Положение о порядке хранения и защиты персональных данных пользователей

Рассмотрено на заседании                                Утверждено приказом

Общего собрания учреждения.                        по структурному подразделению

 Протокол от 01.06.2012 г.№  5                      «Детский сад № 8 комбинированного вида»

                                                                                           От 4 июня 2012  № 21

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ

I. Общие положения

1.1. Целью настоящего Положения является закрепление механизмов обеспечения прав

субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся (воспитанников), их родителей (законных представителей) в соответствии с законодательством Российской Федерации.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными нормативно-правовыми актами, действующими на территории Российской Федерации.

II. Основные понятия

2.1. В настоящем Положении используются следующие понятия:

2.1.1. Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В рамках настоящего положения оператором является – по структурное  подразделение «Детский сад №   8 комбинированного вида  » МБДОУ « Детский сад«Радуга» комбинированного вида» Рузаевского муниципального района

2.1.2. Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.1.3. Субъект – субъект персональных данных.

2.1.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

2.1.5. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам), обезличивание, блокирование, уничтожение персональных данных.

2.1.6. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.1.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.1.8. Блокирование персональных данных - временное прекращение сбора, систематизации,

накопления, использования, распространения персональных данных, в том числе их передачи.

2.1.9. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.2. К персональным данным относятся:

2.2.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

2.2.2. Информация, содержащаяся в трудовой книжке работника.

2.2.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

2.2.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

2.2.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

2.2.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.

2.2.7. Сведения о семейном положении работника.

2.2.8. Информация медицинского характера в случаях, предусмотренных законодательством.

2.2.9. Сведения о заработной плате работника, родителей обучающихся (воспитанников).

2.2.10. Сведения о социальных льготах.

2.2.11. Сведения о наличии судимостей.

2.2.12. Место работы или учёбы членов семьи.

2.2.13. Содержание трудового договора.

2.2.14. Подлинники и копии приказов, содержащих информацию о субъекте персональных данных.

2.2.15. Основания к приказам, содержащим информацию о субъекте персональных данных.

2.2.16. Документы, содержащие информацию о повышении квалификации и переподготовке сотрудника, его аттестации, служебных расследованиях.

2.2.17. Сведения о награждении государственными наградами федерального и республиканского уровней, присвоении почетных, воинских и специальных званий.

III. Обработка персональных данных

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных Оператор обязан соблюдать следующие требования:

3.1. Общие требования при обработке персональных данных.

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации и Республики Хакасия, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4. Работники образовательного учреждения, родители обучающихся (законные представители), обучающиеся в возрасте с 14 лет должны предоставить письменное заявление-согласие на обработку персональных данных.

3.1.5. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2. Получение персональных данных.

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и даёт письменное согласие на их обработку оператором.

            3.2.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его родителей (законных представителей).

Родители (законные представители) самостоятельно принимают решение о предоставлении персональных данных своего подопечного и дают письменное согласие на их обработку оператором.

3.2.3. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случаях, указанных в пункте 3.2.2. настоящего положения согласие может быть отозвано родителями (законными представителями) субъекта персональных данных.  

3.2.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора.

3.2.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8. В случаях, непосредственно связанных с вопросами трудовых отношений, оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.3. Хранение персональных данных.

3.3.1. Хранение персональных данных субъектов осуществляется кадровой службой, секретариатом учебной части, психологической и социальной службой на бумажных и электронных носителях с ограниченным доступом.

3.3.2. Личные дела хранятся в бумажном виде в папках. Личные дела хранятся в специально отведенной секции шкафа в кабинете делопроизводителя, обеспечивающего защиту от несанкционированного доступа.

3.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённому Постановлением Правительства РФ 15 сентября 2008 г. № 687.

3.3.4. Хранение персональных данных в автоматизированной базе данных обеспечивается защитой от несанкционированного доступа согласно «Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённому Постановлением Правительства РФ 17 ноября 2007 г. № 781.

3.4. Передача персональных данных.

3.4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

- не сообщать персональные данные субъекта в коммерческих целях без его письменного

согласия;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

- все сведения о передаче персональных данных субъекта регистрируются в Журнале учёта передачи персональных данных в целях контроля правомерности использования данной информации лицами, её получившими; в журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:

- директор МБДОУ «Детский сад «Радуга» комбинированного вида» Рузаевского муниципального района;

- заместители директора (доступ к персональным данным субъектов в области их функциональных обязанностей);

-заведующая структурным подразделением

- воспитатели групп (доступ к персональным данным обучающихся и его родителей или законных представителей своей группы);

- учитель-логопед (доступ к персональным данным обучающихся и его родителей или законных представителей своей группы);

- педагог-психолог;

- медицинская сестра;

- сам субъект, носитель данных.

3.4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.

Форма соглашения о неразглашении персональных данных представлена в приложении 5 настоящего Положения.

3.4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных.

3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты

необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

IV. Права и обязанности субъектов персональных данных и оператора

4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

- при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них;

- обжаловать в суде любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2. Для защиты персональных данных субъектов оператор обязан:

- за свой счёт обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

- ознакомить субъекта персональных данных  с настоящим Положением и его правами в области защиты персональных данных под расписку;

- по запросу ознакомить субъекта персональных данных, не являющегося работником, или

в случае недееспособности либо несовершеннолетия субъекта, его родителей (законных представителей) с настоящим положением и его правами в области защиты персональных данных;

- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные субъекта только уполномоченным лицам и только в

той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим  положением и законодательством Российской Федерации;

- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

V. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несёт персональную ответственность за данное разрешение.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.