Политика конфиденциальности
1. Общие положения
1.1. Настоящее Положение о работе с персональными данными воспитанников и их родителей (далее - субъекты ОП) (далее - Положение) муниципального бюджетного дошкольного образовательного учреждения детского сада «Ёлочка» ела Троекурово (далее - ДОУ) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации от 29 декабря 2012 г. N 273-ФЗ "Об образовании в Российской Федерации" Федеральным законом от 27 июля 2006 г. N 152-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка ДОУ, Уставом. 1.2. Цель разработки Положения - определение порядка обработки персональных данных субъектов ОП; обеспечение защиты их прав и свобод при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов ОП, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 1.3. Порядок ввода в действие и изменения Положения. 1.3.1. Настоящее Положение вступает в силу с момента его утверждения заведующим ДОУ и действует бессрочно, до замены его новым Положением. 1.3.2. Все изменения в Положение вносятся приказом заведующего.
2. Основные понятия и состав персональных данных работников
Для целей настоящего Положения используются следующие основные понятия: - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации человеку, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая ДОУ для осуществления уставной деятельности; - обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов ОП; - конфиденциальность персональных данных - обязательное для соблюдения назначенных ответственных лиц, получивших доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания; - распространение персональных данных - действия, направленные на передачу персональных данных субъектов ОП определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов ОП в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом; - использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом ДОУ в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов ОП либо иным образом затрагивающих их права и свободы или права и свободы других лиц; - блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов ОП, в том числе их передачи; - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов ОП или в результате которых уничтожаются материальные носители персональных данных субъектов ОП; - обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности; - информация - сведения (сообщения, данные) независимо от формы их представления; - документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. 2.2. В состав персональных данных субъектов ОП ДОУ входят документы, содержащие информацию об образовании, семейном положении, месте жительства, контактных телефонах, материальном положении и жилищных условиях, состоянии здоровья и другие данные необходимые для осуществления уставной деятельности ДОУ. 2.3. Комплекс документов, сопровождающий процесс оформления ребенка в ДОУ 2.3.1. Информация, представляемая родителем (законным представителем) при оформлении ребенка в ДОУ, должна иметь документальную форму. Для зачисления в ДОУ родители (законные представители) представляют следующие документы: медицинская справка о состоянии здоровья ребёнка; ● заявление родителей (законных представителей); свидетельство о рождении ребёнка; паспорт или иной документ удостоверяющий личность родителя; 2.3.2. При оформлении воспитанника в ДОУ оформляется «Личное дело воспитанника», в котором в том числе отражаются следующие данные о родителях Ф.И.О. Дата рождения Место жительства Семейное положение
3. Сбор, обработка и защита персональных данных
Порядок получения персональных данных. Обработка персональных данных субъектов ОП возможна только с их согласия либо без их согласия в следующих случаях: - персональные данные являются общедоступными; -персональные данные относятся к состоянию здоровья ребенка и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия родителей (законных представителей) невозможно; - по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом. 3.1.3. Учреждение вправе обрабатывать персональные данные работников только с их письменного согласия. 3.1.4. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя: - фамилию, имя, отчество, адрес субъекта персональных данных; - наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; - цель обработки персональных данных; - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; - перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; - срок, в течение которого действует согласие, а также порядок его отзыва. Форма заявления о согласии на обработку персональных данных см. в приложении 1 к настоящему Положению. 3.1.5. Согласие субъекта не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя; 2) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно. 3.2. Порядок обработки, передачи и хранения персональных данных. 3.2.2. В целях обеспечения прав и свобод человека и гражданина заведующий ДОУ и его представители при обработке персональных данных субъектов должны соблюдать следующие общие требования: 3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в обучении, воспитании и оздоровлении, обеспечения личной безопасности субъектов, обеспечения сохранности имущества субъекта. 3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных необходимо руководствоваться Конституцией Российской Федерации, Законом РФ «Об образовании» и иными федеральными законами.4. Передача и хранение персональных данных
4.1. При передаче персональных данных работника необходимо соблюдать следующие требования: 4.1.1. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом. 4.1.2. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). 4.1.3. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретной функции. 4.2. Хранение и использование персональных данных субъектов: 4.2.1. Персональные данные субъектов обрабатываются и хранятся в специально отведенных помещениях (кабинет заведующего, архив и др..) 4.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.
5. Доступ к персональным данным субъектов
5.1. Право доступа к персональным данным имеют: - заведующий ДОУ; - воспитатель; - заведующий хозяйством. 5.2. Субъект персональных данных ДОУ имеет право: 5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные. 5.2.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для ДОУ персональными данными. 5.2.3. Получать от ДОУ: - сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - перечень обрабатываемых персональных данных и источник их получения; - сроки обработки персональных данных, в том числе сроки их хранения; -сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 5.2.3. Требовать извещения ДОУ всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ДОУ при обработке и защите его персональных данных. 5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения заведующего. 5.4. Передача информации третьей стороне возможна только при письменном согласии субъекта данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Работники ДОУ, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданскоправовую или уголовную ответственность в соответствии с федеральными законами. 6.2. Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта.
7. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных". Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. 4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных". 5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных. Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных". Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта. Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. 6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". 8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. 9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. 10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные; г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. 11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные; д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. 12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. 13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. 15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. 16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований: а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. 17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
8. ПОЛОЖЕНИЕ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. 3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения