Положение
об обработке персональных данных
без использования средств автоматизации и в информационных системах
1. Общие положения
1.1. Настоящее Положение об обработке персональных данных ( далее-Положение) в информационных системах и без использования средств автоматизации в ЧНДОУ « Центр развития ребёнка-детский сад № 348» ( далее — Учреждение) разработано в соответствии с Конституцией РФ, ТК РФ от 30.12.2001 № 197-ФЗ, ГК РФ от 30.11.1994 № 51-ФЗ, № 152-ФЗ от 27.07.2006 г. « О персональных данных», № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановление Правительства РФ № 781 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», № 184-ФЗ «О техническом регулировании» от 27.12.2002 г., а также другими нормативно- правовыми актами, действующими на территории РФ.
1.2. Цели разработки Положения:
1.2.1. определение порядка обработки персональных данных (далее – ПД) сотрудников ДОУ, воспитанников, родителей (законных представителей);
1.2.2. обеспечение прав и свобод человека и гражданина, в том числе сотрудников, воспитанников, родителей (законных представителей) при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
1.2.3. установление ответственности должностных лиц, имеющих доступ к персональным данным за невыполнение требований норм, регулирующих обработку и защиту персональных данных;
1.3. к любой информации, содержащей персональные данные субъекта , применяется режим конфиденциальности, за исключением:
1.3.1. обезличенных данных;
1.3.2. общедоступных персональных данных.
1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания по истечении срока их хранения, или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом РФ.
2. Термины и определения
2.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) ( ст.3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ « О персональных данных»).
2.2. Оператор персональных данных (далее оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является ЧНДОУ «Центр развития ребёнка – детский сад № 348».
2.3. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице (ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»).
2.4. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»).
2.5. Обработка персональных данных без использования средств автоматизации — обработка персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека (Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства РФ от 15.09.2008 № 687).
2.6. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»).
2.7. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»)..
2.8. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных(ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»)..
2.9. Персональные данные воспитанника, его родителя – сведения о фактах, событиях и обстоятельствах жизни воспитанника, его родителей, позволяющие идентифицировать его личность, необходимые администрации ЧНДОУ « ЦРР- детский сад № 348» в связи с осуществлением образовательной деятельности(ст.3 ФЗ РФ от27.07.2006 г. № 152- ФЗ « О персональных данных»).
3. Состав персональных данных
3.1. Состав персональных данных, обрабатываемых в учреждении определяется «Перечнем сведений, содержащих персональные данные « ( Приложение № 1).
3.2. Документы, со сведениями, содержащими персональные данные обрабатываются управляющим, заместителем управляющего и главным бухгалтером ЧНДОУ « ЦРР- детский сад»
4. Порядок получения персональных данных
4.1.ПД следует получать непосредственно у субъекта, либо у законного представителя.
4.2. перед началом обработки ПД необходимо получить у субъекта согласие в письменном виде в соответствии с утверждённой в Учреждении формой такого согласия.
4.3.Комплекс документов при оформлении в ЧНДОУ « ЦРР- детский сад № 348» воспитанника: его родитель представляет следующие документы:
• копию свидетельства о рождении;
• копию паспорта родителей; (или копии документов, подтверждающих законность представления прав ребёнка: постановление об установлении опеки, доверенность на представление интересов ребёнка, свидетельства о браке или разводе (при разных фамилиях ребёнка и родителя);
• адрес регистрации и проживания воспитанника и его родителей, контактные телефоны;
• сведения о месте работы (учебы) родителей;
• медицинскую карту ребёнка;
• справку о состояния здоровья ребенка;
• копию страхового медицинского полиса воспитанника;
• страховой номер индивидуального лицевого счета (СНИЛС) воспитанника.
4.4. Комплекс документов, сопровождающий процесс оформления трудовых отношений сотрудника Учреждения при приёме, переводе и увольнении
4.4.1 Информация, представляемая сотрудником при поступлении на работу в Учреждении должна иметь документальную форму. При заключении трудового договора в соответствии со ст.65 ТК РФ лицо, поступающее на работу, предъявляет работодателю:
4.4.1.1паспорт или иной документ, удостоверяющий личность субъекта;
4.4.1.2. трудовую книжку; за исключением , если сотрудник поступает на работу на условиях совместительства, либо трудовая книжка сотрудника отсутствует с её утратой или по другим причинам;
4.4.1.3. страховое свидетельство государственного пенсионного страхования;
4.4.1.4. сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу;
4.4.1.5. сведения об образовании, квалификации или наличии специальных знаний или подготовки;
4.4.1.6. свидетельство о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
4.4.2. При оформлении сотрудника в Учреждение специалистом по кадрам заполняется унифицированная форма Т-2 « Личная карточка сотрудника», в которой отражаются следующие анкетные и биографические данные сотрудника:
4.4.2.1. общие сведения (ф.и.о., дата рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
4.4.2.2. сведения о воинском учёте и военно-учётной специальности;
4.4.2.3. данные о приёме на работу;
4.4.3. В дальнейшем в личную карточку вносятся:
4.4.3.1. сведения о переводе на другую работу;
4.4.3.2. сведения об аттестации;
4.4.3.3. сведения о повышении квалификации и переподготовке сотрудника,служебное расследование;
4.4.3.4. сведения о наградах (поощрениях), почётных званиях;
4.4.3.5. сведения об отпусках;
4.4.3.7. сведения о социальных гарантиях;
4.4.3.8. сведения о месте жительства и контактных телефонах.
4.4.5. В Учреждении создаются и хранятся следующие группы документов,содержащие ПД сотрудников в единичном или сводном виде:
4.4.5.1. документы, содержащие ПД сотрудников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приёме на работу, при увольнении, комплекс материалов по анкетированию, тестированию, подлинники и копии приказов по личному составу, личные и трудовые книжки сотрудников, дела, содержащие основания к приказу по личному составу, содержащие материалы аттестации сотрудников, служебных расследований, копии отчётов, направляемых в государственные органы контроля и другие учреждения;
4.4.5.2. документация по Учреждению, работе отделов (положения, должностные инструкции сотрудников, приказы управляющего Учреждения и другие);
4.4.5.3. документы по планированию, учёту, анализу и отчётности в части работы с персоналом Учреждения.
4.5. Комплекс документов, сопровождающий процесс работы с родителями (законными представителями).
4.5.1.Информация, представляемая родителями (законными представителями), должна содержать следующие документы:
4.5.1.1. паспорт или иной документ, удостоверяющий личность;
4.5.1.2. свидетельство о рождении ребёнка.
4.5.2. При первичном обращении физического лица в Учреждение, заместитель заведующего заполняет анкету родителя(законного представителя), в которой отражаются следующие анкетные и биографические данные, а также получает согласие родителей (законных представителей) на обработку ПД ребёнка (Приложение № 2):
4.5.2.1. фамилия, имя, отчество;
4.5.2.2. пол;
4.5.2.3. дата рождения;
4.5.2.4. адрес места жительства;
4.5.2.5. место работы(учёбы), должность;
4.5.2.6. Ф.И.О. законного представителя.
Данные из документов вносятся заместителем управляющего в электронном виде в ИСПД «База документов для воспитанников и их родителей (законных представителей)». Создание и хранение в бумажном виде предусмотрено.
5. Порядок хранения персональных данных
5.1. Хранение персональных данных субъектов осуществляется заместителем управляющего и главным бухгалтером на бумажных и электронных носителях с ограниченным доступом.
5.2. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.
5.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. № 687.
5.4. Хранение персональных данных в автоматизированной базе данных обеспечивается защитой от несанкционированного доступа согласно «Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденному постановлением правительства РФ 17 ноября 2007 г. № 781.
5.5. Срок хранения документов, содержащих ПД, определяется» Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием их хранения», утверждённый приказом Министерства культуры РФ от 25.08.2010 № 558.
5.6.По истечении срока хранения документы, либо иные материальные носители ПД должны быть уничтожение без возможности восстановления с составлением акта. Для машинных носителей допускается удаление информации методом многократной перезаписи с помощью специализированных программ без уничтожения материального носителя.
6. Порядок использования персональных данных
6.1. Обработка ПД может осуществляться исключительно в целях создания условий для реализации гарантированного гражданам РФ права на получение дошкольного образования, обеспечивающее всестороннее развитие способностей ребёнка, стимулирование общего, творческого и интеллектуального развития личности в процессе детских видов деятельностидля оптимальной реализации возможностей данного возрастного периода и последующего обучения, в школе, принятие решенияо трудоустройстве, кадрового планирования, осуществление трудовых отношений в случаях, установленных законодательством РФ.
6.2. При определении объёма и содержания, обрабатываемых ПД Учреждение должно руководствоваться Конституцией РФ от 25.12.1993 г., ТК РФ от 30.12.2001 № 197-ФЗ,Федеральны законом « защите персональных данных»от27.07.2006 № 152-ФЗ, № 273-ФЗ « Об образовании в Российской Федерации»,а также настоящим Положением.
7. Порядок передачи персональных данных
7.1. Передавать ПД субъектов допускается только тем сотрудникам, которые имеют допуск к обработке ПД.
7.2. Предоставление ПД допускается в случае передачи сведений налоговой, бухгалтерской и иной отчётности, передачи сведений о заработной плате в банковские и кредитные организации при официальном запросе, раскрытие данных правоохранительным органам при наличии законных оснований, по договору № 62 от 30.05.2012 о бухгалтерском обслуживании, а также в иных случаях, установленных законодательством РФ.
7.3. Не допускается распространение данных субъекта.
8. Организация защиты персональных данных
8.1. Защита ПД субъекта от неправомерного их использования обеспечивается учреждением за счёт своих средств.
8.2. В учреждении защите подлежат все сведения, содержащие ПД субъекта, в том числе:
8.2.1. зафиксированные на бумажных носителях;
8.2.2. зафиксированные вэлектронных документах на технических средствах, включающие внешние носители;
8.2.3. речевая (акустическая) информация, содержащая ПД;
8.2.4. текстовая и графическая ( видовая) информация, содержащаяПД;
8.3. Защита персональных данных должна вестись по трём взаимодополняющим направлениям.
8.3.1. Проведение организационных мероприятий:
8.3.1.1. разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту ПД субъектов, в том числе по мере доступа в помещения к ПД;
8.3.1.2. ознакомление сотрудников с законодательством РФ и внутренними нормативными документами, получение обязательств, касающихся обработки ПД;
8.3.2. Программно-аппаратная защита:
8.3.2.1. разработка модели угроз ПД;
8.3.2.2. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с федеральным законом № 184 от 27.12.2002 «О техническом соответствии»;
8.3.2.3. организация учёта носителей ПД;
8.3.3. Инженерно- техническая защита:
8.3.3.1. установка сейфов или запирающихся шкафов для хранения носителей ПД;
8.3.3.2. установка сигнализации, режима охраны здания и помещений, в которых обрабатываются ПД.
8.4. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите ПД осуществляют ответственные за организацию обработки ПД всоответствии с законодательством в области защиты ПД и локальными нормативно-правовыми
актами Учреждения.
9. Порядок предоставления доступа к персональным данным
9.1. Допуск к ПД субъекта могут иметь только те сотрудники Учреждения, которым ПД необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких сотрудников отражен в приказе « Приказ об утверждении должностных лиц, которым необходим доступ к ПД, обрабатываемых в информационных системах и без использования средств автоматизации» № ____ от ___ ____________.
9.2. Процедура оформления допуска к ПД представляет собой следует строгую последовательность действий:
9.2.1 ознакомление сотрудника работы под роспись с настоящим Положением , «Инструкцией о порядке работы с ПД» №_____ от ____ __________ и другими локальными нормативно- правовыми актами Учреждения, касающимися обработки ПД;
9.2.2. истребование у сотрудника «Обязательства о неразглашении конфиденциальности информации»;
9.3. Каждый сотрудник должен иметь доступ к минимально необходимойнабору персональных данных субъектов, необходимых ему для выполнения служебных (трудовых) обязанностей.
10. Особенности организации обработки персональных данных осуществляемой без использования средств автоматизации
10.1. Типовые формы Учреждения, предполагающие включение в них ПД.
10.1.1. согласие объекта на обработку ПД (Приложение № 3);
10.1.2. Личный листок сотрудника.
10.2. Лица, осуществляющие обработку ПД без использования средства автоматизации ( в том числе сотрудники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением),должны быть проинформированы о факте обработки ПД, обработка которых осуществляется Учреждением без использования средств автоматизации, категориях обрабатываемых ПД, а также особенностях и правилах осуществления такой обработки, установленных нормативно- правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами Учреждения.
10.3. Обработка ПД, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ.
11. Особенности обеспечения безопасности персональных данных при их обработке в информационной системе персональных данных
11.1. Состав информационных системПД Учреждения и их характер определяется «Перечнем информационных систем ПД) (Приложение 4).
11.2. Под техническими средствами, позволяющими осуществлять обработку ПД, понимаются информационно- вычислительные средства, системы передачи, приёма и обработки ПД, программные средства, средства защиты информации, применяемые в информационных системах.
11.3. Безопасность ПД достигается путёмисключения несанкционированного , в том числе случайного, доступа к ПД, результатом которого может быть уничтожение, изменение, блокирование, копирование, распространение ПД , а также иных несанкционированных действий.
11.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законодательстве порядке.
11.5. Информационные системы в Учреждении классифицируются на основании приказа управляющего Учреждения, в соответствии с «Порядком проведения классификации информационных систем ПД», утверждённым приказом ФСТЭК России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, в зависимости от оценки обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
11.6. Обмен ПД при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер, а также применения технических и ( или) программных средств.
11.7. Размещение информационных систем, специальное оборудование и охрана помещения, которых ведётся работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей АД и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещения посторонних лиц.
11.8. Безопасность ПД при их обработке в информационной системе( далее-ИС) персональных данных обеспечивает специалист, ответственный за организацию обработки информационных систем персональных данных ( далее- ИСПД).
11.9. При обработке ПД в ИС должно быть обеспечено:
11.9.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПД и (или) передачи их лицам, не имеющим права доступа к информации;
11.9.2. своевременное обнаружение фактов несанкционированного доступа к ПД;
11.9.3. недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
11.9.4. возможность незамедлительного восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
11.9.5. постоянный контроль над обеспечением уровня защищённости ПД;
11.10. Мероприятия по обеспечению безопасности ПД при их обработке в ИС включают:
11.10.1. определение угроз безопасности ПД при их обработке, формирование на их основе угроз;
11.10.2. разработку на основе модели угроз системы защиты ПД, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующего класса ИС;
11.10.3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
11.10.4. установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
11.10.5. учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД;
11.10.6. учёт лиц, допущенных к работе с ПД в ИС;
11.10.7. контроль по соблюдению условий использования средств защиты ИС, предусмотренных эксплуатационной и технической документацией;
11.10.8. разбирательство и составление заключений по фактам несоблюдения условий хранения ПД, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищённости ПД, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
11.10.9. Иные требования по обеспечению безопасности информации и средств защиты информации в Учреждении выполняются в соответствии с требованиями федеральных органов исполнительной власти и органов исполнительной власти Омской области.
12.Ответственность за нарушение норм,регулирующих обработку и защиту персональных данных
12.1. Ответственность за соблюдение требований по защите информации ограниченного доступа надлежащего порядка проводимых работ возлагается на пользователей ИСПД и ответственного за организацию обработки ПД Учреждения(Приложение № 3).
12.2. Сотрудники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Разглашение ПД субъекта( передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие и утрата документов и иных носителей, содержащие ПД субъекта, а также нарушение обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно- правовыми актами( приказами, распоряжениями)влечёт наложение на сотрудника, имеющего доступ к ПД, дисциплинарных взысканий в форме замечания, выговора, увольнения.
12.3. Сотрудник Учреждения, имеющий доступ к ПД субъекта и совершивший указанный дисциплинарный поступок, несёт полную материальную ответственность в случае причинения его действиями ущерба Учреждению (п.7, ст.243 ТК РФ).
12.4. Управляющий Учреждения за нарушение норм, регулирующих получение, обработку и защиту ПД субъектов, несёт административную ответственность согласно ст.5 Кодекса об административных правонарушениях РФ, а также возместить субъекту ущерб, причинённый неправомерным использованием информации, содержащие ПД.
13. Заключительные положения
13.1. Настоящее Положение утверждается заведующим и является обязательным для исполнения всеми сотрудниками, имеющими доступ к ПД.
13.2. Все сотрудники Учреждения, участвующие в обработке ПД, должны быть ознакомлены с настоящим Положением под роспись.
Приложение № 1
к Положению об обработке персональных данных от_____ __________________
Перечень сведений, содержащих персональные данные
Сведения, составляющие ПД:
1.1. сведения, составляющие ПД сотрудников:
1.1.1. фамилия, имя, отчество;
1.1.2. ИНН;
1.1.3. СНИЛС ( № страхового пенсионного свидетельства);
1.1.4. Табельный номер;
1.1.5. Пол;
1.1.6. Номер, дата трудового договора;
1.1.7. Дата рождения;
1.1.8. Место рождения;
1.1.9. Гражданство;
1.1.10. Наименование и степень знания иностранного языка;
1.1.11. Образование ( среднее( полное) общее, начальное профессиональное, среднее профессиональное, высшее профессиональное, аспирантура и т.д.)
1.1.12. Наименование образовательного учреждения;
1.1.13. Наименование, серия, номер, дата выдачи, направление, специальность, код по ОКСО, ОКИН документа об образовании, о квалификации, наличие специальных знаний;
1.1.14. Профессия ( код по ОКПДТР);
1.1.15. Стаж работы;
1.1.16. Состояние в браке;
1.1.17. Состав семьи, с указанием степени родства, фамилии, отчества, года рождения ближайших родственников);
1.1.18. Данные документа, удостоверяющего личность,( вид, серия, номервыдачи, наименование органа, выдавшего документ);
1.1.19. Адрес и дата регистрации;
1.1.20. Фактический адрес места жительства;
1.1.21. телефон;
1.1.22. Сведения о воинском учёте ( категория запаса, воинское звание,полное кодовое обозначение ВУС; категория годности к военной службе, наименование военного комиссариата по месту жительства, состоит на воинском- отметка о снятии с учёта;
1.1.23. Дата приёма на работу;
1.1.24. Вид работы ( основной, по совместительству);
1.1.25. Структурное подразделение;
1.1.26. Занимаемая должность;
1.1.27. Основание трудоустройства;
1.1.28. Личная подпись сотрудника;
1.1.29. Фотография;
1.1.30. Сведения об аттестации (дата, решение, номер и дата документа, основание);
1.1.31. Сведения о профессиональной подготовке ( дата начала и окончания пепеподготовки, специальность ( направление, профессия, наименование, номер документа , свидетельствующего о переподготовке, основание переподготовки);
1.1.32. Сведения о наградах, поощрениях, почётных званиях ( наименование, номер, дата награды);
1.1.33. Сведения об отпусках(вид, период работы, количество дней, дата начала и окончания, основание);
1.1.34. Сведения об увольнении( основания, дата, номер и дата приказа);
1.1.35. Объём работы.
1.2. Сведения, составляющие ПД воспитанников и их родителей (законных представителей):
1.2.1. Фамилия, имя, отчество;
1.2.2. Пол;
1.2.3. Дата рождения;
1.2.4. Место рождения;
1.2.5. Семейное положение;
1.2.6. Данные документа, удостоверяющего личность ( вид, серия, номер выдачи, наименование органа, выдавшего документ);
1.2.7. Фамилия, имя, отчество и место работы супруга(и);
1.2.8. Имя, отчество, возраст детей;
1.2.9. Адрес и дата регистрации;
1.2.10. Фактический адрес жительства;
1.2.11. Принадлежность жилья ( собственное, арендованное, проживание с родственниками);
1.2.12. Контактные телефоны;
1.2.13. СНИЛС;
1.2.14. Номер страхового медицинского полиса;
1.2.15. ИНН.
Приложение № 2
к Положению об обработке персональных данных от_____ __________________
Согласие родителей на обработку персональных данных
Во исполнение Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» Заказчик дает согласие Исполнителю на:
— обработку (сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, передачу, уничтожение) своих персональных данных: фамилия, имя, отчество, год, дата рождения, место рождения, адрес места жительства, паспортные данные родителей (законных представителей); данные, подтверждающие законность представления прав ребёнка; адрес регистрации и проживания, контактная информация воспитанника и родителей (законных представителей); данные о банковских реквизитах родителя (законного представителя); сведения о месте работы (учебы) родителей (законных представителей);
— обработку персональных данных моего сына (дочери) ______________________________________________, “_____”_______________г.,р.-
( фамилия, имя, отчество (при наличии ребёнка), дата рождения)
фамилия, имя, отчество, данные свидетельства о рождении воспитанника; данные страхового медицинского полиса воспитанника; страховой номер индивидуального лицевого счета (СНИЛС) воспитанника; адрес, и сведения о состоянии здоровья воспитанника; динамика достижений воспитанника; ограничения по состоянию здоровья; фото-, видеообраз, фото- и видеоматериалов.
В целях: исполнения настоящего договора, осуществления уставной деятельности ДОУ, обеспечения соблюдения требований законов и иных нормативно-правовых актов, для обработки в целях организации участия в конкурсах, олимпиадах и иных мероприятиях по оценке достижений обучающихся, при оформлении договоров, портфолио и медицинской карты воспитанника учреждения, размещения информации на сайте ДОУ, для передачи сведений в Министерство образования Омской области, департамент образования Администрации города Омска и другим государственным органам по официальным запросам, а также предоставления сторонним лицам (включая органы государственного и муниципального управления)в рамках требований законодательства Российской Федерации.
Обработка, передача персональных данных разрешается на период посещения ребёнком учреждения, а также на срок хранения документов, содержащих вышеуказанную информацию, установленный нормативно-правовыми актами Российской Федерации.
6.2. Я утверждаю, что ознакомлен(а) с документами учреждения, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области. Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
__________________/ ____________ /
(подпись, фамилия, инициалы)
Приложение № 3
к Положению об обработке персональных данных от_____ __________________
Согласие (форма для сотрудников) на обработку персональных данных
и неразглашение персональных данных
Во исполнение Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» Исполнитель дает согласие Заказчику на обработку (сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение) следующих персональных данных: фамилия, имя, отчество, год, дата рождения, место рождения, адрес места жительства, место работы, должность, номер паспорта, сведения о дате выдачи и выдавшем его органе, код подразделения, номера телефонов, электронный адрес, ИНН, в целях исполнения настоящего договора и законодательства Российской Федерации.
Данное согласие действует до даты письменного отзыва.
Я,_______________________________, понимаю, что получаю доступ к персональным
(фамилия, имя, отчество сотрудника)
Данным воспитанников Частного некоммерческого дошкольного образовательного учреждения «Центра развития ребёнка –детский сад № 348».
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
— анкетные и биографические данные;
— сведения об образовании;
— сведения о трудовом и общем стаже;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— наличие судимостей;
— адрес места жительства;
— домашний телефон;
— место работы или учебы членов семьи и родственников;
— характер взаимоотношений в семье;
— содержание трудового договора;
— состав декларируемых сведений о наличии материальных ценностей;
— содержание декларации, подаваемой в налоговую инспекцию;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
— копии отчетов, направляемые в органы статистики.
Я предупреждена о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.
____________/__________________/
( подпись) ( фамилия, имя, отчество сотрудника)
Приложение № 4
к Положению об обработке
персональных данных
от_____ __________________
Перечень
информационных систем персональных данных № п/п Наименование ИСПД Наименование и адрес объекта Исходные данные классификации ИСПД Класс ИСПД
Характеристика безопасности ПД Структура ИСПД Подключение к МИО Режим обработки ПД Разграничение прав доступа пользователей Местонахождение технических средств
1 2 3 4 5 6 7 8 9 10
1. База данных сотрудников 644043,
Омск-43, ул. Кемеровская , д.6.А типовая автономная Подключение к Интернет многопользовательский С разграничением В пределах РФ К3
2. База данных воспитанников и их родителей
(законных представителей) 644043,
Омск-43, ул. Кемеровская, д.6.А типовая автономная Подключение к Интернет многопользовательский С разграничением В пределах РФ К3
Приложение 3
К Положению о порядке хранения и использования персональных данных
Отзыв согласия на обработку персональных данных
Наименование (Ф.И.О.) оператора
_________________________________________________
Адрес оператора
_________________________________________________
Ф.И.О. субъекта персональных данных
_________________________________________________
Адрес, где зарегистрирован субъект
персональных данных
_________________________________________________
Номер основного документа, удостоверяющего
его личность
_________________________________________________
Дата выдачи указанного документа
_________________________________________________
Наименование органа, выдавшего документ
Заявление
Прошу Вас прекратить обработку моих персональных данных в связи с
_______________________________________________________________
(указать причину)
«__» __________ 20__ г. ____________ _____________________
(подпись) (расшифровка подписи)
Приложение 4
К Положению о порядке хранения и использования персональных данных
Заявление-согласие субъекта на получение его персональных данных у третьей стороны
Директору ЧНДОУ
_________________
Заявление-согласие на получение
персональных данных у третьей стороны
Я, ______________________________________, паспорт серии ________,номер ____________, выданный « ___ » ___________ _____ года__________________________________________________________, в соответствии со ст.86 Трудового Кодекса Российской Федерации _______________ на получение
(согласен/не согласен)
моих персональных данных, а именно:______________________________
__________________________________________________________________
(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)
Для обработки в целях _____________________________________________
__________________________________________________________________
(указать цели обработки)
У следующих лиц __________________________________________________
__________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, у которой собираются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их получение.
« ___ » __________ 20__ г. _________________
(подпись)
Приложение 5
К Положению о порядке хранения и использования персональных данных
Заявление-согласие субъекта
на передачу его персональных данных третьей стороне
Директору ЧНДОУ
_________________
Заявление-согласие
на передачу персональных данных третьей стороне
Я, ______________________________________, паспорт серии ________,номер__________, выданный __________________________ « ___ » ___________ _____ года, в соответствии со ст.88 Трудового Кодекса Российской Федерации _______________.на передачу моих персональных
(согласен/не согласен)
данных, а именно:_______________________________________________
______________________________________________________________
(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)
Для обработки в целях _____________________________________________
(указать цели обработки)
Следующим лицам _________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
______________________________________________________________
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их передачу.
« ___ » __________ 20__ г. ___________________
(подпись)
Приложение 6
К Положению о порядке хранения и использования персональных данных
Соглашение о неразглашении персональных данных субъекта
Я, ______________________________________, паспорт серии ________,номер___________, выданный __________________________ « ___ » ___________ _____ года, понимаю, что получаю доступ к персональным данным работников и/или обучающихся Частного некоммерческого дошкольного образовательного учреждения «Центра развития ребёнка –детский сад № 348».
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
— анкетные и биографические данные;
— сведения об образовании;
— сведения о трудовом и общем стаже;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— наличие судимостей;
— адрес места жительства;
— домашний телефон;
— место работы или учебы членов семьи и родственников;
— характер взаимоотношений в семье;
— содержание трудового договора;
— состав декларируемых сведений о наличии материальных ценностей;
— содержание декларации, подаваемой в налоговую инспекцию;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
— копии отчетов, направляемые в органы статистики.
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__ г. ____________________
(подпись)
Приложение 7
К Положению о порядке хранения и использования персональных данных
Журнал учета передачи персональных данных
N п/п Сведения о Запрашивающем лице
Состав запрашивае мых данных
Цель получения информации
Отметка о предоставлении или отказе в предоставлении информации
ДатаПередачи/отказа в предоставлении информации
Подпись Запрашивающего лица
Подпись ответственного сотрудника
Фиксируются сведения о лице, направившем запрос, дата передачи ПДн или дата
уведомления об отказе в их предоставлении, а также отмечается какая именно информациябыла передана
Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных
N п/п Сведения о Запрашивающем лице
Краткое Содержание обращения
Цель получения информации
Отметка о предоставлении или отказе в предоставлении информации
Дата Передачи/отказа в предоставлении информации
Подпись Запрашивающего лица
Подпись ответственного сотрудника
Фиксируются сведения о лице, направившем запрос, дата передачи ПДн или дата
уведомления об отказе в их предоставлении, а также отмечается какая именно информациябыла передана
Приложение 8
К Положению о порядке хранения и использования персональных данных
Регламент работы сотрудников
Частного некоммерческого дошкольного образовательного учреждения «Центра развития ребёнка – детский сад № 348»
с персональными данными
I. Общие положения
1.1. Данный регламент составлен в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ. Руководствуясь Постановлением № 687 от 15.09.2008, Постановлением № 781 от 17.11.2007 регламент устанавливает требования к обеспечению безопасности персональных данных при различных видах обработки.
1.2. Обработка персональных данных ЧНДОУ «Центра развития ребёнка – детский сад № 348» может осуществляться только в функциональных и образовательных целях.
1.3. Работы по обеспечению безопасности персональных данных осуществляются в целях, определенных условиями включения в реестр операторов по обработке персональных данных Федеральной службы по контролю и надзору в сфере массовых коммуникаций, связи и охраны культурного наследия;
1.4. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональном данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
1.5. Приказом директора в ЧНДОУ «Центра развития ребёнка – детский сад № 348» определяется перечень пользователей, осуществляющих от имени Оператора (ЧНДОУ) хранение, обработку и передачу персональных данных, пользователи уведомляются об ответственности за нарушение данного регламента, об особенностях и правилах такого рода обработки;
1.6. Типовые формы, содержащие персональные данные, должны включать сведения о цели обработки персональных данных, информацию об Операторе (ЧНДОУ).
1.7. Организуется раздельное хранение персональных данных на отдельных материальных носителях;
1.8. Для защиты персональных данных, подвергаемых автоматизированной обработке, предусматривается разграничение прав пользователей, шифрование и запароливание информации, используются программные средства предотвращения несанкционированной утечки информации;
1.9. Для защиты мест хранения персональных данных, воспрепятствования незаконному проникновению в помещения, где хранятся персональные данные, усиливаются средства защиты помещений.
1.10. При обращении физических и юридических лиц за персональными данными сотрудников и (или) обучающихся и их родителей факт обращения и характер запроса фиксируется в регистрационном журнале установленной формы.
1.11. Ответственность за ненадлежащую подготовку информации, её несанкционированную передачу несет должностное лицо, результатом деятельности которого явились нарушения.
II. Порядок работы
пользователей с персональными данными
2.1. Пользователи обязаны:
2.1.1. Строго соблюдать правила и инструкции по работе с персональными данными;
2.1.2. Не допускать несанкционированное распространение персональных данных;
2.1.3. Хранить предназначенные для обработки персональные данные на отдельных материальных носителях в соответствии с целями обработки;
2.1.4. Своевременно обновлять персональные данные при их изменении или дополнении;
2.1.5. Фиксировать факты передачи персональных данных в регистрационном журнале установленного образца;
2.1.6. Уведомлять о случаях несанкционированной передачи персональных данных администрацию ДОУ;
2.1.7. При необходимости блокировки или уничтожения персональных данных совершать действия только в отношении подлежащих уничтожению или блокировки данных, обеспечивая защиту иной информации;
2.1.8. При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям до выяснения причин нарушения и устранения этих причин.
2.2. Пользователям запрещено:
2.2.1. Участвовать в передаче персональных данных, не определенной функциональными обязанностями и (или) запрещенной к передаче.
2.2.2. Пересылать по произвольным адресам не затребованную потребителями информацию, а также информацию, передача которой согласно положению о защите персональных данных не регламентирована;
2.2.3. Искажать персональные данные при фиксации, передаче или копировании;
2.2.4. Использовать персональные данные сотрудников и (или) обучающихся, их законных представителей в целях, не предусмотренных должностными обязанностями.
В ходе своей многолетней деятельности по защите персональных данных мы столкнулись с одним важным парадоксом: когда речь идет о выполнении требований законодательства о персональных данных, большинство операторов считают, что речь идет только о тех персональных данных, которые обрабатываются в электронном виде. Звучит сомнительно, но это так. Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «что, содержание личного дела в отделе кадров это тоже персональные данные?». Особенно это интересно выглядит, когда нам говорят: «а у нас ответственным за организацию обработки персональных данных будет ай-ти-шник Валерий». За нашим вопросом: «а хорошо ли он знаком с трудовым законодательством?» — следует немая сцена на несколько минут, и потом коронные: «Валерий, вы же сказали что закон о персональных данных – это только средства защиты на ПК поставить и все». Итак, чтобы не возникало подобных вопросов, запоминаем основу статьи 1 Федерального закона «О персональных данных»: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации…, или без использования таких средств…». До сих пор ведется полемика: обработка любого ли бумажного носителя подпадает под действие законодательства о персональных данных? Однозначного ответа нет. И попытка в нем разобраться это не цель данной статьи. Главное другое – именно за нарушения при обработке персональных данных без использования средств автоматизации Роскомнадзор РФ (орган по защите прав субъектов персональных данных) выписывает больше всего предписаний.
Одной из причин, почему обработке без использования средств автоматизации уделяется меньше внимания, является сложность в определении границ такой обработки. Многие операторы даже не задумываются, что может под нее подпадать. Если изучить судебную практику, можно выделить много интересных случаев. Конечно деятельность отдела кадров и бухгалтерии это святая святых обработки без использования средств автоматизации, но еще можно выделить ряд типичных случаев, о которых забывают операторы. Например, архив. Часто операторы ссылаются на часть 2 статьи 1 Федерального закона «О персональных данных», что, мол, архив не подпадает под действие закона. Однако, выясняется что никакой это не архив на предприятии, а просто склад с табличкой архив и архивное законодательство не соблюдается. Соответственно, этот склад в полной мере подпадает под действие закона и все что в нем хранится, должно обрабатываться в соответствии с установленными требованиями. Другой клад для проверяющих органов находится у секретаря. Чего там только нет. И списки сотрудников со всеми контактными телефонами и адресами, и ксерокопии паспортов для покупки билетов, и даты дней рождений детей сотрудников, и анкеты соискателей, и конечно приказы, лежащие на подпись. Все это материальные носители персональных данных, к которым, в соответствии с Постановлением Правительства № 687, должен ограничиваться несанкционированный доступ и должна обеспечиваться конфиденциальность и безопасность персональных данных, находящихся в них. Следующее интересное место, это служба безопасности. Сами понимаете, что там может быть. В том числе анкеты, со сведениями о судимости, которые «обычный» оператор обрабатывать не имеет права. Так же часто забывают про проходную, заведующего гаражом, кабинет медицинской сестры, выпускающей водителей в рейс. Такие случаи можно перечислять очень долго и у всех они свои.
Самое главное понять, что именно с определения границ обработки персональных данных необходимо начинать работы по выполнению законодательных требований, то есть определить объем данных и все случаи их обработки. Отдельно можно довольно долго говорить о законности обработки тех или иных материальных носителей (например, ксерокопии паспорта в личном деле работника), но в данной статье будем исходить из того, что ваши материальные носители персональных данных обрабатываются строго в соответствии с принципами, закрепленными статьей 5 Федерального закона «О персональных данных».
Вообще закон почти не разделяет требования для разных видов обработки персональных данных, кроме статьи 19, в которой почти в каждом пункте части 2 речь идет об обработке в информационных системах. Главное, чтобы обработка персональных данных без использования средств автоматизации выполнялась с соблюдением принципов и в случаях, установленных законом. Но кроме закона, существует подзаконный акт, специально регулирующий обработку персональных данных без использования средств автоматизации – Постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 (далее по тексту — ПП 687). На нем и задержим ваше внимание. Разбирать все пункты ПП 687 не имеет смысла. Обратим внимание на «самые важные» и на те, несоблюдение которых чаще всего приводит к нарушениям.
Перейдем сразу к пункту 6. В нем говорится: «Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных,…, категориях обрабатываемых персональных данных,…, а так же об особенностях и правилах осуществления такой обработки…». Данный пункт часто является поводом для наказания операторов. Он не так уж прост, как кажется. На заре формирования практики выполнения законодательства о персональных данных существовало мнение, что все эти сведения – факт обработки персональных данных, категории персональных данных и правила осуществления обработки – должны быть в должностных инструкциях соответствующих лиц.
Но данная практика не показала своей дееспособности, так как должностные инструкции каждого работника менять не очень удобно (мягко сказано), тем более, что если, например, поменяются внутренние правила обработки, придется менять опять все должностные инструкции. Более удобно создать общие документы, с которыми проще всех ознакомить под роспись и решить требования пункта 6 ПП 687. Разберем подробнее, с чем же именно нужно ознакомить работников и как это лучше сделать. Проинформировать о факте обработки персональных данных и о категориях обрабатываемых данных можно, ознакомив работников с перечнем должностей, участвующих в обработке персональных данных, разделив этот перечень на обработку с использованием средств автоматизации и без использования средств автоматизации. Этим мы убьем двух зайцев: И ПП 687 и Постановление Правительства РФ 1119 от 01.11.2012 г. содержат требование об определении работников, участвующих в определенном виде обработки. Кроме того, ознакомив работников с перечнем персональных данных оператора, мы проинформируем его как о факте обработки, так и о категориях обрабатываемых данных. Соответственно, перечень персональных данных оператора лучше разделить по категориям персональных данных.
Закон «О персональных данных» прямо нигде не указывает, какие бывают категории. Но Постановление 1119 выделяет 4 их вида: общедоступные, специальные, биометрические и иные (то есть все, кроме первых трех). Дальше, мы рекомендуем в локальный нормативный акт оператора, регулирующий порядок обработки персональных данных (Например,- положение), включить раздел: «Особенности и правила обработки персональных данных без использования средств автоматизации», описывающий подобную обработку у оператора и, так как работники должны быть ознакомлены с этим актом, автоматически знакомим их с тем, что требует от нас пункт 6.
Дальше переходим к пункту 7 ПП 687, который часто игнорируется операторами, так как не все понимают, что же такое типовая форма. Одни считают что это, например, карточка Т-2. Но встает вопрос как выполнять подпункты «а» и «б» этого пункта? Вообще регуляторы не дают объяснений — что же это такое, но мы встречали случаи, когда оператора наказывали за несоблюдение требований к типовой форме документов. Исходя из судебной практики и текста этого пункта, можно выделить следующие особенности, характеризующие типовые документы: 1) Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя. 2) Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных. Отсюда и требования подпункта «б» о наличии поля для согласия. То есть, мы отметаем мысли о том, что карточка Т-2 это типовой документ оператора. Вообще, если решите создавать у себя типовые формы документов, — отнеситесь серьезно к этому пункту и ничего из него не забывайте.
Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора. Пункт 13 определяет наличие трех перечней: перечня персональных данных, перечня мест хранения носителей персональных данных и перечня лиц, осуществляющих обработку персональных данных (у нас есть образцы этих перечней с примерами заполнения). Здесь часто операторы забывают, что места хранения нужно определить в отношении каждой категории персональных данных. Соответственно, если вы медицинское учреждение, то в перечне мест хранения нужно определить где лежат те или иные материальные носители определенной категории: карточки Т-2- в отделе кадров, договоры с платными пациентами – в регистратуре, медицинские карты пациентов в ординаторских, или же все это хранится в архиве. Тогда так и пишем: архив – персональные данные и специальные категории персональных данных.
14 пункт обязывает нас обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Часто на семинарах люди задают вопрос – а что значит раздельное хранение? Для ответа на этот вопрос, сначала, необходимо определить цели обработки тех или иных материальных носителей. Например, цели обработки карточек Т-2 и договоров с клиентами будут разные. Соответственно, исходя из требований 14 пункта, нам необходимо обеспечить раздельное их хранение. И здесь этот пункт тесно пересекается с 13 и 15. Здесь вступают в бой те самые, очень не простые, организационные и режимные меры. Пункт 15 обязывает нас соблюсти условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Что это значит? Возьмем грубый пример – в одном помещении сидят: специалист по работе с кадрами, по работе с клиентами и медсестра организации. У них у всех будут свои персональные данные, своих категорий и отдельных субъектов. С точки зрения правильной организации хранения носителей, обеспечивающего защиту от несанкционированного доступа, каждый работник должен иметь свой запирающийся шкаф, где хранит свои документы. Это и будет раздельное хранение, обеспечивающее сохранность и исключающее несанкционированный доступ.
В законодательстве не указано, как должны храниться материальные носители персональных данных. Нигде не указано, что это должны быть сейфы или железные шкафы. Нигде не говорится про пожарную или охранную сигнализацию. Вы должны понимать: пункт 15 построен так, что если из бронированного, несгораемого сейфа с четырьмя кодовыми замками украли материальные носители персональных данных и вы не сможете режимными мерами обеспечить доказательства, что это был электрик Владимир, то наказание будет неминуемо. Поэтому, при организации хранения материальных носителей персональных данных исходите из принципа ценности этой информации. Сейчас, при проведении проверочных мероприятий, Роскомнадзор будет удовлетворен, даже если у вас будут шкафы со стеклянными дверями и с элементарными замочками. Замочки должны быть обязательно. Понятно, что это не обеспечит 100%-ую защиту, но доказать, что вы не выполнили требования законодательства будет невозможно.
Существуют альтернативные варианты обеспечения защиты от несанкционированного доступа. Приведу два примера. В муниципальных медицинских учреждениях общая проблема – катастрофическая нехватка места для хранения документов. Одной из больниц мы помогали готовиться к проверке и столкнулись с такой проблемой. В маленькой комнате отдела кадров устроились четыре сотрудника и несколько тысяч личных дел. И ни одного шкафа. Ставить шкафы негде. Переселять людей некуда. В кабинете постоянно толкутся посторонние люди. В итоге решили закрыть дверь на засов и в двери сделать окно выдачи документов. Самое дешевое и простое решение проблемы. Несанкционированный доступ устранен? Да. В комнате находятся только те, кто допущен приказом. Больше ничего не надо. Получился большой шкаф с людьми и материальными носителями.
В другом случае мы помогали организовать работу с персональными данными в коллекторском агентстве. У них отдел по работе с должниками завален десятками тысяч дел на стеллажах. Хранить в шкафах в их условиях было невозможно. Решение было простое. На дверь в кабинет поставили электронный замок. Пароли раздали сотрудникам под роспись. Прописали приказами необходимые сведения, в том числе невозможность проникновения посторонних лиц, и все: несколько тысяч рублей решили проблему защиты от несанкционированного доступа для огромного массива документов. Шкафы бы вышли намного дороже, да и проверка прошла без замечаний. Главное, вы должны понимать, что комплекс режимных мер, основа которых – перечень должностей, перечень информации, перечень мест хранения, назначение ответственных, контроль и разграничение доступа – это не бесполезные фантазии, а очень важный элемент защиты информации, который, при грамотном построении, может сэкономить вам кучу денег и нервов. Но это большая тема для отдельного разговора.
Дальше пункт 15 подложил свинью для многих операторов, которые пострадали при проверках. Он содержит требование определить: перечень мер, порядок их принятия, перечень лиц ответственных за их реализацию. Если перечень мер и порядок их реализации можно косвенно выискать в положениях и инструкциях, то ответственных за их реализацию назначают редко. Мы встречались с такими формулировками в актах проверок: «не назначено лицо, ответственное за обеспечение сохранности персональных данных и исключение несанкционированного к ним доступа». Таким образом, это уже будет третий ответственный, указанный в законодательстве, которого вы должны не забыть назначить.
Как видите, обработка персональных данных без использования средств автоматизации имеет свои секреты и нюансы. В этой статье освещены не все, но наиболее интересные. Надеюсь, что данная статья поможет вам реализовать законодательные требования в своих организациях.
В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.
Мисник Николай Анатольевич
Директор ООО «РЭАЦ «Эксперт»
Содержание:
- Требования к защите ПД, обрабатываемых без применения средств автоматизации
- Персональные данные соискателя
- Обработка ПД в коллективных формах
- Требования по ведению журналов, содержащих персональные данные, при неавтоматизированной обработке
В настоящее время весь комплекс операций с ПД реализуется в информационных системах и на бумажных носителях. Обработка данных без использования средств автоматизации — это регламентированные действия с ПД, осуществляемые только человеческими ресурсами. Правила обработки ПД в ИСПДн и на бумаге устанавливают нормативные документы.
На дистанционных курсах повышения квалификации мы подробно остановимся на нормативном регламентировании обработки ПД. Ознакомим вас со всеми изменениями законодательства, научим успешно проходить проверки Роскомнадзора без нарушений и штрафов.
Требования к защите ПД, обрабатываемых без применения средств автоматизации
Есть отдельный правовой акт, нормирующий обработку ПД, размещенных на бумажных носителях. Это Постановление Правительства No 687 от 15.09.2008. В нем определены условия обработки персональных данных, имеющихся в документе, без использования ИС. Постановление регламентирует применение типовых бланков, в которых предполагается наличие персданных и мероприятия для их сохранности
Если работодатель применяет типовые формы, у него должны быть разработаны инструкции по их заполнению.
Пример приказа о предоставлении отпуска
Кроме информации, традиционно отражаемой в подобном распоряжении, постановление требует указать:
- Цель. Здесь ПД обрабатываются для реализации права работника на получение и оплату ежегодного отпуска. Это и есть цель обработки персональных данных, выполняемой без использования средств автоматизации.
- Сведения об операторе и субъекте: ООО «Флай», Адрес: Киров, ул. Добролюбова, д. 9/14; Карпов Сергей Алексеевич, проживает: г. Киров, ул. Грина, д. 57.
- Источник и сроки. Личная карточка работника No Т-2. Длительность хранения ПД из настоящего документа — в течение установленного законом архивного срока хранения.
- Список операций. Импортирование данных в «1С», использование на бумажном носителе после вывода на печать, отражение в Личной карточке No Т-2, графике отпусков.
- Описание применяемых методов обработки. Сбор, запись, накопление, хранение, уточнение (обновления, изменения), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение— указывайте только то, что применяете.
Официальных рекомендаций по выполнению п.7 ПП No 687 нет. Вы можете поступить следующим образом:
- Указать требуемую информацию в ЛНА, разъясняющем правила заполнения типовых бланков:
- приказы или распоряжения о приеме на работу;
- -//- о предоставлении отпуска;
- -//- об увольнении;
- личный листок и другие.
По каждой типовой форме, содержащей персональные данные, разрабатывайте отдельную инструкцию с указанием актуальных сведений.
- Включать требуемую информацию непосредственно в текст документа.
Скачай образец приказа с указанием всех обязательных данных в соответствии с Постановлением 687
Персональные данные соискателя
Кадровики часто сталкиваются с проблемой обработки ПДн без использования средств автоматизации в анкетах соискателей. Возникают затруднения в определении характера собираемых ПД, их количестве и оформления в документах.
Совет
Что касается количества сведений — придерживайтесь ст. 5, п.5 N 152 — ФЗ и запрашивайте только те личные сведения, которые вам действительно необходимы.
Если организация собирает ПД соискателей с помощью типовой формы анкеты, утвержденной работодателем, все указанные выше требования распространяются и на нее. Дополнительно к общим условиям данная анкета должна вмещать:
- информацию о сроке ее рассмотрения;
- решение об устройстве либо отказе в приеме на работу.
Важно!
Порядок заполнения всех типовых форм документов персональных данных — бланков и форм, применяемых в организации, включая приказы, анкеты, график отпусков и прочие, отразите в отдельных разработанных и утвержденных инструкциях.
Обработка ПД в коллективных формах
Проблемы возникают при использовании коллективных форм, включающих личную информацию сразу нескольких субъектов. Это обработка персональных данных без автоматизации в:
- графиках отпусков, приказах о премировании;
- приказах о предоставлении отпусков (Т-6а);
- графиках работ, сменности.
Каждый работник, чьи ПД указаны в бланке, вправе ознакомиться с тем, какие именно сведения о нем обрабатываются. При этом он должен сделать это так, чтобы не нарушить права других субъектов, чьи данные также размещены в этой форме. Для обеспечения этого условия ПД других сотрудников скрываются, например, через употребление специальной формы с вырезанным окошком, через которое видны данные конкретного субъекта.
Если сотрудники разрешили сделать свои персданные, используемые в документах работодателя, общедоступными в согласии на обработку персональных данных, то ознакомление с коллективной формой производится открыто и свободно.
Важно!
Это самый удобный и доступный вариант, не требующий особого раскрытия тайны, так как, например, в рамках одной организации, все знают ФИО своих коллег, их специальности, другие ПД.
Требования по ведению журналов, содержащих персональные данные, при неавтоматизированной обработке
Такие журналы заводят при пропускных режимах, когда субъекта ПД надо пропустить на территорию оператора. В них фиксируют ПД, требуемые для одного прохода. К таким типовым формам Постановление N 687 предъявляет следующие требования:
- Иметь ЛНА, регламентирующий ведение журнала. В нем указываются цели обработки ПД, состав ПД, которые запрашиваются у субъекта, способы их фиксации.
- Перечислить должности или ФИО ответственных лиц, допущенных к журналу, сроки обработки ПД.
- Подробно расписывается механизм пропуска на территорию без подтверждения достоверности сведений, которые сообщает субъект.
Важно!
Копирование из журналов при обработке ПД без использования средств автоматизации запрещено.
ПД субъектов вносятся в журнал в каждом случае пропуска не больше 1 раза.
Дистанционный курс по работе с ПД будет полезен и тем, кто применяет автоматизацию в своей деятельности, и тем, кто обрабатывает ПД вручную. Мы рассмотрим самые важные изменения в законодательстве и разъясним порядок применения нормативов.