![МБДОУ "Детский сад №7 "Антошка"](/netcat_files/generated/catalogue/4/40x40/1/9a4a05ee513367f71bc5b4c397633696.png?crop=0%3A0%3A0%3A0&hash=1cf1ea6e91fa4ab9c0040f9d3d1e3198&resize_mode=0&wm_m=0 "МБДОУ "Детский сад №7 "Антошка""){kind=icon}
Политика конфиденциальности
1. Общие положения
Настоящее положение определяет порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работников, родителей (законных представителей) и детей в МБДОУ «Детский сад №7 «Антошка» (далее по тексту - МБДОУ) с целью защиты информации, относящейся к личности, в соответствии с Конституцией Российской Федерации, трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральными законами «О коммерческой тайне», «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Постановлениями Российской Федерации от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
При разработке Положения учтены требования и рекомендации, содержащиеся в нормативных и методических документах ФСТЭК, ФСБ и Министерства информационных технологий и связи Российской Федерации.
Настоящее Положение и изменения к нему утверждаются приказом заведующего МБДОУ.
2. Основные понятия
1. В настоящем Положении используются следующие основные понятия:
персональные данные – любая информация, относящаяся к определенному или определяемому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество (при наличии), дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, биометрические персональные данные, другая информация;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующий и/или осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных;
обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передач), обезличивание, блокирование, уничтожение персональных данных;
распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передача;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать и распространения без согласия субъекта персональных данных или наличия иного законного согласия;
трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2. Субъектами персональных данных в МБДОУ являются:
- работники, состоящие с МБДОУ в трудовых отношениях;
- Работающие в МБДОУ по совместительству;
- все категории воспитанников;
- родители (законные представители) воспитанников;
- прочие физические лица, состоящие с МБДОУ в договорных отношениях.
3. Основные права и обязанности МБДОУ
1. МБДОУ при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. а также от иных неправомерных действий. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена МБДОУ за счет его средств, в порядке, установленном законом «О персональных данных».
2. МБДОУ обязано в порядке, предусмотренном законом «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней со дня даты получения запроса.
3. МБДОУ обязано безвозмездно предоставить субъекту персональных данных или его законному представителю возможность внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные, если они являются неполными, устаревшими, недостоверными, незаконно полученными ли не являются необходимыми для заявленной цели обработки.
4. В случае выявления неправомерных действий с персональными данными МБДОУ в срок, не превышающий трех рабочих дней со дня даты такого выявления, обязан устранить допущенные нарушения.
5. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральными законами.
4. Основные права и обязанности субъектов персональных данных
1. Субъект персональных данных обязан:
- передавать МБДОУ или его законному представителю достоверные персональные данные. В случае предоставления работником МБДОУ при заключении трудового договора подложных документов, трудовой договор может быть расторгнут по инициативе работодателя на основании ст. 81 п. 11 Трудового Кодекса Российской Федерации;
- своевременно в срок, не превышающий 5 дней, сообщать МБДОУ об изменении своих персональных данных.
2. Субъект персональных данных имеет право:
- на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных МБДОУ, а также цели, способы и сроки такой обработки; сведения о лицах, которые имеют доступ к персональными данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных законодательством;
- требовать извещения учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях и дополнениях;
- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в суде любые неправомерные действия или бездействия МБДОУ при обработке и защите персональных данных.
3. Права субъекта персональных данных на доступ к своим персональным данным может быть ограничено только в случаях, предусмотренных законами.
5. Состав персональных данных
1. Под персональными данными работников понимается информация, необходимая МБДОУ в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.2. Состав обрабатываемых персональных данных работников МБДОУ:
- данные, указанные в личной карточке работника при приеме на работу по унифицированной форме №Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004г. №1;
- трудовая книжка;
- реквизиты лицевого счета в банковских учреждениях, необходимые для перечисления доходов, выплачиваемых МБДОУ (по согласию работника);
- другая информация в соответствии с законодательством Российской Федерации, нормативными документами органов исполнительной власти и локальными актами МБДОУ, необходимая для обеспечения трудовых отношений и учета качества труда.
3. Состав обрабатываемых персональных данных родителей (законных представителей), воспитанников:
- данные, указанные в документах при поступлении в МБДОУ (заявлении, договоре, анкетах и т.д.), а также другая необходимая информация в соответствии с законодательством Российской Федерации, Типовыми Правилами приема в образовательное учреждение, а также Правилами Приема в МБДОУ;
- реквизиты лицевого счета в банковских учреждениях, необходимые для перечисления части родительской платы, выплачиваемых МБДОУ.
6. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе следующих принципов:- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
3. Обработка персональных данных может осуществляться оператором с письменного согласия субъекта персональных данных, за исключением следующих случаев:
- обработка персональных данных осуществляется на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
4. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. письменное согласие субъекта персональных данных должно включать в себя:
- фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Формы соглашений об обработке персональных данных для всех субъектов персональных данных представлены в Положении 1 к настоящему Положению.
5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических и религиозных взглядов, философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения осуществляется соответствующими общественными объединениями, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- обработка персональных данных необходима в связи с осуществлением правосудия;
6. обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
7. Основные условия, цели и способы обработки персональных данных
1. МБДОУ определяет объем, содержание обрабатываемых персональных данных, руководствуясь законодательством Российской Федерации и нормативными документами в области обработки персональных данных.
2. Обработка персональных данных работников, родителей (законных представителей) осуществляется в целях обеспечения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работникам в исполнении должностных обязанностей, повышении квалификации и должностном росте, обеспечения социальными льготами в соответствии с законодательством и нормативными документами МБДОУ.
3. Обработка персональных данных воспитанник осуществляется в целях обеспечения Конституции Российской Федерации, Федеральных законов и иных нормативно правовых актов Российской Федерации, содействия в освоении образовательных программ, учета выполнения учебного плана и качества получения знаний, обеспечения личной безопасности в период обучения, обеспечения социальными льготами в соответствии с законодательством и нормативными документами МБДОУ.
4. МБДОУ не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях в частной жизни субъекта без его письменного согласия.
5. МБДОУ не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
6. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством и другими нормативными правовыми актами Российской Федерации.
7. МБДОУ использует следующие способы обработки персональных данных:
- в информационных системах персональных данных в электронном виде (в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012г. №1119);
- без использования средств автоматизации в бумажном виде (в соответствии с Постановлением Российской Федерации от 15.09.2008г. №687).
8. Сроки обработки персональных данных устанавливаются в соответствии с законодательством Российской Федерации, нормативными документами Федерального агентства по образованию и МБДОУ. По истечении установленных сроков персональные данные подлежат передаче в архив в порядке, установленном законодательством Российской Федерации.
9. Персональные данные субъектов, не относящихся к категориям, указанным в п.3.2,3.2 (например, посетителей учреждения), обрабатываются без использования средств автоматизации. Учет персональных данных, необходимых для пропуска субъекта персональных данных (посетителей) на территорию МБДОУ осуществляется с целью обеспечения режима безопасности и производится в специальных журналах учета на вахте здания МБДОУ. Форма журналов учета посетителей, состав персональных данных и порядок обработки определяется локальными нормативными актами МБДОУ и находятся под ответственностью должностного лица, курирующего вопросы обеспечения безопасности МБДОУ.
8. Сбор, хранение и обработка персональных данных
1. все персональные данные предоставляются субъектом персональных данных. Если персональные данные, возможно, получить только у третьей стороны, то МБДОУ обязано заранее уведомить об этом субъекта персональных данных и получить его письменное согласие.
2. При поступлении на работу работник заполняет личную карточку (форма Т-2), автобиографию и соглашение об обработке персональных данных. Личная карточка заполняется работником самостоятельно. При заполнении карточки работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
3. Автобиография – документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника. Автобиография составляется в произвольной форме, без помарок и исправлений.
4. Личная карточка и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника, обеспечивающие трудовые отношения в соответствии с договором (контрактом)
5. Личное дело работника оформляется после издания приказа о приеме на работу и ведется на протяжении всей трудовой деятельности работника. Все документы личного дела располагаются в хронологическом порядке и подшиваются в обложку образца, установленного в МБДОУ. На ней указываются фамилия, имя, отчество (при наличии) работника, номер личного дела. личные дела работников МБДОУ хранятся в отделе кадров МБДОУ, а после увольнения передаются в установленном порядке в архив.
6. Трудовые книжки работников хранятся в сейфе отдела кадров и ведутся в соответствии с «Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения им работодателей», утвержденными Постановлением Правительства Российской Федерации от 16.04.2003г. №225 (с последующими изменениями).
7. При подаче документов в детский сад родители (законные представители) заполняют заявление, родительский договор, соглашение об обработке персональных данных, а также предоставляют необходимые документы, в соответствии с Правилами приема в МБДОУ. Все документы хранятся в личном деле воспитанника в кабинете заведующего. Личные дела воспитанников хранятся в МБДОУ на все время пребывания в детском саду и сдаются в архив в установленном порядке.
8. В процессе хранения персональных данных должен обеспечиваться контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
9. МБДОУ при обработке персональных данных на бумажных носителях м в информационных системах обязано принимать необходимые организационные и технические меры, в том числе при необходимости использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с законодательством Российской Федерации, требованиями нормативных документов, устанавливающих правила хранения конфиденциальных сведений и Настоящим Положением.
10. В целях обеспечения конфиденциальности персональных данных все операции по их обработке должны выполняться только сотрудниками осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях, локальных актах. Разграничение прав доступа сотрудников утверждается приказом заведующего.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачу их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средств автоматизированной обработки персональных данных, в результате которого может быть нарушено функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Все информационные системы МБДОУ, используемые для обработки персональных данных, должны удовлетворять требованиям законодательства Российской Федерации и нормативных документов ФСТЭК и ФСБ по защите конфиденциальной информации.
9. Передача персональных данных
При передаче персональных данных другим юридическим и физическим лицам МБДОУ должно соблюдать следующие требования:
1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Федеральными законами. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке МБДОУ и в том объеме, который позволяет не разглашать излишний объем персональных данных. Передача информации, содержащей сведения о персональных данных, по телефону, факсу, электронной почте без письменного согласия субъекта персональных данных запрещается.
2. не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных.3. Предупреждать лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4. Лица, получающие доступ к персональным данным, обязаны соблюдать режим конфиденциальности. С ними МБДОУ заключает соглашение о неразглашении конфиденциальной информации (персональных данных).5. С такими лицами трудовой договор может быть расторгнуть по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей – разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника на основании си. 81 п.6 пп. в Трудового Кодекса Российской Федерации.
6. Передавать персональные данные представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и законом «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения представителями их функций.
7. Не размещать персональные данные, обрабатываемые в МБДОУ, на сайте учреждения и в информационно-телекоммуникационной сети «Интернет» без письменного согласия субъекта персональных данных.
8. При передаче в электронном виде персональных данных, касающихся выплат доходов субъектам, в банковские учреждения и Федеральное казначейство необходимо использовать для защиты электронную цифровую подпись (ЭЦП) в соответствии с законодательством Российской Федерации. Лица, ответственные за организацию электронного документооборота, должны быть утверждены приказом заведующего. Организация электронного документооборота с указанными учреждениями должна быть оформлена договором в соответствии с законодательством Российской Федерации.
10. Ответственность за нарушение норм по обработке персональных данных
Лица, виновные в нарушении требований законодательства в области обработки персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации ответственность.