Четверг
14.12.2017
13:20

RSS
 
Детский сад №37
Главная
ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ »
Меню сайта

Категории раздела
Праздники [38]
Мероприятия [61]
Другие новости [29]

              

СОГЛАСОВАНО:

Протокол общего собрания детского

 сада № 37 ОАО «РЖД»

(наименование коллегиального органа управления / представительного органа работников)

от _____________  № _______

 

 

СОГЛАСОВАНО

Председатель профкома

__________________  /  Е.К.Земнова_/

   (Подпись)                  (И.О. Фамилия)

__________________ (Дата)

 

 

 

 

 

УТВЕРЖДАЮ:

Заведующий       Д/С №37 ОАО  "РЖД"

(Должность руководителя, наименование образовательной организации)

_________________    /  М.В. Желнова     /

    (Подпись)                   (И.О. Фамилия)

__________________  (Дата)

 

 

УТВЕРЖДЕНО

 

приказом

от _____________  № _______

 

                                                                                                  

                                                                                                 

 

 

 

ПОЛОЖЕНИЕ

О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ  

в частном дошкольном образовательном учреждении «Детский сад № 37 открытого акционерного общества «Российские железные дороги»

 

 

 

 

 

 

 

 

 

  

 

 

г. Москва

 

 

1.ОБЩИЕ ПОЛОЖЕНИЯ.

 

1.1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) в частном дошкольном образовательном учреждении «Детский сад № 37 открытого акционерного общества «Российские железные дороги» (далее -  Учреждение) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в Учреждении на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персо­нальных данных" (далее - Закон № 152-ФЗ), Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также в соответствии с уставом Учреждения и локальными актами.

1.2. Основной задачей Учреждения в области защиты персональных данных является обеспечение в соответствии с законодательством Российской Федерации обработки персональных данных работников Учреждения, воспитанников и их родителей (законных представителей), а также персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъек­тов персональных данных.

1.3. В настоящем Положении используются следующие термины и определения.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Документированная информация – зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – юридическое лицо (Учреждение), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Работник – физическое лицо, вступившее в трудовые отношения с Учреждением.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъекты персональных данных Учреждения (далее – субъекты) – носители персональных данных, в т. ч. работники Учреждения, обучающиеся, воспитанники и их родители (законные представители), передавшие свои персональные данные Учреждению на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их обработки.

Съемные носители данных – материальные объекты или устройства с определенными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных.

Типовая форма документа – документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4. Должностные лица Учреждения, в обязанности которых входит обработка персональных  данных субъектов, обеспечивают каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

5. Порядок обработки персональных данных в Учреждении утверждается заведующим Учреждением. Все работники Учреждения должны быть ознакомлены под роспись с настоящим Положением в редакции, действующей на момент ознакомления.

 

2. ОРГАНИЗАЦИЯ ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1.   Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации в области трудовых отношений и образования, Трудовым кодексом Российской Федерации, нормативными и распорядительными документами Минобрнауки России, настоящим Положением, локальными актами Учреждения в случае согласия субъектов на обработку их персональных данных.

2.1.1. Персональные данные работника, родителя (законного представителя), воспитанника – любая информация, относящаяся к данному физическому лицу (субъекту персональных данных) и необходимая Учреждению в связи с трудовыми отношениями и с выполнением договорных условий, на основании которой возможна безошибочная идентификация субъекта персональных данных.

2.1.2. К персональным данным работника относятся:

- фамилия, имя, отчество работника;

- дата и место рождения работника;

- адрес проживания (регистрации) работника;

- семейное, социальное, имущественное положение работника;

- образование, профессия работника;

- медицинское заключение о возможности выполнять работу в Учреждении по той должности, на которую он устраивается на работу;

- справка об отсутствии судимости для работников;

- доходы, имущество и имущественные обязательства работника

2.1.3. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Учреждения). Режим конфиденциальности в отношении персональных данных снимается:

в случае их обезличивания;

по истечении 75 лет срока их хранения;

в других случаях, предусмотренных федеральными  законами.

2.1.4. Персональные данные родителей (законных представителей) и воспитанников – любая информация, относящаяся к субъектам персональных данных и необходимая Учреждению в связи с выполнением договорных отношений по оказанию услуг содержания детей, в том числе:

  1. имя (фамилия, имя, отчество) и документы, подтверждающие личность родителя;
  2. имя (фамилия, имя, отчество) и документы, подтверждающие личность ребенка;
  3. пол, возраст ребенка;
  4.  место жительства (пребывания);
  5. телефоны для связи;
  6. сведения о состоянии здоровья ребенка: результаты анализов, обследований, выписка из истории болезни; анатомические характеристики ребенка и биометрические данные (рост, вес и др.), вакцинация; и родственные связи доверенных лиц родителя, для приема и передачи ребенка.
  7. место работы, должность родителя;
  8. имя (фамилия, имя, отчество) и документы, подтверждающие личность и родственные связи доверенных лиц родителя, для приема и передачи ребенка.

2.2.   Оператор персональных данных не вправе требовать от субъекта предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и частной жизни.

2.3.   Без согласия субъектов осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных)

2.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка, не совместимая с целями сбора персональных данных, не допускается.

2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.6.   В случае увольнения или отчисления субъекта оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством РФ либо договором с субъектом.

2.7.   Персональные данные хранятся в бумажном и (или) электронном виде централизованно или в соответствующих подразделениях Учреждения с соблюдением предусмотренных нормативными правовыми актами Российской Федерации мер по защите персональных данных.

2.8.  Оператор назначает лицо, ответственное за организацию обработки персональных данных.

2.9.   Право на обработку персональных данных предоставляется работникам Учреждения, которые обязаны сохранять их конфиденциальность.

2.10. Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности путем фиксации их на отдельных материальных (бумажном или электронном) носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

2.11. При фиксации персональных данных на материальных носителях не допускается размеще­ние на одном материальном носителе персональных данных, цели обработки которых заведо­мо не совместимы.

Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, используются отдельные материальные носители для каждой категории.

2.12. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т. ч. работники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением), информируются руководителями:

  • о факте обработки ими персональных данных;
  • о категориях обрабатываемых персональных данных;
  • об особенностях и правилах осуществления такой обработки, установленных норма­тивными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными актами Учреждения.

2.13. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

  • типовая форма документа содержит сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; наименование Учреждения; адрес Учреждения; фамилию, имя, отчество и адрес субъекта персональных данных; источник полу­чения персональных данных; сроки обработки персональных данных; перечень дей­ствий с персональными данными, которые будут совершаться в процессе их обработ­ки; общее описание используемых Учреждением способов обработки персональных данных;
  • при необходимости получения письменного согласия на обработку персональных данных типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осу­ществляемую без использования средств автоматизации;
  • типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.

2.14. При ведении журналов (журналы регистрации, журналы посещений и др.), содержащих персональные данные субъектов, следует учитывать, во-первых, что необхо­димость их ведения предусмотрена федеральными законами и локальными актами Учреждения, содер­жащими сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способах фиксации и составе информации, запрашиваемой у субъек­тов персональных данных, перечне лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журналов, сроках обра­ботки персональных данных, и, во-вторых, что копирование содержащейся в них информации не допускается.

2.15. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание) в соответствии с Положением об уничтожении бумажных и электронных носителей персональных данных, обрабатываемых в Учреждении.

2.16. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носи­теле, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.17. Если персональные данные субъекта можно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него необходимо получить письменное согласие. Учреждение должно сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение.

 

3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

 

3.1. При обработке персональных данных в отношении каждой категории персональных данных определяются места хранения, а также устанавливается перечень лиц, осуществляющих их обработку либо имеющих к ним доступ (как с использованием средств автоматизации, так и без них).

3.2. Оператором обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.3. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Учреждения.

3.4. Порядок конкретных мероприятий по защите персональных данных с использованием средств автоматизации или без использования таких средств определяется приказами руководителя Учреждением и иными локальными нормативными актами.

В целях установления режима защиты персональных данных, Учреждение принимает следующие меры:

1) Осуществляет разработку локальных нормативных актов и инструкций по обеспечению защиты персональных данных;

2) Заключает договоры (в том числе трудовые) с условием о сохранении и обеспечении конфиденциальности информации;

3) Обеспечивает ограничение доступа к персональным данным, оформляет доступ к таким сведениям, а также осуществляет учет лиц, получающих доступ к таким сведениям;

4) Организует работу персонала с персональными данными, в том числе с материальными носителями такой информации;

5)  Организует обучение и проверку знаний по обеспечению режима защиты персональных данных;

6) Устанавливает степень конфиденциальности сведений и регламентирует нанесение соответствующих грифов на носители персональных данных, осуществляет классификацию информационных систем;

7) Принимает необходимые меры, направленные на ограничение доступа посторонних лиц к сведениям, составляющим медицинскую тайну и персональные данные.

3.5. К лицам, обязанным обеспечивать конфиденциальность сведений, по персональным данным родителей (законных представителей) и воспитанников, относятся:

- руководитель Учреждением;

- главный бухгалтер;

- бухгалтер;

- старшая медицинская сестра;

- воспитатели;

- педагогические работники (учитель-логопед, педагог-психолог, старший воспитатель, инструктор по физической культуре).

 3.6. К лицам, обязанным обеспечивать конфиденциальность сведений, составляющих персональные данные работников, относятся:

- руководитель Учреждением:

- делопроизводитель;

- главный бухгалтер;

- бухгалтер;

- старшая медицинская сестра;

- исполняющий обязанности заведующего в период отсутствия по согласованию с Учредителем заведующего на рабочем месте.

3.7. Допуск к персональным данным работников, родителей (законных представителей) и воспитанников включает в себя:

1) Ознакомление работника с законодательством о персональных данных, об ответственности за его нарушение и с локальными нормативными актами о защите персональных данных Учреждения;

2) Принятие работником на себя обязанности по обеспечению конфиденциальности информации, полученной при осуществлении своей трудовой функции в Учреждении, а также после прекращения трудовых отношений на период действия режима защиты персональных данных;

3)  Прохождение обучения и проверки знаний требований по обеспечению конфиденциальности персональных данных работников, родителей (законных представителей) и воспитанников.

3.8. Для получения доступа к персональным данным работников, родителей (законных представителей) и воспитанников необходимо пройти процедуру допуска.

       Процедура допуска осуществляется руководителем  в момент подписания трудового договора. В трудовом договоре причастного к персональным данным работников, родителей (законных представителей) и воспитанников лица указывается ответственность  за конфиденциальность персональных данных работников, родителей (законных представителей) и воспитанников.

3.9. В трудовые договоры лиц, принимаемых на работу, связанную с получением, обработкой, хранением, передачей и использованием персональных данных, включается условие об обеспечении конфиденциальности таких сведений.

 

 

 

4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Законом № 152-ФЗ за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

  • на получение сведений об операторе, о месте его нахождения, наличии у него персо­нальных данных, относящихся к нему (т. е. субъекту персональных данных), а также на ознакомление с такими данными;
  • требование от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устарев­шими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • получение при обращении или запросе информации, касающейся обработки его персональных данных.

4.2. Оператор обязан:

  • безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных;
  • вносить в персональные данные субъекта необходимые изменения;
  • уничтожать или блокировать соответствующие персональные данные при предостав­лении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • уведомлять субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах;
  • в случае выявления неправомерной обработки персональных данных, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора;
  • в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;
  • уведомлять субъекта персональных данных или его законного представителя об устра­нении допущенных нарушений или об уничтожении персональных данных;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ.
  • уведомить субъекта персональных данных об уничтожении его персональных данных.

4.3. Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на конкретных должностных лиц, обрабатывающих персональные данные, в приказе об утверж­дении настоящего Положения и в других соответствующих приказах.

4.5. К способам нарушения режима защиты персональных данных относятся:

- разглашение информации по персональным данным работников, родителей (законных представителей)  и воспитанников;

- неправомерное использование персональных данных работников,

родителей (законных представителей)  и воспитанников (использование без согласия субъекта и (или) в целях, не связанных с оказанием договорных отношений в ДОУ);

- утрата документов и иных материальных носителей сведений по персональным данным работников, родителей (законных представителей)  и воспитанников (в том числе трудовых книжек, кадровых приказов медицинских карт детей, результатов анализов и обследования, съемных носителей с этими данными и т.д.);

- неправомерное уничтожение документов, содержащих персональные данные работников, родителей (законных представителей)  и воспитанников;

- нарушение требования хранения документов, содержащих персональные данные работников, родителей (законных представителей)  и воспитанников ( хранение в открытом доступе, оставление на рабочем столе и т.д.);

- передача документов и сведений, содержащих персональные данные неуполномоченным лицам;

- другие нарушения требований законодательства и настоящего Положения.

4.6. Работники учреждения, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными  законами.

      Разглашение персональных данных работников, родителей (законных представителей)  и воспитанников может являться основанием для расторжения трудового договора с работниками ДОУ по подпункту «в» пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации.

      Совершение иных нарушений режима защиты персональных данных, перечисленных в п. 9.1. настоящего Положения, влечет применение иных мер дисциплинарной ответственности (замечание, выговор).

       Неоднократное нарушение требований режима конфиденциальности может послужить основанием для прекращения трудового договора по пункту 5 части первой статьи 81 Трудового кодекса Российской Федерации.

4.7. Руководитель Учреждением за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст.5.27 и 5.3.9. КоАП  РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

 

5. Заключительные положения

 

5.1. Изменения в Положение вносятся согласно установленному в Учреждении порядку посредством согласованного и утвержденного Дополнения к Положению.

 

 

 

 

 

Поиск

Календарь
«  Декабрь 2017  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
25262728293031

Архив записей

Друзья сайта