехов, Чехов, улица Лопасненская, дом 14

Контакты администрации

Защита персональных данных участников образовательного процесса

 ПОЛОЖЕНИЕ

по обработке и защите персональных данных

МУНИЦИПАЛЬНОЕ АВТОНОМНОЕ ДОШКОЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

                                                 ДЕТСКИЙ САД № 14               

ОБЩЕРАЗВИВАЮЩЕГО ВИДА

г. Чехов

2013 год


I. Общие положения

1.1. Настоящее Положение по обработке и защите персональных данных (далее — Положение) Муниципального автономного дошкольного образовательного учреждения детского сада № 14» (далее - Учреждение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152, постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом Российской Федерации, иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2. Цель разработки Положения  - определение порядка обработки персональных данных (далее - ПДн) в Учреждении; обеспечение защиты прав и свобод субъектов Пдн при обработке их данных, а также установление ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту Пдн.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом.

1.4. Все работники Учреждения должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности Пдн в отношении персональных данных работников организации снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом.

1.6. Контроль за соблюдением настоящего Положения осуществляет ответственным за защиту ИСПДн (назначается приказом по Учреждению).

II. Основные понятия и состав персональных данных

Для целей настоящего Положения используются следующие основные понятия и определения:

«персональные данные» ‑ любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

«оператор» ‑ государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

«субъект» ‑ субъект ПДн;

«обработка персональных данных» ‑ действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

«распространение персональных данных» ‑ действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;

«использование персональных данных» ‑ действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта Пдн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;

«блокирование персональных данных» ‑ временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи;

«уничтожение персональных данных» ‑ действия, в результате которых невозможно восстановить содержание ПДн в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

«обезличивание персональных данных» ‑ действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн;

«информационная система персональных данных» (далее - ИСПДн) ‑ информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств;

«конфиденциальность персональных данных» ‑ обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания;

 «общедоступные персональные данные» ‑ ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

«информация»  ‑ сведения (сообщения, данные) независимо от формы их представления.

«доступ к информации» ‑ возможность получения информации и ее использования:

«документированная информация» ‑ зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

III.  Цели и задачи обработки персональных данных

3.1. В соответствии с разделом 2 настоящего Положения оператором, организующим и осуществляющим обработку ПДн, является Учреждение.

3.2. К ПДн персональным данным относятся:

3.2.1 Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

3.2.2. Сведения о месте жительства субъекта.

3.2.3. Информация, содержащаяся в трудовой книжке работника.

3.2.4. Сведения об образовании, квалификации или наличии специальной подготовки.

3.2.5. Сведения о заработной плате работников.

3.2.6. Иные сведения: сведения о прохождении медицинского осмотра

3.3. Обработка ПДн осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам ПДн в осуществлении трудовой деятельности, исполнение договорных обязательств, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и  качества выполняемой работы и обеспечения сохранности имущества.

3.4. Обработка ПДн осуществляется:

- без использования средств автоматизации (в части 3.2.3 – информация, содержащаяся в трудовой книжке)

- с использованием средств автоматизации (в части 3.2.1; 3.2.2; 3.2.4 ; 3.2.5; 3.2.6)

3.5. Обработка персональных данных в ИСПДн Учреждения осуществляется для решения следующих задач:

учет кадрового состава;

  • составление банка данных для курсовой подготовки, прохождения диспансеризации;
  • бухгалтерского учета и контроля за финансово-хозяйственной  деятельностью учреждения и исполнением финансовых обязательств по заключенным договорам

3.6. При принятии решений, затрагивающего интересы субъекта ПДн, нельзя основываться на ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.

IV. Субъекты персональных данных

4.1. В соответствии с разделом 2 настоящего Положения к субъектам персональных данных относятся следующие категории физических лиц:

- работники Учреждения;

- кандидаты для приема на работу;

- воспитанники Учреждения;

- родители воспитанников Учреждения (законные представители).

4.2. Все ПДн субъекта оператору следует получать у него самого. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Учреждения должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа дать письменное согласие на их получение.

4.3. Учреждение не имеет права получать и обрабатывать данные субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.4. Субъект ПДн самостоятельно принимает решение о предоставлении своих ПДн и дает согласие на их обработку.

Обработка указанных данных возможна только с их согласия, либо без их согласия в соответствии со ст. 6 Федеральным законом «О персональных данных.

4.5. Согласие на обработку ПДн оформляется в письменном виде.

Письменное согласие на обработку своих персональных данных должно включать в себя:

фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн;

цель обработки ПДн;

перечень ПДн, на обработку которых дается согласие субъекта персональных данных;

перечень действий с ПДн , на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

срок, в течение которого действует согласие, а также порядок его отзыва.

4.6. Согласие на обработку ПДн может быть отозвано субъектом ПДн по письменному запросу на имя руководителя Учреждения.        

4.7. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту тайны

4.8. Субъект ПДн имеет право на получение следующей информации:

сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;

перечень обрабатываемых ПДн и источник их получения;

сроки обработки ПДн, в том числе сроки их хранения;

сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн.

4.9. Субъект ПДн вправе требовать от оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.10. Сведения о ПДн должны быть предоставлены субъекту ПДн оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам ПДн.

4.11. Доступ к своим ПДн предоставляется субъекту ПДн или его законному представителю оператором при получении письменного запроса субъекта ПДн или его законного представителя. Письменный запрос должен быть адресован на имя руководителя Учреждения или уполномоченного руководителем лицо.

4.12. Субъект в праве обжаловать в уполномоченный орган по защите прав субъектов персональных данных (Управление Федеральной службы по надзору в сфере связи и массовых коммуникаций по Москве и Московской области) или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его ПДн.

V. Состав персональных данных, обрабатываемых с использованием автоматизированной системы

5.1. Состав ПДн, обрабатываемых с использованием автоматизированной системы Учреждения, определяется настоящим Положением и соответствует целям и задачам сбора, обработки и использования ПДн в соответствии с разделом 3 настоящего Положения.

5.2. Перечни ПДн и ИСПДН утверждаются руководителем Учреждения.

VI. Порядок сбора, хранения и использования персональных данных

6.1. Субъекты ПДн при получении от них согласия на обработку ПДн в ИСПДн должны быть ознакомлены с перечнем собираемых и используемых сведений, с целями и задачами сбора, хранения и использования ПДн.

6.2. ПДн могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

6.3. Порядок хранения анкет и иных документов, содержащих информацию ПДн, а также согласий на обработку персональных данных определяются в соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об обеспечении безопасности персональных данных, осуществляемой без использования  средств автоматизации».

6.4. Ввод персональных данных в ИСПДн осуществляется работником, имеющим доступ к работе с ПДн, и в соответствии с его должностными обязанностями. На бумажном носителе информации, содержащей ПДн (анкеты, личные листки и др.) работник, осуществляющий ввод данных, оставляет отметку о дате ввода информации и о лице, осуществившем ее ввод. 

6.5. Сотрудники, осуществляющие ввод и обработку данных с использованием средств автоматизации, несут ответственность за достоверность и полноту введенной информации.

6.6. При работе со средствами ИСПДн, реализующими функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.

6.7. Хранение ПДн в ИСПДн осуществляется на бумажных и электронных носителях с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.

6.8. ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.

6.9. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.10. Хранение резервных и технологических копий баз данных ИСПДн, содержащих информацию персонального характера, осуществляется на бумажных, электронных  и сменных носителях, доступ к которым ограничен.

6.11. Вынос резервных и технологических копий баз данных ИСПДн, содержащих информацию персонального характера, из Учреждения запрещен. Передача и копирование их допустима только для прямого использования с целью технологической поддержки ИСПДн.

6.12. Копировать и делать выписки ПДн работника разрешается исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица.

VII. Особенности предоставления доступа к персональным данным

7.1. Доступ сотрудников к ПДн, содержащимся как в ИСПДн, так и на бумажных носителях осуществляется с письменного согласия руководителя Учреждения или уполномоченного им лица (допуск).

7.2. Сотрудник, получивший допуск к ПДн, должен быть ознакомлен с настоящим Положением.

7.3. При получении доступа к ПДн сотрудники подписывают Обязательство о неразглашении персональных данных.

7.4. Доступ к ИСПДн разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.

7.5. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в ИСПДн. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.

Запрещается использование для доступа к ИСПДн учетных записей других пользователей.

7.6. Созданием, удалением и изменением учетных записей пользователей ИСПДн занимаются уполномоченные администраторы в соответствии с должностными обязанностями.

7.7. Право доступа к персональным данным субъектов персональных данных в части их касающейся имеют:

- заведующий детским садом – все ПДн;

- старший воспитатель – данные о педагогических работниках, их квалификации, аттестации, стаже и характере работы;

VIII. Порядок передачи информации, содержащей персональные данные

8.1. В соответствии с законодательством Российской Федерации ПДн Учреждения могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в случаях, установленных федеральным законом.

8.2. Передача информации третьей стороне возможна только при письменном согласии работников.

IX. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

9.1. Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

9.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.

20 января 2014 г.
Дата публикации — 18.03.2014