ПОЛОЖЕНИЕ о порядке сбора, обработки, хранения и защите персональных данных
Приложение № 1
к приказу заведующего МБДОУ детский сад № 4
с. Ейское Укрепление
от 03.09.2013г. № 126
|
Утверждаю: |
Согласовано: |
|
Заведующий |
Председатель |
|
муниципального бюджетного |
профсоюзного комитета |
|
дошкольного образовательного |
муниципального бюджетного |
|
учреждения детский сад № 4 |
дошкольного образовательного |
|
муниципального образования |
учреждения детский сад № 4 |
|
Щербиновский район |
муниципального образования |
|
село Ейское Укрепление |
Щербиновский район |
|
_________________ З.П.Батицкая |
село Ейское Укрепление |
|
«___»__________________20___ г. |
________________ Г.А. Дробященко |
|
|
«___»__________________20___ г. |
в муниципальном бюджетном дошкольном образовательном учреждении детском саду № 4 муниципального образования Щербиновский район село Ейское Укрепление
1. Общие положения.
1. Настоящее положение о порядке сбора, обработки, хранении и защите персональных данных (далее – Положение) разработано с целью защиты информации, относящейся к личности и личной жизни работников, воспитанников и их родителей (законных представителей) и регулирует порядок сбора, обработки, использования, хранения и обеспечения конфиденциальности их персональных данных в муниципальном бюджетном дошкольном образовательном учреждении детском саду №4 (далее – МБДОУ детский сад № 4 с. Ейское Укрепление), в соответствии со статьей 24 Конституции Российской Федерации, Трудовым кодексом Российской Федерации и Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Основной задачей МБДОУ детский сад № 4 с. Ейское Укрепление в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников, воспитанников и их родителей (законных представителей), а так же персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъектов персональных данных.
3. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
Обработка персональных данных воспитанников, родителей (законных представителей) осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; обеспечения их личной безопасности; контроля качества воспитания, обучения и обеспечения сохранности имущества.
4. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом с его письменного согласия. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
5. Все персональные данные воспитанников и их родителей (законных представителей) предоставляются его родителями (законными представителями) с их письменного согласия. Если персональные данные воспитанника возможно получить только у третьей стороны, то родители (законные представители) должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) воспитанника должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
6. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:
· паспортные данные работника, телефоны;
· ИНН;
· копия страхового свидетельства государственного пенсионного страхования;
· копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
· копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
· анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
· документы о возрасте малолетних детей и месте их обучения;
· документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);
· документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);
· иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
· трудовой договор;
· заключение по данным психологического исследования (если такое имеется);
· копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
· личная карточка по форме Т-2;
· заявления, объяснительные и служебные записки работника;
· документы о прохождении работником аттестации, повышения квалификации;
· иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности).
7. К персональным данным воспитанников, получаемым ДОУ и подлежащим хранению в образовательном учреждении в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах воспитанников:
· документы, удостоверяющие личность воспитанника (свидетельство о рождении);
· документы о месте проживания;
· документы о составе семьи;
· паспортные данные родителей (законных представителей), телефоны;
· полис медицинского страхования;
· документы о состоянии здоровья (сведения об инвалидности, медицинское заключение об отсутствии противопоказаний для посещения ДОУ);
· документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.);
· иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления воспитанника гарантий и компенсаций, установленных действующим законодательством).
8. Администрация детского сада не вправе требовать от субъекта предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждений и частной жизни.
9. Персональные данные работников, воспитанников и их родителей (законных представителей) являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.
10. Настоящее Положение утверждается приказом заведующего МБДОУ детский сад № 4 с. Ейское Укрепление.
11. С настоящим Положением должны быть ознакомлены под роспись: должностные лица МБДОУ детский сад № 4 с. Ейское Укрепление, в обязанности которых входит обработка персональных данных субъектов, работники детского сада, воспитанники и их родители (законные представители).
2. Порядок обработки, хранения, использования и передачи персональных данных.
1. Персональные данные работников, воспитанников и их родителей
(законных представителей) дошкольного образовательного учреждения хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.
2. В процессе хранения персональных данных должны обеспечиваться:
· требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
· сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
· контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
3. Доступ к персональным работников, воспитанников и их родителей
(законных представителей) имеют: заведующий, ответственные лица, воспитатели групп и иные работники в пределах своей компетенции.
4. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные лишь в целях, для которых они были предоставлены.
5. При передаче персональных данных работников, воспитанников и их родителей (законных представителей) образовательного учреждения другим юридическим и физическим лицам образовательное учреждение должно соблюдать следующие требования:
5.1. Персональные данные не могут быть сообщены третьей стороне без письменного согласия работника, родителей (законных представителей) несовершеннолетнего (малолетнего) воспитанника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (воспитанника), а также в случаях, установленных федеральным законом.
5.2. Предупредить уполномоченных лиц, получающих персональные данные работников, воспитанников и их родителей (законных представителей), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
3. Права и обязанности работников, родителей воспитанников на обеспечение защиты персональных данных.
1. В целях обеспечения защиты персональных данных, хранящихся у образовательного учреждения работники, родители (законные представители) воспитанника, имеют право:
1.1. Получать полную информацию о своих персональных данных и их обработке.
1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, воспитанника за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, родителей воспитанника (законных представителей) – к заведующей детским садом или к любому ответственному за организацию и осуществление хранения персональных данных работнику.
1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника, родителя на имя руководителя образовательного учреждения.
1.4. Требовать об извещении ДОУ всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, воспитанника обо всех произведенных в них исключениях, исправлениях или дополнениях.
1.5. Обжаловать в суде любые неправомерные действия или бездействия образовательного учреждения при обработке и защите его персональных данных.
2. В целях обеспечения достоверности персональных данных работники, родители (законные представители) воспитанника обязаны:
2.1. При приеме на работу и при поступлении ребенка в детский сад представлять уполномоченным работникам образовательного учреждения достоверные сведения о себе и своем ребенке в порядке и объеме, предусмотренном законодательством Российской Федерации.
2.2. В случае изменения сведений, составляющих персональные данные работника, воспитанника или его родителя (законного представителя) незамедлительно предоставить данную информацию руководителю или его уполномоченным лицам.
4. Обязанности детского сада на обеспечение защиты персональных данных работников, родителей (законных представителей) воспитанников.
Работодатель и его уполномоченные представители обязаны:
1. Документы, содержащие персональные данные работников, хранить в запирающихся шкафах и сейфах, обеспечивающих защиту от несанкционированного доступа.
2. Все операции по оформлению, формированию, ведению и хранению данной информации должны выполнять только лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий давать в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.
4. По письменному заявлению работника не позднее трёх дней со дня подачи этого заявления выдать последнему копии документов, связанных с работой (копии приказа о приёме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы в данном МБДОУ детский сад № 4 с. Ейское Укрепление и др.). Копии документов, связанных с работой, заверяются работодателем надлежащим образом и предоставляются работнику безвозмездно.
5. Доступ к персональным данным работников, воспитанников и родителей (законных представителей).
1.Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным сотрудников имеют:
· заведующий;
· ответственный за обработку персональных данных, воспитатели возрастных групп - доступ к персональным данным, необходимым для составления характеристик;
· сам работник, носитель данных.
· Другие сотрудники организации имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных. 7.2. Внешний доступ.
2.К числу массовых потребителей персональных данных вне филиала относятся государственные и негосударственные функциональные структуры:
· налоговые инспекции;
· правоохранительные органы;
· органы статистики;
· военкоматы;
· органы социального страхования;
· пенсионные фонды;
· муниципальных органов управления;
· кредитные учреждения.
3.Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
5.Другие организации:
· Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
7. Родственники и члены семей.
· Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
· В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).
6. Защита персональных данных.
1.Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
2.«Внутренняя защита».
Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находятся персональные данные;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места сотрудников. Личные дела могут выдаваться на рабочие места только работнику, в исключительных случаях, по письменному заявлению работника.
3.Защита персональных данных сотрудника на электронных носителях.
- все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю учреждения.
4.«Внешняя защита».
- Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
- Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности МБДОУ детский сад № 4 с. Ейское Укрепление, посетители, работники других организаций.
- Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов .
5.Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим МБДОУ детский сад № 4 с. Ейское Укрепление;
-порядок охраны территории, зданий, помещений;
- требования к защите информации при интервьюировании и собеседованиях.
7. Ответственность за разглашение информации, связанной с персональными данными.
1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
3.Каждый сотрудник МБДОУ детский сад № 4 с. Ейское Укрепление, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
3.Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско–правовую или уголовную ответственность в соответствии с федеральным законом.