Положение по защите персональных данных в образовательном учреждении
Государственное образовательное учреждение
среднего профессионального образования
«.........................................................................................»
Утверждаю:
Директор ГОУ СПО БПК
________________________
«_____»____________2011г
П О Л О Ж Е Н И Е
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2011г
Общие положения
Настоящее положение имеет своей целью закрепление механизмов обеспечения прав и свобод человека и гражданина при обработке его персональных данных (ПДн), в Государственном образовательном учреждении среднего профессионального образования «Белорецкий педагогический колледж» (ГОУ СПО БПК). В том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа, неправомерного их использования или утраты всех ПДн сотрудников, обучающихся и их родителей (законных представителей), а также их согласия на обработку ПДн.
Оператор
персональных данных. Согласно
Закону №152-ФЗ операторами персональных
данных являются государственный орган,
муниципальный орган, юридическое или
физическое лицо, организующие и (или)
осуществляющие обработку персональных
данных, а также определяющие цели и
содержание обработки персональных
данных.
Положение о работе с персональными данными работников Государственного образовательного учреждения среднего профессионального образования «Белорецкий педагогический колледж» разработано в соответствии с Конституцией РФ (ст. 2, ст 8 п1, ст 23 п1,2, ст 24 п1,2, ст 29 п4); Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персонального характера от 28.01.1981г. EST № 108, ФЗ № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации». Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ (Гл. 14. Защита персональных данных работника). Приказом ФСТЭК от 5 февраля 2010 г. № 58, Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ Ст 137. п.1,2 «Нарушение неприкосновенности частной жизни», ст 140 «Отказ в предоставлении гражданину информации», ст 272. п.1,2 «Неправомерный доступ к компьютерной информации». Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Утв. Постановлением Правительства РФ от 15.09.2008 г. № 687). Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Утв. Постановлением Правительства РФ от 17.11.2007 г. № 781). Федеральный закон от 27.05.2003 № 58-ФЗ «О системе государственной службы Российской Федерации» (Гл. 2. Общие условия государственной службы. Ст. 14. Стаж (общая продолжительность) государственной службы. Персональные данные государственных служащих). Нормативными и распорядительными документами Минобрнауки РФ и РБ, а также другими нормативными правовыми актами, действующими на территории РФ.
Персональные данные (ПДн) относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
Комплекс мер по организации защиты ПДн, применения технических средство защиты конфиденциальной информации, методическое руководство и контроль соблюдения мер информационной безопасности при создании и эксплуатации в колледже информационных систем персональных данных (ИСПДн) выполняет физическое лицо, имеющее сертификат ФСТЭК или юридическое лицо с соответствующей лицензией на право деятельности такого рода. Назначается приказом директора.
Настоящее положение утверждается и вводится в действие приказом директора, является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников и студентов.
В соответствии со ст 23 ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных» Уполномоченным органом по защите прав субъектов Российской Федерации является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор), утверждено постановлением Правительства Российской Федерации 16 марта 2009 года, № 228. Официальный сайт Уполномоченного органа по защите прав субъектов персональных данных http://pd.rsoc.ru/
Понятие и состав персональных данных (ПДн)
Под персональными данными (ПДн) и их составом здесь понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая законодательными и нормативными правовыми актами Российской Федерации, нормативными и распорядительными документами Минобрнауки РФ, РБ, перечнем ПДн, обрабатываемых в учреждении, с указанием целей, оснований, способов и сроков их обработки и локальными актами.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории ПДн
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Категории персональных данных, обрабатываемых в ИСПДн
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория
1 – персональные данные, касающиеся
расовой, национальной принадлежности,
политических взглядов, религиозных и
философских убеждений, состояния
здоровья, интимной жизни.
Категория
2 – персональные данные, позволяющие
идентифицировать субъекта ПДн и получить
о нем дополнительную информацию, за
исключением персональных данных,
относящихся к категории 1.
Категория
3 – персональные данные, позволяющие
идентифицировать субъекта ПДн.
Категория
4 – обезличенные и (или) общедоступные
персональные данные.
В состав персональных данных сотрудников, обучающихся и их родителей (законных представителей) входят:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность,
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
-копии отчетов, направляемые в органы статистики;
– ИНН;
– копия страхового свидетельства государственного пенсионного страхования;
– копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
– копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
– анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
– документы о возрасте малолетних детей и месте их обучения;
– документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);
– документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);
– иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
– трудовой договор;
– копии приказов о приеме, переводах, увольнении, премировании, поощрениях и взысканиях;
– личная карточка по форме Т-2;
– заявления, объяснительные и служебные записки работника;
– документы о прохождении работником аттестации, повышения квалификации;
Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
3. Порядок получения и обработки персональных данных работников и обучающихся.
Получение ПДн осуществляется для достижения и осуществления определенных Уставом ГОУ СПО БПК, Положением об образовательном учреждении, законом «Об образовании» РФ и РБ , ст 24 Конституции РФ целей и видов деятельности в соответствии с регулирующими отношения, связанные с обработкой персональных данных, законодательными и нормативными правовыми актами Российской Федерации, нормативными и распорядительными актами Минобрнауки России, настоящим Положением и локальными актами ГОУ СПО БПК на основе согласия субъектов на обработку их ПДн.
Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.
Обработка персональных данных работника и обучающегося может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Персональные данные следует получать у самого субъекта. Если персональные данные работника, обучающегося возможно получить только у третьей стороны, то они должены быть уведомлены об этом заранее и должно быть получено письменное согласие. Оператор ПДн должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Оператор ПДн не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия. Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях, его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
Согласие субъекта ПДн не требуется в следующих случаях:
обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
-все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4. Хранение и доступ к персональным данным.
Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
Внутренний доступ (доступ внутри организации, учреждения) могут иметь сотрудники, перечень которых определяется утверждается руководителем учреждения и должностным лицом, отвечающем за безопасность ПДн, это могут быть сотрудники:
-бухгалтерии;
-учебной части;
- отдела кадров (службы управления персоналом);
- компьютерных отделов;
-руководитель учреждения;
-должностные лица, отвечающие за осуществление комплекса мер по защите персональных данных в учреждении;
-медицинский работник;
-приемной комиссии;
-аттестационного подразделения;
-социально-психологической службы учреждения;
-классные руководители обучающихся;
-другие сотрудники организации при выполнении ими своих служебных обязанностей;
-сам субъект персональных данных.
Внешний доступ к персональным данным могут иметь государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
-пенсионные фонды;
-подразделения муниципальных органов управления;
Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
Определить помещения и рабочие места сотрудников, на которых будет производиться хранение и обработка персональных данных.
Определить необходимый объем данных, форму и места хранения информации: в электронном виде на персональном компьютере, бумаге, другом материальном носителе. Составляется перечень материальных носителей, порядок инвентаризации, хранения, уничтожения.
Сотрудник, отвечающий за безопасность персональных данных определяет свою частную модель угроз (хакеры, вирусы, выход из строя аппаратной или программной части компьютера и др.), разрабатывает частную методику по минимизации и исключения этих угроз, выполняет необходимый и достаточный комплекс мероприятий. Выполняет защиту персональных данных субъекта персональных данных на электронных носителях
При использование автоматизированных информационных систем обработки персональных данных (ИСПДн), программное обеспечение вычислительных систем должно иметь сертификат ФСТЭК. Не рекомендуется подключать компьютеры, на которых производится хранение или обработка данных к общедоступных локальным сетям, Интернету без сертифицированных систем защиты (файервол, firewall, антивирусные программы)
Исключить возможность доступа посторонних лиц к рабочим местам сотрудников, местам хранения данных с целью несанкционированного получения сведений, копирования, кражи, умышленной порчи или уничтожения носителей и сведений.
Обязанности и ответственность при обработке персональных данных
Все лица, связанные с получением, обработкой и защитой ПДн, обязаны подписать обязательство о неразглашении ПДн работников. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн работника, обучающегося несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
На странице приведен фрагмент.
Автор: Кульбаев Валерий Рамазанович
→ RAM 13.10.2011 0 11687 2071 |
Спасибо за Вашу оценку. Если хотите, чтобы Ваше имя
стало известно автору, войдите на сайт как пользователь
и нажмите Спасибо еще раз. Ваше имя появится на этой стрнице.