Приказ №183 от 24 сентября 2010 года положение об обработке и защите персональных данных государственного областного образовательног - korshu.ru o_O
Главная
Поиск по ключевым словам:
страница 1страница 2
Похожие работы
Название работы Кол-во страниц Размер
Рекомендации по подготовке документов, регламентирующих обработку... 2 408.36kb.
Положение о правилах работы учителей и школьников в сети Интернет... 1 102.82kb.
Д. Упрямово Юхновского района Калужской области 1 319.38kb.
Постановление От 13 июня 2003 года 1 n 118 ( с изменениями на 3 сентября... 3 753.55kb.
Мотивационное письмо государственного бюджетного образовательного... 1 214.66kb.
Методические рекомендации по разработке заданий для школьного и муниципального... 1 388.45kb.
Программа развития Государственного образовательного учреждения дополнительного... 1 463.92kb.
Государственная услуга принятие решения о зачислении 1 38.56kb.
Положение об Интернет сайте гоу яо пошехонской школы интерната 1 57.16kb.
I. Антимонопольный контроль Практика выявления и пресечения нарушений... 3 879.25kb.
Вшэ-гу 2010 Борис Григорьевич Миркин Профессор Кафедра анализа данных... 2 737.51kb.
Цель беседы: выяснить, что же такое мечтательность, хорошее ли это... 1 10.61kb.
Инструкция по работе с сервисом «sms-платеж» 1 218.94kb.

Приказ №183 от 24 сентября 2010 года положение об обработке и защите персональных - страница №1/2


СОГЛАСОВАНО




УТВЕРЖДАЮ

Совет ГООУ НПО «МИЛ»




Директор

ГООУ НПО «МИЛ»



Председатель Совета






О.В. Овечкин

Г.С. Шатило

Протокол № 2

от 24 сентября 2010 года






Приказ № 183

от 24 сентября 2010 года




ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


ГОСУДАРСТВЕННОГО ОБЛАСТНОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

НАЧАЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«МУРМАНСКИЙ ИНДУСТРИАЛЬНЫЙ ЛИЦЕЙ»

  1. Общие положения

Настоящее положение определяет порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц, необходимых для осуществления деятельности в соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных», нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора.

Целями и задачами лицея в области защиты информации является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, учащихся и выпускников, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.

Оператором персональных данных является ГООУ НПО «Мурманский индустриальный лицей».

Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, Положением об обработке и защите персональных данных и приказами лицея.

Под обработкой персональных данных понимают действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

Под информационной системой персональных данных (ИСПДн) понимают информационную систему, представляющую собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

Под конфиденциальностью персональных данных понимается обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

Под защитой персональных данных понимается сохранение конфиденциальности персональных данных.

Под общедоступными персональными данными понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператором персональных данных обрабатывается следующая информация:



  1. Персональные данные сотрудников лицея (Приложение № 1 к Положению).

  2. Персональные данные учащихся лицея (Приложение № 2 к Положению).

Персональные данные обрабатываются в ИСПДн и без использования средств информатизации, при этом выделяют ИСПДн и группы персональных данных, указанные в приложениях № 1 и № 2.

  1. Порядок получения и обработки персональных данных

Получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, Министерства образования и науки Мурманской области, настоящим Положением и другими локальными актами лицея на основе письменного согласия субъектов на обработку их персональных данных.

Оператор не вправе требовать от субъекта персональных данных предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни.

Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров, и в иных случаях, предусмотренных законодательством Российской Федерации.

Обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных данных, а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации.

Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

В случае увольнения, отчисления субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

Правила обработки и использования персональных данных устанавливаются отдельными регламентами и инструкциями Оператора.

Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется работникам структурных подразделений и (или) должностным лицам, определенным Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями Оператора.

Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.


  1. Права, обязанности и ответственность субъекта персональных данных
    и Оператора при обработке персональных данных

В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152 ФЗ «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

- на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;

- требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных;

- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.



Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

Оператор, а также должностные лица, виновные в нарушении требований Федерального закона «О защите персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается в приказе об утверждении Положения и иных приказах на руководителей структурных подразделений и конкретных должностных лиц Оператора, обрабатывающих персональные данные.

Приложение № 1
Перечень персональных данных сотрудников,
обрабатываемых в ИСПДн ГООУ НПО «Мурманский индустриальный лицей»



  1. Система ведения общей бухгалтерии: ФИО, пол, паспортные данные, № ИНН, дата и место рождения, домашний адрес и телефон (место регистрации), семейное положение, образование, профессия (должность), сведения о доходах, № страхового пенсионного свидетельства.

  2. Система расчета зарплаты сотрудников: ФИО, пол, паспортные данные, № ИНН, дата и место рождения, домашний адрес и телефон (место регистрации), семейное положение, образование, профессия (должность), сведения о доходах, № лицевого счета, № страхового пенсионного свидетельства.

  3. Пенсионный фонд отдела кадров: ФИО, пол, паспортные данные, дата и место рождения, место регистрации и место проживания, гражданство.

  4. Пенсионный фонд сотрудников: ФИО, пол, паспортные данные, № ИНН, дата и место рождения, домашний адрес и телефон (место регистрации), профессия (должность), сведения о доходах, № страхового пенсионного свидетельства.

  5. Сотрудники предприятия: ФИО, пол, дата и место рождения, адрес проживания и прописки, контактные телефоны, гражданство, семейное положение, состав семьи, образование (повышение квалификации), паспортные данные, № ИНН, № страхового пенсионного свидетельства, даты прохождения медицинских осмотров, информация о воинской обязанности, заработная плата (оклад и надбавки), сведения о трудовой деятельности, сведения о поощрениях, наказаниях, награждениях.

Перечень персональных данных сотрудников,
обрабатываемых без использования средств автоматизации по группам
ГООУ НПО «Мурманский индустриальный лицей»

Отдел кадров: ФИО, дата и место рождения, адрес проживания и прописки, контактные телефоны, гражданство, пол, семейное положение, состав семьи, образование (повышение квалификации), паспортные данные, № ИНН, № страхового пенсионного свидетельства, информация о состоянии здоровья, информация о воинской обязанности, заработная плата (оклад и надбавки), сведения о трудовой деятельности, сведения о поощрениях, наказаниях, награждениях.


Приложение № 2
Перечень персональных данных учащихся,
обрабатываемых в ИСПДн ГООУ НПО «Мурманский индустриальный лицей»


  1. Система расчета и начисления стипендии: ФИО, № лицевого счета, сведения о доходах.

  2. Пенсионный фонд учащихся: ФИО, пол, паспортные данные, дата и место рождения, место регистрации и место проживания, гражданство.

Перечень персональных данных учащихся,
обрабатываемых без использования средств автоматизации по группам
ГООУ НПО «Мурманский индустриальный лицей»


  1. Отдел кадров (при оформлении виз): ФИО; дата и место рождения; место жительства (регистрации); гражданство; паспортные данные; наличие загранпаспорта; сведения об оформлении допуска к сведениям особой важности или совершенно секретным сведениям, отнесенным к государственной тайне; сведения о договорных, контрактных обязательствах, препятствующих выезду за границу; сведения об осуждении за совершение преступления либо о привлечении в качестве обвиняемого; сведения об исполнении обязательств, наложенных судом; сведения о трудовой деятельности (учебе) за последние 10 лет.



  1. Учебная работа:



    1. Учебный отдел: ФИО, пол, дата и место рождения, адрес регистрации по месту жительства, адрес фактического проживания, гражданство, паспортные данные, семейное положение, контактные телефоны, уровень образования, ФИО и место работы родителей и опекунов, годность к военной службе, наименование ВК к которому относится, прохождение военной службы (когда и кем служил), социальный статус обучающихся (сироты, опекаемые, полное/неполное гособеспечение), сведения о прохождении медицинской комиссия, инвалидность, сведения о дальнейшем трудоустройстве, успеваемость, № страхового пенсионного свидетельства, профессия.

    2. Приемная комиссия: ФИО, дата рождения, паспортные данные, адрес регистрации по месту жительства, сведения об образовании, состав семьи.

    3. Классный воспитатель: ФИО, пол, дата рождения, адрес регистрации по месту жительства, адрес фактического проживания, паспортные данные, сведения о родителях, состав семьи, контактные телефоны, социальный статус обучающихся (неполные семьи, сироты, опекаемые, полное/неполное гособеспечение), жилищные условия, нахождение в группе риска.

    4. Преподаватель, мастер ПО: ФИО, дата рождения, домашний адрес, успеваемость.



  1. Воспитательная работа: ФИО, дата и место рождения, место проживания и регистрации, паспортные данные, контактные телефоны, информация о состоянии здоровья (мед. Карты, мед. справки), данные о родителях (ФИО, дата и место рождения, образование, место работы и должность, контактные телефоны, сведения об установлении родительских прав, свидетельства о смерти), образование, социальный статус (сирота, опекаемый, малоимущий, одинокие родители), сведения о документах, предоставляющих льготы (решения, постановления, распоряжения суда; льготные удостоверения, удостоверения опекунов), характеристики и ходатайства на обучающихся, личностные и индивидуально-психологические данные (результаты опросов и тестов), имущественное положение (в том числе данные о государственной регистрации права собственности, данные о праве на наследство), совокупный доход семьи обучающегося, расчетный счет банковской карты, сберкнижки, страховой медицинский полис, пенсионное удостоверения, ИНН.

Перечень сотрудников,
ответственных за защиту информационных систем
и групп обрабатываемых в учреждении персональных данных


  1. За проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - Начальник отдела ИОП.

  2. За проведение организационных мероприятий по защите персональных данных –



  1. За выполнение требований по защите персональных данных при их обработке в ИСПДН:

- Система ведения общей бухгалтерии:

- Система расчета зарплаты сотрудников, Пенсионный фонд сотрудников:

- Сотрудники предприятия, Пенсионный фонд отдела кадров:

- Система расчета и начисления стипендии:

- Пенсионный фонд учащихся:


  1. За защиту персональных данных при их обработке без использования средств информатизации:

- Отдел кадров сотрудники:

- Отдел кадров учащиеся:

- Учебный отдел:

- Приемная комиссия:



- Воспитательная работа:

Перечень сотрудников,

допускаемых к обработке персональных данных (определяется приказом директора)



п/п

ИСПД, группы обрабатываемых персональных данных

Должность

Фамилия, имя, отчество




ИСПДн Система ведения общей бухгалтерии






















ИСПДн Система расчета зарплаты сотрудников






















ИСПДн Пенсионный фонд сотрудников






















ИСПДн Пенсионный фонд отдела кадров






















ИСПДн Сотрудники предприятия






















ИСПДн Система расчета и начисления стипендии






















ИСПДн Пенсионный фонд учащихся






















Группа Отдел кадров (сотрудники)






















Группа Отдел кадров (оформление виз)






















Группа Учебный отдел






















Группа Приемная комиссия






















Группа Классный воспитатель






















Группа преподаватель, мастер ПО






















Группа Воспитательная работа







ГОСУДАРСТВЕННОЕ ОБЛАСТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
НАЧАЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«МУРМАНСКИЙ ИНДУСТРИАЛЬНЫЙ ЛИЦЕЙ»

ПРИКАЗ


«__»_________2010 г. № _____
Мурманск

О возложении персональной ответственности за защиту персональных данных

Во исполнение письма Федерального агентства по образованию от 22.10.2019г. № 17-187 и Федерального закона РФ от 26.07.2006г. № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:



  1. Возложить ответственность за организацию технической защиты информационных систем обработки персональных данных на начальника отдела информатизации образовательного процесса____________________________;

  2. Ответственность за защиту персональных данных возложить на сотрудников, осуществляющих их обработку (Приложение);

  3. Допуск сотрудников к обработке персональных данных осуществлять только по приказу директора лицея

Директор ГООУ НПО «МИЛ» Г.С. Шатило

ГОСУДАРСТВЕННОЕ ОБЛАСТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ


НАЧАЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
МУРМАНСКИЙ ИНДУСТРИАЛЬНЫЙ ЛИЦЕЙ

ПРИКАЗ


«__»_________2010г. № _____
Мурманск

О допуске сотрудников к обработке персональных данных

Во исполнение письма Федерального агентства по образованию от 22.10.2019г. № 17-187 и Федерального закона РФ от 26.07.2006г. № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:



  1. Допустить нижеперечисленных сотрудников лицея к обработке персональных данных:




пп

ИСПД, группы обрабатываемых персональных данных

Должность

Фамилия, имя, отчество

















































Директор ГООУ НПО «МИЛ» Г.С. Шатило

НЕ ОТПРАВЛЯЛОСЬ

Приложение № 1
к приказу Россвязькомнадзора

Руководителю Управления Федеральной службы


по надзору в сфере связи и массовых коммуникаций
по Мурманской области
Уведомление
об обработке персональных данных

ГОСУДАРСТВЕННОЕ ОБЛАСТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ начального профессионального образования «Мурманский индустриальный лицей» (ГООУ НПО «МИЛ»),
ИНН , ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС,
юридический и фактический адрес: 183001, г. Мурманск, ул. Фестивальная, д. 24
руководствуясь Уставом, Федеральным законом РФ от 26.07.2006г. № 152-ФЗ «О персональных данных», ТКРФ …
с целью осуществления своей деятельности осуществляет обработку следующих категорий персональных данных:
персональные данные сотрудников:
персональные данные учащихся:
Обработка вышеуказанных персональных данных будет осуществляться как с использованием средств информатизации, так и без использования оных (смешанная обработка). Полученная в ходе обработки информация доступна лишь для строго определенных сотрудников.
При обработке персональных данных используются следующие меры безопасности:

  1. ограничение круга лиц, имеющих доступ к персональным данным,

  2. обработка данных осуществляется согласно положения об обработке и защите персональных данных,

  3. использование сертифицированных средств защиты информации,

  4. использование криптографических средств

Срок или условие прекращения обработки персональных данных – ликвидация лицея, заявление субъекта персональных данных.


Дата начала обработки персональных данных -
Директор ГООУ НПО «МИЛ» Г.С. Шатило

ОТПРАВЛЕНО

Руководителю Управления Федеральной службы
по надзору в сфере связи, информационных технологий
и массовых коммуникаций
по _____________________________________________

УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных


Наименование (фамилия, имя, отчество) оператора: Государственное областное образовательное учреждение начального профессионального образования «Мурманский индустриальный лицей » (ГООУ НПО «МИЛ»),

Адрес оператора

Адрес местонахождения: 183001 г. Мурманск, ул. Фестивальная, дом 24
Почтовый адрес: 183001 г. Мурманск, ул. Фестивальная, дом 24

Регионы: Мурманская область;

ИНН: 5193800024

Коды: ОГРН 1025100853898; ОКВЭД 80.22.1; ОКПО 05128466; ОKФС 12;

Правовое основание обработки персональных данных

руководствуясь Федеральный закон № 152-ФЗ от 27 июля 2006 г., Трудовой кодекс РФ, Устав ГООУ НПО «Мурманский индустриальный лицей»

Цель обработки персональных данных

с целью Осуществление функций лицея

Категории персональных данных

осуществляет обработку следующих категорий персональных данных:
фамилия, имя, отчество; доходы; профессия; образование; имущественное положение; социальное положение; семейное положение; адрес; место рождения; дата рождения; месяц рождения; год рождения;
а также:
пол, паспортные данные, № ИНН, № страхового пенсионного свидетельства, гражданство, информация о воинской обязанности, сведения о трудовой деятельности, сведения о поощрениях, наказаниях, награждениях

Категории субъектов, персональные данные которых обрабатываются

принадлежащих: Сотрудники лицея, обучающиеся лицея

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

обработка вышеуказанных персональных данных будет осуществляться путем: смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет; Сбор, хранение, уточнение, использование, передача, уничтожение.
осуществление трансграничной передачи персональных данных: не осуществляется

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

1. ограничение круга лиц, имеющих доступ к персональным данным, 2. обработка данных осуществляется согласно положения об обработке и защите персональных данных, 3. использование сертифицированных средств защиты информации



средства обеспечения безопасности: Windows XP prof, Windows 2010 server, MS oficce 2007-2010, антивирус Касперского, Eset Nod32

использование шифровальных (криптографических) средств: не используется

класс информационной системы: к3;

Дата начала обработки персональных данных: 18.06.2010

Срок или условие прекращения обработки персональных данных: Ликвидация лицея

 

 



(должность)

(подпись)

(расшифровка подписи)

 

"___" ____________ 201__ г.

Исполнитель:
Контактная информация исполнителя:

Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных

Должностные инструкции сотрудников лицея, дополненные положениями о необходимости соблюдения утвержденного Положения об обработке и защите персональных данных и Инструкции о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные


Журнал обращений по ознакомлению с персональными данными

Журнал рекомендуется вести в каждом структурном подразделении в произвольной форме. В журнале необходимо фиксировать все обращения субъектов персональных данных (дата, ФИО, адрес) по ознакомлению с их персональными данными, дату направления запрашиваемых данных почтовой связью или предоставления лично заявителю. В случае отзыва данных субъектом персональных данных или выявления их несоответствия, в журнале должны быть сделаны соответствующие записи. По каждому обращению необходимо указывать, когда и каким образом на него было отреагировано. Хранение журналов должно исключать несанкционированный доступ к ним.



Инструкция
о порядке обеспечения конфиденциальности при обращении с информацией,
содержащей персональные данные



  1. Общие положения

Настоящая инструкция содержит обязательные для всех структурных подразделений лицея требования по обеспечению конфиденциальности документов, содержащих персональные данные.


Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Обеспечение конфиденциальности информации не требуется в случае обезличивания персональных данных (замены фамилии, имени и отчества условным кодификатором) или в отношении общедоступных персональных данных. В общедоступные источники персональных данных (в том числе справочники, адресные книги) в целях информационного обеспечения с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Конфиденциальность персональных данных предусматривает обязательное согласие субъекта персональных данных или наличие иного законного основания на их обработку. Согласие субъекта персональных данных не требуется на обработку данных:

  • в целях исполнения обращения, запроса субъекта персональных данных, трудового или иного договора с ним;

  • адресных данных, необходимых для доставки почтовых отправлений организациями почтовой связи;

  • данных, включающих в себя только фамилии, имена и отчества;

  • в целях однократного пропуска на территорию, или в иных аналогичных целях.

  • в иных предусмотренных законом случаях

В структурных подразделениях лицея формируются и ведутся перечни конфиденциальных данных с указанием регламентирующих документов, мест хранения и ответственных за хранение и обработку данных по прилагаемой форме. Осуществлять обработку и хранение конфиденциальных данных, не внесенных в перечень, запрещается.


Основные требования и мероприятия по обеспечению безопасности при обработке и хранении персональных данных установлены постановлениями Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
При осуществлении обработки персональных данных с использованием средств автоматизации для каждой информационной системы персональных данных должен быть назначен администратор. Инструкции для этого должностного лица составляются отдельно. Для технического обслуживания оборудования должен быть предусмотрен соответствующий обслуживающий персонал.
Общие правила хранения и передачи персональных данных

  1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении. Все сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.

  2. Сотрудникам, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа в соответствии с резолюцией, файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.

  3. Передача персональных данных допускается только в случаях, установленных Федеральными законами Российской Федерации «О персональных данных», «О порядке рассмотрения обращений граждан Российской Федерации», действующими инструкциями по работе со служебными документами и обращениями граждан, а также по письменному поручению (резолюции) вышестоящих должностных лиц.

  4. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.



Ответственность за защиту обрабатываемых персональных данных

Сотрудники подразделений лицея, осуществляющие обработку или хранение конфиденциальных данных в учреждении, несут ответственность за обеспечение их информационной безопасности. Лица, виновные в нарушении норм, регулирующих обработку и хранение конфиденциальных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством и ведомственными нормативными актами.


Порядок ознакомления с инструкцией

Сотрудники подразделений лицея и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с персональными данными, должны быть в обязательном порядке ознакомлены под расписку с настоящей Инструкцией.



2. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемой без использования средств автоматизации

Условия хранения персональных данных

  1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных.

  2. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

  3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

  4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающее одновременное копирование иных персональных данных, не подлежащих распространению и использованию.

Использование типовых форм документов и журналов учета

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.


При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Оператор).


Порядок уничтожения или обезличивания персональных данных
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными).

3. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемой с использованием средств автоматизации



Правила доступа, хранения и пересылки персональных данных

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

Допуск лиц к обработке персональных данных в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.

Размещение информационных систем, специальное оборудование и организация работы с персональными данными должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

Компьютеры и(или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, состоящими из 6 и более символов. Работа на компьютерах с персональными данными без паролей доступа, или под чужими или общими (одинаковыми) паролями, запрещается.

Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.



Общие требования по защите персональных данных в автоматизированных системах
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

При обработке персональных данных в информационной системе пользователями должно быть обеспечено:

а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;

б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.


При обработке персональных данных в информационной системе разработчиками и администраторами систем должны обеспечиваться:

а) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

б) учет лиц, допущенных к работе с персональными данными в информационной системе, прав и паролей доступа;

в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

д) описание системы защиты персональных данных.



следующая страница >>