ИНСТРУКЦИЯ ответственного лица по организации обработки и защиты персональных данных граждан, являющихся участниками образовательных отношений

 ИНСТРУКЦИЯ

ответственного лица по организации обработки и защитыперсональных данных граждан, являющихся участниками образовательных отношений

1. I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.  Настоящая должностная инструкцияразработана для Муниципального дошкольного образовательного учреждения «Ряжскийдетский сад № 1» (далее — ДОУ)  в соответствии с Трудовым кодексомРоссийской Федерации, Конституцией Российской Федерации, Гражданским кодексомРоссийской Федерации, Федеральным законом «Об информации, информационныхтехнологиях и о защите информации», Федеральным законом «О персональныхданных», ред. от 21.07.2014 г., Постановлением Правительства РоссийскойФедерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработкиперсональных данных, осуществляемой без использования средств автоматизации»;Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Обутверждении Положения об обеспечении безопасности персональных данных при ихобработке в информационных системах персональных данных»; Правилами внутреннеготрудового распорядка, Положением о  персональных данных  граждан,являющихся участниками образовательных отношений   ДОУ (далее –Положение).

1.2. Цель разработки Инструкции — обеспечение защитыправ и свобод  граждан, являющихся участниками образовательныхотношений   ДОУ (далее — граждан)  при обработке их персональныхданных, а также установление ответственности должностных  лиц, имеющихдоступ к персональным данным граждан, за невыполнение требований норм,регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Инструкции.

1.3.1. Настоящая Инструкция вступает в силу с моментаее утверждения  заведующей ДОУ и действует бессрочно, до замены ее новойИнструкцией.

1.3.2. Все изменения в Инструкцию вносятся приказом.

1.5. Ответственные лица должны быть ознакомлены снастоящей Инструкцией под роспись.

Персональную ответственность за соблюдение всеми ответственными лицами настоящей инструкции, а также контроль за ее соблюдением возложен на заведующую ДОУ.

1. Основные понятия и состав персональных данных.

2.1. Для целей настоящей Инструкции используютсяследующие основные понятия:

— персональные данные — любая информация, относящаяся копределенному или определяемому на основании такой информации  работнику, воспитаннику   или родителю (законному представителю)воспитанника ДОУ;

— обработка персональных данных — сбор, систематизация,накопление, хранение, уточнение (обновление, изменение), использование,распространение (в том числе передача), обезличивание, блокирование иуничтожение персональных данных;

— конфиденциальность персональных данных — обязательное для соблюденияназначенного ответственного лица, получившего доступ к персональным даннымработников, воспитанников   и родителей (законных представителей)воспитанников ДОУ;

— требование не допускать их распространения  безсогласия работников   и родителей (законных представителей)воспитанников ДОУ или иного законного основания;

— распространение персональных данных — действия, направленные напередачу персональных данных работников, воспитанников   и родителей(законных представителей) воспитанников ДОУ определенному кругу лиц (передачаперсональных данных) или на ознакомление с персональными данныминеограниченного круга лиц, в том числе обнародование персональных данныхработников, воспитанников   и родителей (законных представителей)воспитанников ДОУ; в средствах массовой информации, размещение в информационно-телекоммуникационныхсетях или предоставление доступа к персональным данным работников,воспитанников   и родителей (законных представителей) воспитанниковДОУ каким-либо иным способом;

— использование персональных данных — действия (операции) сперсональными данными, совершаемые должностным лицом ДОУ в целях принятиярешений или совершения иных действий, порождающих юридические последствия вотношении граждан  либо иным образом затрагивающих их права и свободы илиправа и свободы других лиц;

— блокирование персональных данных— временное прекращение сбора,систематизации, накопления, использования, распространения персональных данных,в том числе их передачи;

 — уничтожение персональных данных— действия, в результате которыхневозможно восстановить содержание персональных данных в информационной системеперсональных данных граждан или в результате которых уничтожаются материальныеносители персональных данных граждан;

 — обезличивание персональных данных— действия, в результате которыхневозможно определить принадлежность персональных данных конкретномугражданину;

— общедоступные персональные данные— персональные данные, доступнеограниченного круга лиц к которым предоставлен с согласия гражданина или накоторые в соответствии с федеральными законами не распространяется требованиесоблюдения конфиденциальности;

— информация— сведения (сообщения, данные) независимо от формы ихпредставления.

— документированная информация— зафиксированная на материальномносителе путем документирования информация с реквизитами, позволяющимиопределить такую информацию или ее материальный носитель.

ИСПДн — Информационные системы персональных данных;

2.2. Составперсональных данных.

— фамилия,имя, отчество;

— дата иместо рождения;

— паспортныеданные;

— сведенияоб ИНН, СНИЛС;

— адреспроживания (регистрации);

—домашний,  контактный телефон;

— семейное,социальное, имущественное положение;

—образование;

— профессия,специальность, занимаемая должность;

—автобиография;

— сведения отрудовом и общем стаже;

— сведения опредыдущем месте работы;

— сведения овоинском учете;

— сведения осоциальных льготах;

— размерзаработной платы;

— наличиесудимостей, ответственности по исполнительному листу;

— содержаниетрудового договора;

— результатымедицинского обследования на предмет годности к осуществлению трудовыхобязанностей;

— привычки иувлечения, в том числе вредные (алкоголь, наркотики и др.);

— реквизитысчёта банковской карты;

— семейноеположение;

— СНИЛС

— прочиесведения, которые могут идентифицировать человека.

2.3. У администрации ДОУ создаются и хранятся следующие группыдокументов, содержащие данные о работниках, воспитанниках   иродителях (законных представителях) воспитанников ДОУ в единичном или сводномвиде:

— Документы, содержащие персональные данные работников:комплексы документов, сопровождающие процесс оформления трудовых отношений приприеме на работу, переводе, увольнении; комплекс материалов по анкетированию,тестированию; проведению собеседований с кандидатом на должность; подлинники икопии приказов по личному составу; личные дела  работников, трудовыекнижки работников; дела, содержащие основания к приказу по личному составу;дела, содержащие материалы аттестации работников; дела, содержащие материалыслужебных расследований; справочно-информационный банк данных по персоналу(картотеки, журналы); подлинники и копии отчетных, аналитических и справочныхматериалов, передаваемых руководству Учреждения,  копии отчетов,направляемых в государственные органы статистики, налоговые инспекции, вышестоящиеорганы управления и другие учреждения.

— Документация по организации работы с педагогическими техническим персоналом: положения, должностные инструкции работников,приказы, распоряжения, указания руководства Учреждения; документы попланированию, учету, анализу и отчетности в части работы с персоналом ДОУ.

— Документы, содержащие персональные данныевоспитанников: личные дела; медицинские справки.

— Документы, содержащие персональные данные родителей(законных представителей) воспитанников: данные паспорта;  адресрегистрации, (фактического проживания); данные о семейном положении; контактныеи рабочие телефоны;  сведения о месте работы, занимаемой должности;  сведения об образовании; сведения о социальных льготах;сведения о  составе семьи; сведения о  доходе семьи; сведения ореквизитах  банковской карты, Е-Mail,СНИЛС.

1. Права работников и родителей (законных представителей) воспитанников ДОУ.

3.2. Работники и родители (законные представители)воспитанников ДОУ имеют право:

3.2.1.Получать доступ к своим персональным данным иознакомление с ними, включая право на безвозмездное получение копий любойзаписи, содержащей персональные данные.

3.2.2.Требовать от ДОУ уточнения, исключения илиисправления неполных, неверных, устаревших, недостоверных, незаконно полученныхили не являющих необходимыми для ДОУ персональных данных.

3.2.3. Получать от ДОУ

— сведения о лицах, которые имеют доступ кперсональным данным или которым может быть предоставлен такой доступ;

— перечень обрабатываемых персональных данных иисточник их получения;

— сроки обработки персональных данных, в том числесроки их хранения;

— сведения о том, какие юридические последствия длясубъекта персональных данных может повлечь за собой обработка его персональныхданных.

3.2.4. Требовать извещения ДОУ всех лиц, которым ранеебыли сообщены неверные или неполные персональные данные, обо всех произведенныхв них исключениях, исправлениях или дополнениях.

3.2.5.Обжаловать в уполномоченный орган по защите правсубъектов персональных данных или в судебном порядке неправомерные действия илибездействия ДОУ при обработке и защите его персональных данных.

3.3. Копировать и делать выписки персональных данныхграждан разрешается исключительно в служебных целях с письменного разрешениязаведующей.

1. Порядок обработки персональных данных.

4.1. При обработке персональных данных граждан, т.е.их получении, хранении, комбинировании, передаче или любом другомиспользовании, сотрудники, назначенные ответственными  за  обработкуперсональных данных граждан   обязаны соблюдать следующие общиетребования:

4.1.1. Обрабатывать персональные данные граждан исключительно в целях обеспечения соблюдения законов и иных нормативныхправовых актов, содействия гражданам в трудоустройстве, обучении и продвижениипо службе, обеспечения личной безопасности, контроля количества и качествавыполняемой работы и обеспечения сохранности имущества;

4.1.2. Не допускается запрашивать информацию осостоянии здоровья гражданина, за исключением тех сведений, которые относятся квопросу о возможности выполнения  трудовой функции, посещения ДОУ;

4.1.3. Ответственному  лицу разрешается доступтолько к тем персональным данным сотрудников, которые необходимы для выполненияим его должностных обязанностей;
4.1.4. Ответственное лицо не имеет права получать и обрабатывать персональныеданные гражданина о его политических, религиозных и иных убеждениях, частнойжизни, членстве в общественных объединениях или его профсоюзной деятельности,за исключением случаев, непосредственно связанных с вопросами трудовых отношенийс письменного согласия гражданина, а также случаев предусмотренных федеральнымзаконом.

4.2. Порядокполучения персональных данных

4.2.1. Персональные данные работника и родителя(законного представителя) воспитанника ДОУ следует получать у него самого, с егописьменного согласия.

4.2.2. Согласие работников   и родителей(законных представителей) воспитанников ДОУ не требуется в следующих случаях:

— персональные данные являются общедоступными;

— обработка персональных данных осуществляется наосновании Трудового кодекса РФ или иного федерального закона, устанавливающегоее цель, условия получения персональных данных и круг субъектов, персональныеданные которых подлежат обработке, а также определяющего полномочияработодателя;

— обработка персональных данных осуществляется длястатистических или иных научных целей при условии обязательного обезличиванияперсональных данных;

— обработка персональных данных осуществляется в целяхисполнения трудового договора;

— обработка персональных данных необходима для защитыжизни, здоровья или иных жизненно важных интересов работников,воспитанников   и родителей (законных представителей) воспитанниковДОУ, если получение его согласия невозможно.

4.2.3. Если персональные данные работника и родителя(законного представителя) воспитанника ДОУ возможно получить только у третьейстороны, то работник и родитель (законный представитель) воспитанника ДОУдолжен быть уведомлен об этом заранее и от него должно быть получено письменноесогласие. Ответственный  должен сообщить работнику  и родителю(законному представителю) воспитанника ДОУ о целях, предполагаемых источниках испособах получения персональных данных, а также о характере подлежащихполучению персональных данных и последствиях отказа работника дать письменноесогласие на их получение.

4.2.4.Все персональные данные воспитанников следуетполучать от родителей (законных представителей) воспитанников.

4.2.5. Работники,  родители (законные представители) воспитанников ДОУ предоставляют ответственному за обработку и защиту персональных данных, достоверные сведения о себе  ивоспитаннике. Ответственный за обработку и защиту персональных данных проверяетдостоверность сведений, сверяя данные, предоставленные  работниками иродителями (законными представителями) воспитанников ДОУ, с имеющимися уработников и родителей (законных представителей) воспитанников ДОУ документами.

1. Хранение персональных данных.

5.1. Персональные данные граждан могут передаваться нахранение  на бумажных носителях  и в электронном виде —локальной компьютерной сети и компьютерной программе

5.1. Персональные данные граждан   хранятсяу администрации ДОУ.

5.2. Хранение документов, содержащих персональныеданные, осуществляется в несгораемых шкафах (сейфах), ключи от которыхнаходятся у заведующей ДОУ, а в его отсутствие у лица его замещающего.

1. Передача персональных данных.

При передаче персональных данных необходимо соблюдать следующие требования:

6.1. Не сообщать персональные данные  третьейстороне без письменного согласия гражданина, за исключением случаев, когда этонеобходимо в целях предупреждения угрозы жизни и здоровью гражданина, а также вслучаях, установленных федеральным законом;

6.2. Не сообщать персональные данные в коммерческихцелях без  письменного согласия гражданина. Обработка персональных данныхграждан  в целях продвижения  работ, услуг на рынке путемосуществления прямых контактов с потенциальным потребителем с помощью средствсвязи допускается только с его предварительного согласия.

6.3. При передаче персональных данных граждан  предупредитьлиц, получающих персональные данные, о том, что эти данные могут бытьиспользованы лишь в целях, для которых они сообщены. Лицо, получившееперсональные данные гражданина, обязан соблюдать режим секретности(конфиденциальности).

6.4. Ответственный за сбор и обработку персональныхданных, должен  осуществлять передачу персональных данных граждан впределах ДОУ в соответствии с Положением.

1. Защита персональных данных.

7.1. Обеспечение безопасности  персональныхданных в соответствии с российским законодательством не требуется:

— Для обезличенных  персональных данных.Персональные данные могут быть обезличенными, в случае, если над ними былипроизведены действия, в результате которых невозможно определить ихпринадлежность конкретному работнику, воспитаннику и/или родителю (законномупредставителю) воспитанника ДОУ.

— Для общедоступных персональных данных. Персональныеданные могут быть общедоступными только с письменного согласия работника иродителя (законного представителя) воспитанника ДОУ. Они могут включатьфамилию, имя, отчество, год и место рождения, адрес, абонентский номер,сведения о профессии и иные персональные данные, предоставленные работникоми/или родителем (законным представителем) воспитанника ДОУ.

7.2. Обязанность по обеспечению безопасностиперсональных данных  при их обработке полностью возлагается наответственного за обработку и защиту персональных данных.

7.3.Право доступа к персональным данным  имеюттолько ответственные лица, назначенные приказом заведующей:

— заведующий ДОУ;

— старший воспитатель;

— ответственный за функционирование сайта ДОУ;

— главный бухгалтер;

- бухгалтер;

- старшая медицинская сестра;

- воспитатели;

- делопроизводитель.

7.4.  Обработка персональных данных должнапроводиться в следующих предназначенных для этого помещениях ДОУ:

— кабинетзаведующего;

—методический кабинет;

—бухгалтерия

—медицинский кабинет.

7.5. При обработке персональных данных в помещении недолжны находиться посторонние лица.

7.6. Ответственные лица должны  соблюдать конфиденциальностьпри обработке персональных данных.

7.7. Ответственные работники должны быть предупрежденыо мерах ответственности за разглашение сведений о персональных данных подроспись.

7.8. При фиксации персональных данных на материальныхносителях не допускается фиксация на одном материальном носителе персональныхданных, цели обработки которых не совместимы. Для обработки различных категорийперсональных данных, осуществляемой без использования средств автоматизации,для каждой категории персональных данных должен использоваться отдельныйматериальный носитель.

7.9. Необходимо обеспечивать раздельное хранениеперсональных данных (материальных носителей), обработка которых осуществляетсяв различных целях.

7.10.  При хранении материальных носителей должнысоблюдаться условия, обеспечивающие сохранность персональных данных иисключающие несанкционированный доступ к ним.

7.11. Обеспечение безопасности персональныхданных  при их обработке в ИСПДн достигается путем исключениянесанкционированного, в том числе случайного, доступа к персональным данным,результатом которого может стать уничтожение, изменение, блокирование,копирование и распространение персональных данных.

7.12.Ответственный обязан:

— проводить мероприятия, направленные напредотвращение несанкционированного доступа (далее НСД) к персональным данным и(или) передачи их лицам, не имеющим права доступа к такой информации;

— Соблюдать требования парольной защиты (длина паролядолжна быть не менее 6 символов; пароль не должен включать в себя легковычисляемые сочетания символов,  а также общепринятые сокращения; присмене пароля новое значение должно отличаться от предыдущего не менее чем в 6позициях;   ответственный не имеет права сообщать пароль постороннемулицу; полная смена паролей  должна производиться в случае прекращенияполномочий (увольнение, переход на другую работу, другие обстоятельства)ответственных за обработку и защиту персональных данных   и другихсотрудников, которым по роду работы были предоставлены полномочия по управлениюпарольной защитой ПК ДОУ); хранение   паролей на бумажном носителедопускается только в сейфе у руководителя учреждения);

— своевременно обнаруживать факты НСД к персональнымданным;

— обеспечивать  оптимальный уровень антивируснойзащиты ИСПДн;

— незамедлительно восстанавливать персональные данные,модифицированные или уничтоженные вследствие несанкционированного доступа кним;

— осуществлять постоянный контроль за обеспечениемуровня защищенности персональных данных;

— обеспечивать резервное копирование персональныхданных на отчуждаемые носители информации;

1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Ответственные ДОУ, виновные в нарушении норм,регулирующих получение, обработку и защиту персональных данных граждан, несутдисциплинарную административную, гражданско-правовую или уголовнуюответственность в соответствии с Федеральными законами РФ.