Приказ о персональных данных в оу

от

Официальный сайт МКУДО «ПРДЮСШ»

Приказ о назначении ответственных за обработку персональных данных

Муниципальное казённое учреждение дополнительного образования
«Прикубанская районная Детско-Юношеская Спортивная школа»

п. Кавказский, пр. Ленина, 24 тел. (87874) 4-15-24

ИНН/ КПП 0907005949/ 090701001

ПРИКАЗ

от 26.01.2017 г. п. Кавказский № 05

О назначении ответственных за обработку персональных данных

В целях обеспечения защиты персональных данных работников школы, обучающихся и их родителей (законных представителей) в том числе при обработке в информационной системе персональных данных; в целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ ч. 1 ст. 22 «О персональных данных»

ПРИКАЗЫВАЮ:

  1. Ответственным за организацию обработки персональных данных и осуществление мероприятий по защите персональных данных работников школы, обучающихся и их родителей (законных представителей) возлагаю на себя.
  2. Ответственному за организацию обработки персональных данных:

— организовать мероприятия по сбору, хранению и обработке персональных данных в соответствии с требованиями законодательства РФ;

— осуществлять внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных, в том числе требований к защите персональных данных;

— доводить до сведения работников содержания нормативно-правовых актов по вопросам обработки персональных данных, требований к защите персональных данных;

— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

  1. Назначить ответственной за сбор, хранение, обработку персональных данных по работникам организации зам. директора по методической работе Шарабокову Т.Г.
  2. Назначить ответственной за сбор, хранение, обработку персональных данных по обучающимся и их родителям (законным представителям) организации зам. директора по спортивной работе Кочкарову Т.М.
  3. Утвердить перечень документов по защите персональных данных для лиц организации, уполномоченных к доступу персональных данных (Приложение № 1).
  4. Контроль за исполнением настоящего приказа оставляю за собой.

Директор А.А. Чекунов

С приказом ознакомлены: _________ Шарабокова Т.Г. ________ Кочкарова Т.М.

к приказу от 26.01.2017 г. № 05

Список сотрудников,
ответственных за обработку персональных данных в
информационных системах персональных данных и
лиц, уполномоченных на получение и доступ к персональным данным
  • личные дела обучающихся;
  • личные дела сотрудников;
  • карточка унифицированной формы Т-2;
  • трудовые книжки;
  • медицинские книжки;
  • приказы по личному составу сотрудников;
  • трудовые договоры;
  • тарификационные данные
  • тетрадь учёта больничных листов;
  • статистическая отчетность;
  • сведения о состоянии здоровья обучающихся и работников школы;
  • материалы служебных расследований.
  • личные дела обучающихся;
  • личные дела работников ДЮСШ;
  • приказы по личному составу работников и обучающихся школы;
  • карточка унифицированной формы Т-2;
  • трудовые книжки;
  • медицинские книжки;
  • приказы по личному составу сотрудников;
  • статистические отчеты;
  • официальный сайт ОУ;
  • сведения о состоянии здоровья сотрудников и обучающихся;
  • ГИС «Образование».

· личные дела работников ДЮСШ;

· журналы учебных занятий;

· данные о состоянии здоровья обучающихся;

· организация процедур контрольной аттестации обучающихся;

Муниципальное казённое учреждение дополнительного образования

«Прикубанская районная Детско-Юношеская Спортивная школа»

п. Кавказский, пр. Ленина, 24 тел. (87874) 4-15-24

ИНН/ КПП 0907005949/ 090701001

ПРИКАЗ

от 26.01.2017 г. п. Кавказский № 06

Об утверждении инструкции

В соответствии с Федеральным законом Российской Федерации от 26.07.2006 № 152-ФЗ «О персональных данных», Положения МКУДО «ПРДЮСШ» «О защите персональных данных»

ПРИКАЗЫВАЮ:

  1. Утвердить должностную инструкцию лица, ответственного за организацию обработки персональных данных в МКУДО «ПРДЮСШ» (приложение 1).
  2. Утвердить список лиц, имеющих доступ к персональным данным (приложение № 2), вменить им в должностные обязанности за обработку персональных данных, соблюдение установленных требований конфиденциальности и безопасности обрабатываемых персональных данных.
  3. Утвердить перечень помещений, в которых осуществляется обработка персональных данных, список мест хранения материальных носителей персональных данных (приложение № 3).
  4. Утвердить перечень информационных систем (приложение № 4).
  5. Контроль за исполнением данного приказа оставляю за собой.

Директор А.А. Чекунов

к приказу от 26.01.2017 г. № 06

Должностная инструкция № 17

лица, ответственного за организацию обработки персональных данных

в МКУДО «ПРДЮСШ»

  1. Общие положения
  2. Должностная инструкция лица, ответственного за организацию обработки персональных данных в Муниципальном казенном учреждении дополнительного образования «Прикубанская районная детско-юношеская спортивная школа» (далее — Инструкция), разработана в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 № 211«Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися муниципальными органами».
  3. Настоящая Инструкция закрепляет обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных в МКУДО «ПРДЮСШ».
  4. Лицо, ответственное за организацию обработки персональных данных, в своей работе руководствуется Федеральным законом от 07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами, настоящей Инструкцией, а также иными локальными нормативными актами организации, регламентирующими вопросы обработки персональных данных.
  5. Лицо, ответственное за организацию обработки персональных данных в организации обязано:

— осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

— доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой указанных обращений и запросов.

  1. Права лица, ответственного за организацию обработки персональных данных в организации

Лицо, ответственное за организацию обработки персональных данных, имеет право:

— принимать решения в пределах совей компетенции; требовать от работников организации соблюдение действующего законодательства, а также локальных нормативных актов организации о персональных данных;

— контролировать в работе осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

— взаимодействовать с управлениями и иными структурными подразделениями организации по вопросам обработки персональных данных.

  1. Ответственность лица, ответственного за организацию обработки персональных данных в организации

За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о персональных данных лицо, ответственное за организацию обработки персональных данных в организации, несет предусмотренную законодательством Российской Федерации ответственность.

к приказу от 26.01.2017 г. № 06

Список лиц, имеющих права доступа к персональным данным

Официальный сайт МБОУ-СОШ №2 г.Армавира

Nav view search

Новости школы

Сведения об образовательной организации

Прием в школу

Обработка персональных данных

Воспитательная работа

Государственная итоговая аттестация

Работа с одаренными

ФГОС

Антикоррупция в школе

Аттестация педагогических работников

Дополнительное образование

ФОРУМ

Регистрация

АИС «Сетевой город. Образование»

Полезные ссылки

Школьный психолог

АНТИТЕРРОР

Всероссийская олимпиада школьников

Программа развития школы

ГТО

Достижения обучающихся

Наш ПРОФСОЮЗ

Версия для слабовидящих

Опрос оценки образовательного учреждения.

Приказ о введении режима обработки персональных данных

Подробности Просмотров: 3835

МУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ – СРЕДНЯЯ

ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА № 2

352919 Краснодарский край, г. Армавир, ул. Кочубея, 47, телефон (факс) 8 (86137) 3-35-66

ИНН / КПП 2302029240 / 230201001; ОГРН 1022300637248

П Р И К А З

« 26 » августа 2013 г. № 01 — 16 / 660

О введении режима обработки персональных данных в

Муниципальном бюджетном общеобразовательном

учреждении – средней общеобразовательной школе № 2

В связи с вступлением в действие Закона РФ № 273-ФЗ от 29 декабря 2012 г. «Об образовании в Российской Федерации» в целях исполнения Закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» приказываю:

  1. Ввести в МБОУ — СОШ № 2 режим обработки персональных данных.
  2. Назначить соответствующим приказом лиц, ответственных за обработку персональных данных в информационных системах персональных данных (ИСПДн).
  3. Разработать следующие локальные акты:

3.1. Положение о порядке обработки персональных данных в муниципальном бюджетном общеобразовательном учреждении – средней общеобразовательной школе № 2;

3.2. Положение о разграничении прав доступа к обрабатываемым персональным данным в Муниципальном бюджетном общеобразовательном учреждении — средней общеобразовательной школе № 2;

3.3. Положение об обработке персональных данных работников Муниципального бюджетного общеобразовательного учреждения — средней общеобразовательной школы № 2;

3.4. Положение о защите, хранении, обработке и передаче персональных данных обучающихся Муниципального бюджетного общеобразовательного учреждения — средней общеобразовательной школы № 2;

3.5. Инструкция по обеспечению безопасности персональных данных;

3.6. Инструкция администратора информационных систем персональных данных МБОУ — СОШ № 2;

3.7. Инструкция пользователя информационных систем персональных данных (ИСПДн) в МБОУ — СОШ № 2;

3.8. Инструкция пользователя ИСПДн по обеспечению обработки персональных данных при возникновении внештатных ситуаций;

3.9. Инструкция по организации антивирусной защиты в Муниципальном бюджетном общеобразовательном учреждении — средней общеобразовательной школе № 2.

  1. Организовать в соответствии с перечисленными в п.3. локальными актами доступ ответственных за обработку персональных данных в ИСПДн.
  2. Осуществлять режим защиты персональных данных в отношении данных перечисленных в Перечне персональных данных, подлежащих защите.
  3. Признать утратившими силу действовавшие ранее приказы в области обработки персональных данных.
  4. Приказ вступает в действие с момента его подписания.
  5. Контроль за исполнением настоящего приказа оставляю за собой.

Приказ о персональных данных в оу

Приложения к приказу:

Правила обработки персональных данных в форме инструкции лицам, ответственным за организацию обработки персональных данных (Приложение 1);

Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение 2);

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным Законом «О ПЕРСОНАЛЬНЫХ ДАННЫХ» (Приложение 3);

Правила работы с обезличенными персональными данными (Приложение 4);

Перечень информационных систем персональных данных (Приложение 5);

Перечни персональных данных, обрабатываемых в связи реализацией трудовых отношений, а также в связи с осуществлением государственных функций (Приложение 6);

Перечень должностей работников, ответственных за проведение мероприятий по обезличиванию персональных данных (Приложение 7);

Перечень должностей работников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение 8 );

Должностная инструкция ответственного за организацию персональных данных (Приложение 9);

Обязательство работника, непосредственно осуществляющего обработку персональных данных (Приложение 10);

Форма соглашения на обработку персональных данных (Приложение 11);

Порядок доступа работников в помещения, в которых ведется обработка персональных данных ( Приложение 12 );

Положение об особенностях и правилах обработки персональных данных, осуществляемой без использования средств автоматизации ( Приложение 13 )

План периодических проверок условий обработки персональных данных ( Приложение 14 )

Защита персональных данных

Конфиденциальность – это не слово, это его отсутствие.

В потоке окружающей нас информации, иногда мы не обращаем внимания на попадающие нам сведения о близких нам людях, наших сотрудниках или подопечных. А часто, не задумываясь, сами делаем доступной эту информацию. Но при этом возмущаемся, когда приходит очередное «письмо счастья» с предложением разбогатеть или поправить свое здоровье при помощи «чудодейственных препаратов». На конверте отправитель правильно указал Ваш адрес, в письме вежливо обращаются к Вам по имени отчеству, им известен Ваш возраст, проблемы со здоровьем или финансовые затруднения. Хорошо, если это рядовые мошенники и их намерения определяются Вашей наивностью, опаснее, если мотивы подпадают под более тяжкие статьи Уголовного кодекса. Еще острее воспринимаем такую информацию, если это касается близких и тем более детей.

Смотрите так же:  Как сделать возврат денег на али

Вышедший во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» в 2006 Федеральный Закон N 152 “О персональных данных” должен был упорядочить обращение, условия хранения и обработки, права субъекта персональных данных (ПДн) и ответственность оператора, обрабатывающего ПДн. За четыре года появился целый ряд подзаконных актов и нормативных документов, проведено огромное количество «круглых столов», семинаров, конференций. Опубликовано множество различных статей, в том числе и критической направленности в адрес Регуляторов. В настоящее время информационные системы персональных данных (ИСПДн) должны быть защищены в соответствие с данным законом до 1 января 2011г. Если считать, что четырех лет не хватило для приведения своих ИСПДн в соответствие, то времени осталось совсем мало.
Контроль за соблюдением законодательства о персональных данных осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
Защита персональных данных осуществляется в соответствии с Постановлениями Правительства Российской Федерации от 17.11.2007 N 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” и от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”.
Администрация учебного заведения, как и любая другая организация, обрабатывающая персональные данные, несет гражданскую, уголовную, административную, дисциплинарную ответственность, предусмотренную законодательством Российской Федерации).

Подробнее ознакомиться с материалами по защите персональных данных можно:

  1. Федеральный закон № 149-ФЗ от 8 июля 2006 года «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».
  3. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах».
  4. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  5. Постановление Правительства РФ от 18.04.2012 №343 “ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАЗМЕЩЕНИЯ В СЕТИ ИНТЕРНЕТ И ОБНОВЛЕНИЯ ИНФОРМАЦИИ ОБ ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ”

Государственное бюджетное образовательное учреждение
средняя общеобразовательная школа
№ 596 с углубленным изучением французского языка
Приморского района Санкт – Петербурга

Принято педагогическим советом школы Утверждено

протокол №1 от 30.08.12 приказом № 5 от 01.09.12

Директор школы Н.В.Шонина

ПОЛОЖЕНИЕ

о защите персональных данных учащихся
ГБОУ школы № 596
Приморского района Санкт-Петербурга

1.1. Настоящее Положение разработано на основании ст.24 Конституции РФ, главы 14 Трудового Кодекса РФ, Закона «Об информации, информатизации и защите информации» № 149-ФЗ от 27.07.2006 г. и Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными учащихся и гарантии конфиденциальности сведений, предоставленных администрации БОУ СОШ № 840 родителями (законными представителями) учащегося, не достигшими 14-летнего возраста и учащимися, достигшими 14-летнего возраста самостоятельно.
1.3. Персональные данные относятся к категории конфиденциальной информации.
1.4. Все работники школы, в соответствии со своими полномочиями владеющие информацией об учащихся, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.5. Настоящее Положение вводится в действие приказом директора школы.
1.6. Изменения в Положение могут быть внесены администрацией школы в установленном действующим законодательством порядке.

П. Понятие персональных данных учащегося и их состав
2.1. Персональные данные учащихся содержатся в их личных делах.
2.2. Состав персональных данных учащегося:
– личное дело с табелем успеваемости;
– ксерокопия свидетельства о рождении;
– сведения о составе семьи;
– сведения о родителях и законных представителях;
– ксерокопия паспорта для учащихся, достигших 14-летнего возраста;
– аттестат об основном общем образовании учащихся, принятых в 10 класс (подлинник);
– адрес места жительства;
– домашний телефон.
– фотографии и иные сведения, относящиеся к персональным данным учащегося.
2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.

III. Обязанности администрации школы.
3.1. В целях обеспечения прав и свобод учащегося директор школы и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.1.2. При определении объема и содержания обрабатываемых персональных данных директор школы должен руководствоваться Конституцией Российской Федерации и иными федеральными законами;
3.1.3. Все персональные данные учащегося, достигшего 14-летнего возраста, следует получать у него самого. Персональные данные учащегося, не достигшего 14-летнего возраста, следует получать у родителей (законных представителей). Директор школы, его заместители, классные руководители должны сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение;
3.1.4. Администрация и педагогические работники школы не имеют права получать и обрабатывать персональные данные учащихся о политических, религиозных и иных убеждениях и частной жизни семей.
3.1.5. При принятии решений, затрагивающих интересы учащегося, директор школы и его представители не имеют права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
3.1.7. Защита персональных данных учащегося от неправомерного их использования или утраты должна быть обеспечена директором школы в порядке, установленном федеральным законом;
3.1.8. Учащиеся, достигшие 14-летнего возраста, и родители или законные представители учащихся, не достигших 14-летнего возраста, должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
IV. Права и обязанности учащихся, достигших 14-летнего возраста и родителей или законных представителей учащихся, не достигших 14-летнего возраста в области защиты персональных данных.

4.1. Учащиеся, достигшие 14-летнего возраста, и родители или законные представители учащихся, не достигших 14-летнего возраста, обязаны:
4.1.1. Передавать директору школы, его заместителям, классным руководителям, медицинским работникам, секретарю достоверные, документированные персональные данные.
4.1.2. Своевременно сообщать директору школы об изменении своих персональных данных.
4.2. Учащиеся, достигшие 14-летнего возраста, и родители или законные представители учащихся, не достигших 14-летнего возраста, имеют право на:
4.2.1. Полную информацию о своих персональных данных и обработке этих данных;
4.2.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ;
4.2.3. Обжалование в суде любых неправомерных действия при обработке и по защите персональных данных.

V. Сбор, обработка и хранение персональных данных
5.1. Получение, обработка, хранение и любое другое использование персональных данных учащихся может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия учащимся в трудоустройстве через Центр занятости и в рамках действующего законодательства, проведении государственной итоговой аттестации, при поступлении в ВУЗы, колледжи и иные образовательные учреждения.
5.2. Личные дела учащихся хранятся в бумажном виде в папках, находятся в специальном шкафу, обеспечивающим защиту от несанкционированного доступа.
5.3. Персональные данные учащихся могут также храниться в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается системой паролей.

VI. Доступ к персональным данным
6.1. Внутренний доступ к персональным данным учащегося имеют:
– директор школы;
– заместители директора по УВР, ВР;
– секретарь учебной части;
– классные руководители – к тем данным, которые необходимы для выполнения конкретных функций;
– родители (законные представители) учащегося.
6.2. Другие организации.
Сведения об учащемся могут быть предоставлены другой организации только с письменного запроса на бланке организации.
6.3. Родственники и члены семей.
Персональные данные учащегося могут быть предоставлены родственникам с письменного разрешения родителей (законных представителей) учащихся, не достигших 14-летнего возраста или письменного разрешения учащегося, достигшего 14-летнего возраста.

VII. Передача персональных данных учащегося
7.1. При передаче персональных данных учащегося директор школы, его заместители, секретарь учебной части, классные руководители, медицинские работники должны соблюдать следующие требования:
7.1.1. Не сообщать персональные данные учащегося третьей стороне без письменного согласия родителей (законных представителей) учащихся, не достигших 14-летнего возраста или письменного разрешения учащегося, достигшего 14-летнего возраста, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью учащегося, а также в случаях, установленных федеральным законом;
7.1.2. Не сообщать персональные данные учащегося в коммерческих целях.
7.1.3. Предупредить лиц, получающих персональные данные учащегося о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные учащегося, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными учащегося в порядке, установленном федеральными законами;

VIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных учащегося
8.1. Защита прав учащегося, установленных настоящим Положением и законодательством Российской Федерации, осуществляется судом, в целях пресечения неправомерного использования персональных данных учащегося, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных учащегося, несут дисциплинарную, административную, гражданско-правовую ответственность в соответствии с федеральными законами.

Особенности защиты персональных данных в образовательных учреждениях

Согласно Федеральному закону от 23.12.2010 № 359-ФЗ* информационные системы персональных данных, созданные до 1 января текущего года, должны быть приведены в соответствие с установленными требованиями не позднее 1 июля 2011 г.

  • Законодательное обеспечение защиты персональных данных
  • Планирование мероприятий по защите персональных данных
  • Правовое регулирование вопросов обеспечения защиты персональных данных работников на локальном уровне
  • Обязанности работодателя по обеспечению защиты персональных данных работников
  • Порядок передачи работодателем персональных данных работников
  • Права и обязанности работников, связанные с обработкой и защитой их персональных данных
  • Ответственность за нарушение требований по защите персональных данных
  • Система государственного надзора и контроля в области персональных данных

Законодательное обеспечение защиты персональных данных

В настоящее время в образовательных учреждениях (далее – ОУ) активно внедряются информационные системы, осуществляющие обработку персональных данных, делопроизводство, бухгалтерские программы и др. Эти системы предназначены для ведения базы данных воспитанников, обучающихся, родителей и работников ОУ, оперативного управления учреждением. Образовательные учреждения должны отреагировать на требования законодательства о защите персональных данных участников образовательного процесса в первую очередь, т. к. речь идет о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан.

Защита персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях.

Защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (работнику).

Положения о защите персональных данных работников регламентируются:

  • Конституцией Российской Федерации;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
  • Трудовым кодексом РФ (далее – ТК РФ).

Кроме того, в целях обеспечения защиты персональных данных работников в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты).

Смотрите так же:  Какие алименты на двоих детей

В соответствии со ст. 3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация.

Согласно ст. 2 Закона № 152-ФЗ его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера, утвержденном указом Президента РФ от 06.03.1997 № 188. Следовательно, работодатель, получающий доступ к персональным данным, должен обеспечить их конфиденциальность.

Закон № 152-ФЗ определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в т. ч. в сфере трудовых правоотношений.

Требования закона распространяются на все организации (независимо от формы собственности), в т. ч. на ОУ, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).

Вопрос правовой регламентации обеспечения защиты персональных данных работников в настоящее время особенно актуален, поскольку информационные системы персональных данных работников ОУ, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона № 152-ФЗ не позднее 1 января 2011 г. – они должны представлять собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования средств автоматизации.

В соответствии с ч. 1 ст. 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Постановлением Правительства РФ от 17.11.2007 № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в т. ч. с использованием средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.

В соответствии с ч. 3 ст. 4 Закона № 152-ФЗ постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Данное Положение предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований этого Положения.

Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 05.02.2010 № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных, которое подробно регламентирует вопросы, связанные с порядком применения методов и способов защиты информации в информационных системах персональных данных оператором или уполномоченным им лицом.

В соответствии с ч. 1 ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязькомнадзор) выступает таким уполномоченным органом, который приказом от 17.07.2008 № 08 утвердил образец Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Частью 2 ст. 22 Закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Следовательно, образовательные учреждения не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с учреждениями.

Планирование мероприятий по защите персональных данных

При планировании в ОУ мероприятий, связанных с защитой персональных данных, рекомендуется привлекать юристов, специалистов отдела кадров и по информационной работе (компьютерным технологиям).

Правовая составляющая должна стать обязательным элементом всей деятельности учреждения в этом направлении, поскольку необходимо:

  • разработать локальные акты (нормативные и правовые), связанные не только с организационной и правовой, но и с технической защитой персональных данных;
  • сформировать механизмы взаимоотношений с органами, осуществляющими управление в сфере образования, профсоюзными организациями, органами контроля и надзора и т. д.
  • Главным условием защиты персональных данных является четкая регламентация функций работников, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Далее ключевым вопросом становится оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях, когда они отсутствуют, – получение согласия субъекта персональных данных на их обработку. При этом согласно Закону № 152-ФЗ обязанность доказательства согласия субъекта персональных данных на их обработку возлагается на оператора, т. е. на работодателя.

Несмотря на то, что в данном комментарии речь идет исключительно о защите персональных данных работников, хотелось бы в контексте обратить внимание на то, что в ОУ обрабатываются персональные данные обучающихся и их родителей, поэтому ОУ предварительно должно получить согласие родителей на обработку персональных данных их самих и их детей.

Следует уделить особое внимание процедуре передачи персональных данных третьим лицам. Для этого необходимо наличие:

  • основания для такой передачи, предусмотренного федеральными законами, или согласия субъекта персональных данных, закрепленного, например, в договоре на оказание услуг;
  • договора с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.

Необходимо очень внимательно подойти к вопросу размещения информации, содержащей персональные данные, на интернет-сайте ОУ.

С учетом выше изложенного можно выделить следующие обязательные этапы работы по защите персональных данных работников:

1) определение всех ситуаций, когда требуется проводить обработку персональных данных;

2) выделение процессов, в которых обрабатываются персональные данные;

3) выбор ограниченного числа процессов для проведения аналитики (на этом этапе формируется перечень подразделений и работников, участвующих в обработке персональных данных в рамках своей служебной деятельности);

4) определение круга информационных систем и совокупности обрабатываемых персональных данных;

5) проведение категорирования персональных данных и предварительной классификации информационных систем;

6) разработка пакета организационно-распорядительных документов для обеспечения защиты персональных данных (положения, приказы, акты, инструкции и т. п.);

7) внедрение системы обеспечения безопасности информации.

Следовательно, защита персональных данных работников в образовательном учреждении, по сути, сводится к созданию режима обработки персональных данных, включающего:

  • создание внутренней документации по работе с персональными данными;
  • организацию системы защиты персональных данных;
  • внедрение технических мер защиты персональных данных.

Правовое регулирование вопросов обеспечения защиты персональных данных работников на локальном уровне

В соответствии со ст. 85 ТК РФ к персональным данным работника относится информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Вопрос о том, какая необходимая работодателю информация из категории персональных данных работника подлежит защите, работодатель должен решить самостоятельно с учетом действующего законодательства и с участием самих работников и их представителей.

Статьей 87 ТК РФ предусмотрено, что порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований ТК РФ и иных федеральных законов, что подразумевает регулирование порядка обработки персональных данных работников локальными нормативными и иными актами.

Основным таким локальным нормативным актом должно быть Положение о защите персональных данных работников, которое принимается с учетом мнения выборного органа первичной профсоюзной организации учреждения в порядке, предусмотренном ст. 372 ТК РФ.

Этот документ определяет: порядок обработки персональных данных работников; обеспечение защиты прав и свобод работников при обработке их персональных данных; ответственность лиц, имеющих доступ к персональным данным работников, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных работников.

Данный локальный нормативный акт является обязательным, поэтому его отсутствие может быть квалифицировано государственным органом контроля и надзора как нарушение работодателем трудового законодательства.

Наряду с Положением о защите персональных данных работников в образовательном учреждении также необходимо наличие следующих документов:

  • в процессе получения персональных данных – согласие работника на получение работодателем персональных данных от третьих лиц и уведомление работника о получении его персональных данных от третьих лиц;
  • при обработке персональных данных – согласие работника на обработку его персональных данных; персональных данных работников;
  • при хранении персональных данных – приказ об утверждении списка лиц, имеющих доступ к персональным данным работников, и обязательств о неразглашении;
  • при передаче персональных данных работников – согласие работника на передачу его персональных данных третьим лицам.

Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности персональных данных, в целях обеспечения его выполнения необходимо вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, органам контроля и надзора, правоохранительным органам, которые обеспечат документальную фиксацию внутреннего и внешнего доступа к персональным данным работников.

В Журнале учета внутреннего доступа к персональным данным (доступа работников учреждения к персональным данным других работников) следует указывать такие сведения, как: даты выдачи и возврата документов (личных дел); срок пользования; цели выдачи; наименование выдаваемых документов. Лицо, которое возвращает документ, содержащий персональные данные, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого также необходимо вести Журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать: поступающие запросы, сведения о лице, направившем запрос; дату передачи персональных данных или уведомления об отказе в их предоставлении; какая именно информация была передана.

Система учета персональных данных может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работников.

Таким образом, рекомендуется ведение в ОУ следующих учетных документов движения персональных данных работников:

  • Журнал учета внутреннего доступа к персональным данным работников в учреждении;
  • Журнал учета выдачи персональных данных работников учреждения организациям и государственным органам (Журнал учета внешнего доступа к персональным данным работников);
  • Журнал проверок наличия документов, содержащих персональные данные работников.
Смотрите так же:  Госпошлина в мосгорсуд бланк

Кроме того, поскольку к методам и способам защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах определенного класса относится учет всех защищаемых носителей информации (с помощью их маркировки и занесения учетных данных в журналы учета), необходимо также ведение Журнала учета применяемых работодателем носителей информации.

Обязанности работодателя по обеспечению защиты персональных данных работников

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника в соответствии со ст. 86 ТК РФ обязаны соблюдать необходимые требования. В соответствии со ст. 21 Закона № 152-ФЗ оператор (работодатель) также обязан:

1) осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора на период проверки. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

2) устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений в указанный срок оператор обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган;

3) незамедлительно прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней с даты достижения цели обработки, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае поступления обращения или запроса от уполномоченного органа по защите прав субъектов персональных данных – также указанный орган;

4) прекратить обработку персональных данных и уничтожить их, в случае отзыва субъектом персональных данных согласия на их обработку, в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Порядок передачи работодателем персональных данных работников

Персональные данные работника не могут быть переданы работодателем третьей стороне. Исключением из данного правила являются следующие случаи:

  • выдача работником письменного согласия на передачу персональных данных третьей стороне;
  • передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника;
  • другие случаи, установленные федеральным законом.

При передаче персональных данных работника работодатель должен соблюдать следующие обязательные требования, предусмотренные ст. 88 ТК РФ:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
  • Поскольку персональные данные относятся к категории конфиденциальной информации, лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию (исключения из данного правила определяются только федеральными законами).

Получателями персональных данных работника на законном основании являются:

1) органы социального страхования, органы пенсионного обеспечения, а также иные органы, организации и граждане (в соответствии с Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», согласно которому отношения по обязательному социальному страхованию возникают у страхователя (работодателя) – по всем видам обязательного социального страхования с момента заключения с работником трудового договора);

2) налоговые органы (в соответствии со ст. 24 Налогового кодекса РФ, выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для контроля за правильностью исчисления, удержания и перечисления налогов);

3) органы прокуратуры и другие правоохранительные органы (в соответствии со ст. 23 Закона № 152-ФЗ они имеют право запрашивать информацию у работодателей в рамках проверки для решения вопроса о возбуждении: дела об административном правонарушении; уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью);

4) федеральная инспекция труда (в соответствии со ст. 357 ТК РФ государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);

5) профессиональные союзы (в соответствии с Федеральным законом от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» и ТК РФ профсоюзы имеют право на получение информации от работодателей по социально-трудовым вопросам для осуществления своей уставной деятельности, а также на осуществление общественного контроля за соблюдением работодателями, должностными лицами трудового законодательства);

6) другие органы и организации в случаях, предусмотренных федеральным законом.

Права и обязанности работников, связанные с обработкой и защитой их персональных данных

В соответствии с п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки и защиты персональных данных, а также их права и обязанности в этой области. Работники в соответствии со ст. 89 ТК РФ имеют право:

  • на полную информацию о своих персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты персональных данных;
  • доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.

Ответственность за нарушение требований по защите персональных данных

В соответствии со ст. 24 лица, виновные в нарушении требований этого федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность Закона № 152-ФЗ

Неисполнение требований Закона № 152-ФЗ операторами баз данных может повлечь:

  • гражданские иски со стороны работников;
  • репутационные риски;
  • приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона № 152-ФЗ;
  • направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
  • привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного кодекса РФ и Кодекса РФ об административных правонарушениях.

В соответствии со ст. 90 ТК РФ, устанавливающей ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника, виновные в этом лица привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами.

Так, к работнику, отвечающему за хранение персональных данных в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ (замечание, выговор, увольнение).

Работодатель может расторгнуть трудовой договор по своей инициативе по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ при разглашении работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в т. ч. в случае разглашения персональных данных другого работника.

Помимо этого работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены к материальной и уголовной ответственности.

Система государственного надзора и контроля в области персональных данных

Система государственного надзора и контроля в области персональных данных строится на функционировании трех регуляторов, ответственных за определенные области деятельности в сфере персональных данных.

Основным регулятором, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в этой области, является уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора – все организационные мероприятия, включая акт классификации информационных систем персональных данных. Права и обязанности этого уполномоченного органа устанавливаются положением о нем в соответствии со ст. 23 Закона № 152-ФЗ.

Вторым регулятором, контролирующим осуществление мер по технической защите информационных систем обработки персональных данных, является Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ее территориальные органы. Сфера ответственности и область проверок – технические средства защиты информации, использующие некриптографические методы и способы защиты персональных данных.

Третьим регулятором является федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, – Федеральная служба безопасности РФ (ФСБ России), которая устанавливает особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах и осуществляет контроль в этой области.

Кроме того, следует иметь в виду, что в соответствии со ст. 354 ТК РФ Федеральная инспекция труда, состоящая из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в т. ч. и по вопросам защиты персональных данных работников.

Думается, что рассматриваемая тема в настоящее время особенно актуальна, т. к. более активное использование средств компьютерной техники и информационно-обрабатывающих технологий, а также увеличивающийся объем массивов информации вызывает появление новых правовых проблем, требующих от работодателей принятия адекватных мер реагирования.

Заместитель заведующего правовым отделом ЦК Профсоюза работников народного образования и науки РФ

Источник: Журнал «Нормативные документы образовательного учреждения» № 3, 2011 года

Для любых предложений по сайту: [email protected]