Локальные нормативные акты в сфере обеспечения информационной безопасности обучающихся
13.09.2018
ТИПОВОЕ ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Муниципальное казенное дошкольное образовательное учреждение
«Детский сад № 6»
1. Общие положения
1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, в соответствии сзаконодательством Российской Федерации и гарантииконфиденциальности сведений о работнике предоставленных работником работодателю.
1.3. Положение разработано в соответствии сКонституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 01.01.2001 N 149-ФЗ "Об информации,информационных технологиях и озащите информации", Федеральным законом от 01.01.2001 N 152-ФЗ "О персональных данных", иными нормативно-правовыми актами, действующими на территории Российской Федерации.
2. Основные понятия
Для целей настоящего Положения используются следующие понятия:
2.1. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными;
2.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.3. Субъект – субъект персональных данных;
2.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором;
2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данныхвинформационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.10. К персональным данным относятся:
2.10.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.
2.10.2. Информация, содержащаяся в трудовой книжке работника.
2.10.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.
2.10.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.
2.10.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.
2.10.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.
2.10.7. Сведения о семейном положении работника.
2.10.8. Информация медицинского характера, в случаях, предусмотренных законодательством.
2.10.9. Сведения озаработной плате работника.
2.10.10.Сведения о социальных льготах;
2.10.11.Сведения о наличии судимостей;
2.10.12.Место работы или учебы членов семьи;
2.10.13.Содержаниетрудового договора;
2.10.14.Подлинники и копии приказов по личному составу;
2.10.15.Основания к приказам по личному составу;
2.10.16.Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.
2.10.17.Сведения о награждении государственными наградами Российской Федерации, присвоении почетных, воинских и специальных званий.
3. Обработка персональных данных
3.1. Общие требования при обработке персональных данных.
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:
3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иныхнормативныхправовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качествавыполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.
3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.4. Работники или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
3.1.5. Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
3.1.6. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
3.2. Получение персональных данных.
3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении №1 к настоящему положению.
3.2.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении №2 к настоящему положению.
3.2.3. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
3.2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в пункте 3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении №3 к настоящему положению.
3.2.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении №4 к настоящему положению.
3.2.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.
3.2.7. Запрещается получать и обрабатывать персональные данные субъекта о его членстве вобщественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.2.8. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
3.3. Хранение персональных данных.
3.3.1. Хранение персональных данных субъектов осуществляется кадровой службой,бухгалтерией, ... на бумажных и электронных носителях с ограниченным доступом.
3.3.2. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секциисейфа, обеспечивающего защиту от несанкционированного доступа.
3.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных. Осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ15 сентября 2008 г. N 687.
3.4. Передача персональных данных
3.4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении №5 настоящего положения;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
- все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении №7 к настоящему положению.
3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:
- руководитель организации;
- бухгалтер;
- сотрудник кадровой службы;
- непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);
- …
- …
- сам субъект, носитель данных.
3.4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении №6 настоящего положения.
3.4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры:налоговые инспекции;правоохранительные органы; органы статистики;страховые агентства;военкоматы; органы социального страхования;пенсионные фонды; подразделения федеральных, республиканских и муниципальныхорганов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
3.4.6. Организации, в которые субъект может осуществлятьперечисленияденежных средств (страховые Общества,негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.
3.5. Уничтожение персональных данных
3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4. Права и обязанности субъектов персональных данных и оператора.
4.1. В целях обеспечения защиты персональных данных субъекты имеют право:
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
- при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.
4.2. Для защиты персональных данных субъектов оператор обязан:
- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
- ознакомить работника или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;
- по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарнойиматериальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной иуголовной ответственности в порядке, установленном федеральными законами.
Муниципальное казенное дошкольное образовательное учреждение «Детский сад № 6»
Утверждаю:
Заведующий
МКДОУ «Детский сад № 6»
____________Магомедова Л.А.
Приказ №
от «___»_______20___ г.
План мероприятий
по обеспечению информационной безопасности детей
на 2018- 2019 г.
| № п/п | Наименование мероприятия | Срок исполнения | Исполнители - ответственные за реализацию мероприятия |
| I. Создание организационно-правовых механизмов защиты детей от распространения информации, причиняющей вред их здоровью и развитию | |||
| 1.1. | Организация занятий с педагогами по медиабезопасности | 2018-2020г | Зам.зав.по ВМР |
| 1.2. | Знакомство родителей с информацией по медиабезопасности | 2018-2020г | воспитатели |
| 1.3. | Функционирование контент-фильтра в образовательном учреждении | 2018-2020г | заведующий |
| II. Внедрение систем исключения доступа к информации, несовместимой с задачами гражданского становления детей, а также средств фильтрации и иных устройств | |||
| 2.1. | Установка программного продукта, обеспечивающего контент | 2018-2020г | |
| III. Профилактика у детей интернет-зависимости, игровой зависимости и правонарушений с использованием информационно - телекоммуникационных технологий, формирование у несовершеннолетних навыков ответственного и безопасного поведения в современной информационно - телекоммуникационной среде через обучение их способам защиты от вредной информации | |||
| 3.1. | Проведение занятий по теме «Информационная безопасность» | 2018-2020г | воспитатели |
| 3.2. | Участие в обучающих семинарах по созданию надежной системы защиты детей от противоправного контента в образовательной среде ДОУ и дома | 2018-2020г | руководство ДОУ |
| 3.3. | Организация свободного доступа педагогов к высококачественным и сетевым образовательным ресурсам, в том числе к системе современных учебных материалов | 2018-2020г | руководство ДОУ |
| 3.4. | Мероприятия по антивирусной защите компьютерной техники | 2018-2020г | руководство ДОУ |
| IV. Информационное просвещение граждан о возможности защиты детей от информации, причиняющей вред их здоровью и развитию | |||
| 4.1. | Участие в различных мероприятиях (лекториях, семинарах, практикумах, тренингах, круглых столах, конференциях и т.п.), в том числе с применением дистанционных технологий, по проблемам информационной безопасности для всех участников образовательного процесса | 2018-2020г | руководство ДОУ |
| 4.2. | Размещение на сайте ДОУ ссылок на электронные адреса по проблемам информационной безопасности для всех участников образовательного процесса | 2018-2020г | руководство ДОУ |
