Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Положение об обработке и защите персональных данных в образовательном учреждении - файл 1.doc


Положение об обработке и защите персональных данных в образовательном учреждении
скачать (133 kb.)

Доступные файлы (1):

1.doc133kb.18.12.2011 17:37скачать

содержание

1.doc

ПОЛОЖЕНИЕ №_____ от «____» ___________ 2010г.

ОБ ОБРАБОТКЕ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ _____________________________________________________________


Наименование организации 

1. Общие положения

 1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

 1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся (воспитанников) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

  1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными нормативно-правовыми актами, действующими на территории Российской Федерации.

^ 2. Основные понятия

 Для целей настоящего Положения используются следующие понятия:

  2.1. Оператор персональных данных (далее оператор) - юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. В рамках настоящего положения оператором является -"Наименование организации";

  2.2. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

  2.3. Субъект – субъект персональных данных.

  2.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

  2.5. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  2.6. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

  2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

  2.8. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

  2.9. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.10. К персональным данным относятся:

2.10.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

2.10.2. Информация, содержащаяся в трудовой книжке работника.

2.10.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

2.10.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

2.10.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

2.10.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.

2.10.7. Сведения о семейном положении работника.

2.10.8. Информация медицинского характера, в случаях, предусмотренных законодательством.

2.10.9. Сведения о заработной плате работника.

2.10.10.Сведения о социальных льготах;

2.10.11.Сведения о наличии судимостей;

2.10.12.Место работы или учебы членов семьи;

2.10.13.Содержание трудового договора;

2.10.14.Подлинники и копии приказов по личному составу;

2.10.15.Основания к приказам по личному составу;

2.10.16.Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.

2.10.17.Сведения о награждении государственными наградами Российской Федерации присвоении почетных, воинских и специальных званий.

^ 3. Обработка персональных данных

3.1. Общие требования при обработке персональных данных.

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4. Работники или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5. Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

 

3.2. Получение персональных данных.

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении №1 к настоящему положению.

3.2.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении №2 к настоящему положению.

3.2.3. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в пункте 3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении №3 к настоящему положению.

3.2.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении №4 к настоящему положению.

3.2.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

 

3.3. Хранение персональных данных.

3.3.1. Хранение персональных данных субъектов осуществляется кадровой службой, бухгалтерией, на бумажных и электронных носителях с ограниченным доступом.

3.3.2. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных. Осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.

 

3.4. Передача персональных данных

3.4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении №5 настоящего положения;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

- все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении №7 к настоящему положению.

3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:

- руководитель организации;

- бухгалтер;

- сотрудник кадровой службы;

- непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);

- учитель (доступ к информации, содержащейся в классных журналах тех классов, в которых он ведет занятия;

-

-

- сам субъект, носитель данных.

3.4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении №6 настоящего положения.

3.4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных

3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

^ 4. Права и обязанности субъектов персональных данных и оператора.

  4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

- при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

- обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

 

4.2. Для защиты персональных данных субъектов оператор обязан:

- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

- ознакомить работника или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

- по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;

- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

  4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

 

^ 5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

  5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

 

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Приложение №1

к положению №_____ от «____» ___________ 2010г.

^ Заявление-согласие работника на обработку персональных данных

Я, _______________________________________________________________________
(Ф.И.О. полностью)
зарегистрированный(-ая) по адресу: ___________________________________________
_________________________________________________________________________,
(индекс и адрес регистрации согласно паспорту)
паспорт серии ______№_____________ выдан______________________________________
__________________________________________________________________________,
(орган, выдавший паспорт и дата выдачи)
являясь работником ^ Наименование организации  (далее – Оператор), находящегося по адресу: Адрес организации, своей волей и в своем интересе выражаю согласие на обработку моих персональных данных Оператором в целях информационного обеспечения для формирования общедоступных источников персональных данных (справочников, адресных книг, информации в СМИ и на сайте организации т.д.), включая выполнение действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), распространению (в том числе передаче) и уничтожению моих персональных данных, входящих в следующий перечень общедоступных сведений:
1. Фамилия, имя, отчество.
2. Рабочий номер телефона и адрес электронной почты.
3. Сведения о профессии, должности, образовании.
4. Иные сведения, специально предоставленные мной для размещения в общедоступных источниках персональных данных.
Для целей обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оформления доверенностей, прохождении конкурсного отбора, безналичных платежей на мой счет, выражаю согласие на получение и передачу моих персональных данных путем подачи и получения запросов в отношении органов местного самоуправления, государственных органов и организаций (для этих целей дополнительно к общедоступным сведениям могут быть получены или переданы сведения о дате рождения, гражданстве, доходах, паспортных данных, предыдущих местах работы, идентификационном номере налогоплательщика, свидетельстве государственного пенсионного страхования, допуске к сведениям, составляющим государственную тайну, социальных льготах и выплатах, на которые я имею право в соответствии с действующим законодательством).  
Вышеприведенное согласие на обработку моих персональных данных представлено с учетом п. 2 ст. 6 и п. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии с которыми обработка персональных данных, осуществляемая на основе федерального закона либо для исполнения договора, стороной в котором я являюсь, может осуществляться Оператором без моего дополнительного согласия.
Настоящее согласие вступает в силу с момента его подписания на срок действия трудового договора с Оператором и может быть отозвано путем подачи Оператору письменного заявления.

«____»___________2010г. ______________________________________________________
(подпись и фамилия, имя, отчество прописью полностью)

Приложение №2

к положению №_____ от «____» ___________ 2010г.

^ Заявление-согласие на обработку персональных данных подопечного

Я, _______________________________________________________________________
(Ф.И.О. полностью)
зарегистрированный(-ая) по адресу: ___________________________________________
_________________________________________________________________________,
(индекс и адрес регистрации согласно паспорту)
паспорт серии ______№_____________ выдан______________________________________
__________________________________________________________________________,
(орган, выдавший паспорт и дата выдачи)
являясь законным представителем ^ ФИО подопечного, своей волей и в интересах ФИО подопечного выражаю согласие на обработку персональных данных ФИО подопечного Оператором (Наименование организации,  находящейся по адресу: Адрес организации) в целях информационного обеспечения для формирования общедоступных источников персональных данных (справочников, адресных книг, информации в СМИ и на сайте организации т.д.), включая выполнение действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), распространению (в том числе передаче) и уничтожению моих персональных данных, входящих в следующий перечень общедоступных сведений:
1. Фамилия, имя, отчество.
2. Рабочий номер телефона и адрес электронной почты.
3. Сведения о профессии, должности, образовании.
4. Иные сведения, специально предоставленные мной для размещения в общедоступных источниках персональных данных.
Для целей обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оформления доверенностей, прохождении конкурсного отбора, безналичных платежей на мой счет, выражаю согласие на получение и передачу моих персональных данных путем подачи и получения запросов в отношении органов местного самоуправления, государственных органов и организаций (для этих целей дополнительно к общедоступным сведениям могут быть получены или переданы сведения о дате рождения, гражданстве, доходах, паспортных данных, предыдущих местах работы, идентификационном номере налогоплательщика, свидетельстве государственного пенсионного страхования, допуске к сведениям, составляющим государственную тайну, социальных льготах и выплатах, на которые я имею право в соответствии с действующим законодательством).  
Вышеприведенное согласие на обработку персональных данных представлено с учетом п. 2 ст. 6 и п. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии с которыми обработка персональных данных, осуществляемая на основе федерального закона либо для исполнения договора, стороной в котором является мой подопечный, может осуществляться Оператором без моего дополнительного согласия.
Настоящее согласие вступает в силу с момента его подписания на срок действия трудового договора с Оператором и может быть отозвано путем подачи Оператору письменного заявления.

«____»___________2010г. ______________________________________________________
(подпись и фамилия, имя, отчество прописью полностью)

Приложение №3

к положению №_____ от «____» ___________ 2010г.

^ Форма отзыва согласия на обработку персональных данных

Я, ______________________________________________________________________
(Ф.И.О. полностью)
зарегистрированный(-ая) по адресу: ___________________________________________
_________________________________________________________________________,
(индекс и адрес регистрации согласно паспорту)
паспорт серии ______№_____________ выдан______________________________________
__________________________________________________________________________,
(орган, выдавший паспорт и дата выдачи)
отзываю свое согласие на обработку моих персональных данных Оператором (Наименование организации,  находящейся по адресу: Адрес организации), в связи с (увольнением, переходом на другую работу, …)

На основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Оператор обязан прекратить обработку персональных данных и уничтожить мои персональные данные в срок, ___________ рабочих дней с даты поступления указанного отзыва.

«____»___________2010г. ______________________________________________________
(подпись и фамилия, имя, отчество прописью полностью)

Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.

Приложение №____

к положению №_____ от «____» ___________ 2010г.

Инструкция для специалистов,  ответственных за сбор и обработку персональных данных учеников и их родителей.

^ I. Общие положения

1.1. Настоящая Инструкция для специалистов,  ответственных за сбор и обработку персональных данных обучающихся и их родителей (далее - субъектов ОП) (далее - Инструкция) Наименование организации (далее - Учреждение) разработана в соответствии с Конституцией Российской Федерации, Законом РФ «Об образовании», Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.2. Цель разработки Инструкции  - обеспечение защиты прав и свобод субъектов ОП Учреждения при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов ОП Учреждения, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Инструкции.

1.3.1. Настоящая Инструкция вступает в силу с момента ее утверждения   директором Учреждения и действует бессрочно, до замены ее новой Инструкцией.

1.3.2. Все изменения в Инструкцию вносятся приказом.

1.4. Все специалисты Учреждения, ответственные за сбор и обработку персональных данных должны быть ознакомлены с настоящей Инструкцией под роспись.

III. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные субъекта ОП следует получать у него самого или его законного представителя. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее. Специалист, ответственный за сбор и обработку персональных данных, должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.1.2. Специалист, ответственный за сбор и обработку персональных данных, не имеет права требовать,  получать и обрабатывать персональные данные субъекта ОП Учреждения о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.

Обработка персональных данных субъектов ОП возможна только с их согласия либо без их согласия в следующих случаях:

- персональные данные являются общедоступными;

-персональные данные относятся к состоянию здоровья ребенка и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта невозможно;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.1.3. Специалист, ответственный за сбор и обработку персональных данных, вправе обрабатывать персональные данные работников только с их письменного согласия.

3.1.4. Согласие субъекта не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании Закона РФ «Об образовании» иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;

2) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъектов ОП, если получение  согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в обучении, воспитании и оздоровлении, обеспечения личной безопасности субъектов, обеспечения сохранности имущества субъекта.

3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных необходимо  руководствоваться Конституцией Российской Федерации, Законом РФ «Об образовании» и иными федеральными законами.

^ IV. Передача и хранение персональных данных

4.1. При передаче персональных данных работника необходимо соблюдать следующие требования:

4.1.1. Не сообщать персональные данные субъекта третьей стороне без его  письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.

4.1.2. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).

4.1.3. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретной функции.

4.2. Хранение и использование персональных данных субъектов:

4.2.1. Персональные данные субъектов обрабатываются и хранятся в специально отведенных помещениях (приемная директора, архив и др..

4.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.

^ V Доступ к персональным данным субъектов

5.1. Право доступа к персональным данным  имеют:

- директор Учреждения;

-заместители руководителя Учреждения;

-методисты Учреждения;

-………

5.2. Субъект персональных данных Учреждения имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.

5.2.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Учреждения персональных данных.

5.2.3. Получать от Учреждения

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

-сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3.   Требовать извещения Учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Учреждения при обработке и защите его персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения  директора.

5.4. Передача информации третьей стороне возможна только при письменном согласии субъекта данных.

^ VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2.  Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта.



п|п

Разрабатываемый документ

Нормативный правовой акт

^ Требование нормативного правового акта

1.

Акты оператора ПД (положения, инструкции), содержащие требования к обеспечению конфиденциальности ПД

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных»

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных

2.

Согласие в письменной форме субъекта персональных данных на обработку своих персональных данных

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «0 персональных данных»

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

3.

Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «0 персональных данных» информации, в случае если персональные данные были получены не от субъекта персональных данных.

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «0 персональных данных»

Статья 18. Обязанности оператора при сборе персональных данных

3. Если персональные данные были получены не от субъекта персональных данные,    за    исключением    случаев,    если    персональные    данные    были предоставлены   оператору   на   основании   федерального   закона   или   если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1)      наименование   (фамилия,   имя,   отчество)   и   адрес   оператора   или   его представителя;

2)   цель обработки персональных данных и ее правовое основание;

3)   предполагаемые пользователи персональных данных;

4)   установленные настоящим Федеральным законом права субъекта персональных данных.

4.

Документы, содержащие положения 0 принятии оператором ПД организационных и технических мер для

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «0 персональных данных»

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке*19)

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать



 

защиты персональных данных

 

шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

5.

Уведомление об обработке персональных данных

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года № 152-ФЗ «0 персональных данных»

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.*22.1)

6.

ПОЛОЖЕНИЕ

0 персональных данных государственного    -гражданского служащего и ведении его личного дела

ПОЛОЖЕНИЕ

0 персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела

УТВЕРЖДЕНО Указом Президента Российской Федерации от 30 мая 2005 года N 609

1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее -гражданский служащий), а также ведения его личного дела

7.

Положение об обработке персональных данных, осуществляемой в информационных системах персональных данных

ПОЛОЖЕНИЕ

об обеспечении безопасности  персональных данных при их обработке в информационных системах персональных данных

УТВЕРЖДЕНО

постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора., оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

И. При обработке персональных данных в информационной системе должно быть обеспечено:

а)  проведение      мероприятий,      направленных      на      предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.



8.

Положение об обработке персональных данных, осуществляемой без использования средств автоматизации

ПОЛОЖЕНИЕ

об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

9.

Документ подтверждающий информирование лиц, осуществляющих обработку персональных данных

ПОЛОЖЕНИЕ

об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 

УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки

10.

Типовые формы документов разработанные в соответствии с требованиями данного Положения.

 

ПОЛОЖЕНИЕ

об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15  сентября 2008 года N 687

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а)     типовая  форма  или  связанные  с  ней  документы  (инструкция  по  ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес   субъекта  персональных   данных,   источник  получения  персональных данных,   сроки   обработки   персональных   данных,   перечень   действий   с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б)     типовая   форма   должна   предусматривать   поле,   в   котором   субъект персональных данных может поставить отметку о своем согласии на обработку персональных     данных,     осуществляемую     без     использования     средств автоматизации,  -  при  необходимости  получения  письменного  согласия  на обработку персональных данных;

 в) типовая форма должна быть составлена таким образом, чтобы каждый из



.

 

 

субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

11.

Акт оператора, устанавливающий требования к ведению журналов (реестров, книг.,.), содержащих персональные данные

ПОЛОЖЕНИЕ

об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

12.

Акт оператора, устанавливающий требования к хранению материальных носителей содержащих персональные данные

ПОЛОЖЕНИЕ

об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

13.

Акт оператора ПД о классификации информационных систем

Порядок проведения классификации информационных систем персональных данных. Утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.



Скачать файл (133 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации