Российская Федерация Правительство Калининградской области



Скачать 130.42 Kb.
Дата09.08.2019
Размер130.42 Kb.

Российская Федерация

Правительство Калининградской области

МИНИСТЕРСТВО ОБРАЗОВАНИЯ


ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ КАЛИНИНГРАДСКОЙ ОБЛАСТИ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ОРГАНИЗАЦИЯ ДЛЯ ОБУЧАЮЩИХСЯ, ВОСПИТАННИКОВ С ОГРАНИЧЕННЫМИ ВОЗМОЖНОСТЯМИ ЗДОРОВЬЯ «КАЛИНИНГРАДСКАЯ СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ

ШКОЛА-ИНТЕРНАТ»

УТВЕРЖДАЮ

Директор

ГБУ КО «Школа-интернат»


___________И.Н. Каминская

«___»___________2017г.




ПОЛОЖЕНИЕ

о защите персональных данных обучающихся, их законных представителей в государственном бюджетном учреждении Калининградской области общеобразовательной организации для обучающихся, воспитанников с ограниченными возможностями здоровья «Калининградская средняя общеобразовательная школа-интернат»



  1. Общие положения

Настоящий документ устанавливает порядок организации работ по обеспечению защиты информации с ограниченным доступом (персональных данных), определяет порядок и условия обработки персональных данныхобучающихся, их законных представителей(далее – ПДн) вгосударственном бюджетном учреждении Калининградской области общеобразовательной организации для обучающихся, воспитанников с ограниченными возможностями здоровья «Калининградская средняя общеобразовательная школа-интернат» (далее – ГБУ КО «Школа-интернат»), включая порядок передачи ПДн третьим лицам, случаи получения согласия у субъектов ПДн и уведомления органа по защите прав субъектов ПДн, особенности неавтоматизированной обработки ПДн, а также порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн .

Положение разработано в соответствии с законодательством Российской Федерации:

1. Конституция Российской Федерации.

2. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

4.Постановление Правительства РФ«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012№ 1119.

5.Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

6.Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 №21.

Настоящее Положение предназначено для организации в ГБУ КО «Школа-интернат»процесса обработки ПДн согласно нормам и принципам действующего федерального законодательства.

Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке ПДн.




  1. Цели обработки персональных данных

Целью обработки персональных данныхобучающихся и их законных представителей вГБУ КО «Школа-интернат»является осуществление образовательной деятельности:

- по адаптированным образовательным программам начального общего, основного общего и среднего общего образования,

- по программам дошкольного образования,

- по дополнительным общеразвивающим программам.


  1. Персональные данные

3.1. Категории сведений, являющихся персональными данными обучающихся, их законных представителей, обрабатываемых в ГБУ КО «Школа-интернат»и подлежащих защите, содержатся в перечне персональных данных, утвержденном приказом директораГБУ КО «Школа-интернат».

3.2. Передача ПДн сторонним организациям производится на основании соглашения о конфиденциальности (Приложение №1) и письменного согласия субъекта ПДн (его законного представителя) на передачу его ПДнтретьим лицам.

3.3. Факт передачи ПДн оформляется актом приёма-передачи (Приложение №2).

3.4.ГБУ КО «Школа-интернат»и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъектаПДн (его законного представителя), если иное не предусмотрено федеральным законом.


  1. Ответственность за распространение ПДн

4.1.Под распространением ПДнпонимаютсяпреднамеренныеили непреднамеренныедействия, направленные на раскрытие персональных данныхобучающихся, их законных представителейработникамиГБУ КО «Школа-интернат»неопределенному кругу лиц. Под предоставлением ПДнпонимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

4.2.Ответственность за разглашениеПДннесет персонально каждый работник ГБУ КО «Школа-интернат», имеющий доступ к ПДн и допустивший их несанкционированное распространение.

4.3.За разглашение ПДни нарушение порядка защиты таких данных работники ГБУ КО «Школа-интернат»,а также уволенные из него лица, привлекаются к ответственности в соответствии с законодательством Российской Федерации.




  1. Система допуска сотрудников к ПДн

5.1.Свободный доступ к ПДн, обрабатываемым в ГБУ КО «Школа-интернат»,закрывается с целью их защиты. Лица, не имеющие доступа кПДн, применительно к ним относятся к категории посторонних.

5.2.Работники, в отношении которых было принято решение предоставить право доступа к ПДн,допускаются к работе с ними только после принятия под роспись следующих обязательств:


  • нести персональную ответственность за сохранность доверенных им сведений;

  • не допускать действий, способных повлечь утрату ПДн, разглашение или неправомерное их искажение;

  • знать и неуклонно соблюдать требования локальных нормативных актовГБУ КО «Школа-интернат»о режиме защитыПДн, в том числе настоящее Положение, перечень ПДн, утвержденный приказом директора, тт.д.;

  • незамедлительно сообщать своему непосредственному начальнику о факте утечкиПДн;

  • давать письменные объяснения об известных им обстоятельствах при проведении разбирательств по фактам нарушения требований локальных нормативных актов ГБУ КО «Школа-интернат»о режиме защитыПДн, а также по фактам утраты и хищения документов, содержащих такие сведения.

5.3. Доступ к ПДн предоставляется только тем работникам, которые дали обязательство о неразглашении сведений конфиденциального характера (Приложение №3) и которым этот доступ необходим для выполнения служебных обязанностей.

5.4. Работник, не принявший обязательство, указанное в п.5.3 настоящего Положения, к работе с ПДнне допускается.

5.5.Обязательство о неразглашении оформляется при устройстве на работу, хранится в личном деле работника. Контроль за своевременным допуском кПДн, т.е. подписание обязательства о неразглашении или его отмена, возлагается на ответственного за организацию обработки ПДн в ГБУ КО «Школа-интернат».

5.6. Перечень работников, имеющих право доступа к ПДн, должен поддерживаться в актуальном состоянии. В случае кадровых изменений,вносятся изменения в приказ о допуске работников к ПДн.

5.7.Работник обеспечивается ПДн в объёме, необходимом ему для качественного и своевременного выполнения порученных ему работ.

5.8.Доступ кПДнможет быть прекращён или ограничен по решению директора ГБУ КО «Школа-интернат»в случае ненадлежащего выполнения работником обязанностей, связанных с режимом защиты ПДнлибо в случае перевода или увольнения работника.

5.9.Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен работником путем подачи заявки на доступ на имя директора ГБУ КО «Школа-интернат»с указанием цели и срока доступа и категорий ПДн, к которым запрашивается доступ.

5.10.В случае, если работник сторонней организации имеет доступ к ПДн,обрабатываемым в ГБУ КО «Школа-интернат»,необходимо чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее работников по соблюдению требований текущего законодательства в области защиты ПДн.

5.11.Прекращение трудового договора, независимо от оснований, не освобождает работника от взятых обязательств о неразглашении ПДн, обрабатываемых в ГБУ КО «Школа-интернат».


  1. Технология обработки ПДн




    1. Документы, содержащие ПДн, подготавливаются работниками, имеющими доступ кПДн, на специально отведенных для этого АРМ. Пользователь при работе с ПДн на АРМ должен соблюдать требования Инструкции по обеспечению информационной безопасности персональных данныхв информационных системах персональных данных ГБУ КО «Школа-интернат».

6.2. Черновики, документы, потерявшие актуальность, и испорченные экземпляры документов, содержащих ПДн, не выбрасываются. По мере накопления таких материалов, работники, из числа имеющих доступ к ПДн,уничтожают все накопившиеся черновые материалы способом, гарантирующим невозможность восстановления информации с уничтоженных документов. Уничтожение производится и оформляется в соответствии с Инструкцией о порядке уничтожения ПДн и оформляется актом.

6.3.При фиксации ПДнна материальных носителях не допускается фиксация на одном материальном носителеПДн, цели обработки которых заведомо не совместимы. При обработке различных категорийПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДндолжен использоваться отдельный материальный носитель.

6.4.Съёмные электронные носители информации, содержащие ПДн, должны храниться в сейфах. Материальные носители информации, содержащие ПДн, должны храниться в металлических запираемых шкафах.


  1. Контроль соблюдения режима защиты ПДн

7.1.Контроль соблюдения режима защиты ПДносуществляется в целях изучения и оценки фактического состояния сохранностиПДн, выявления недостатков и нарушений режима защиты при работе с документами, содержащими ПДн, установления причин недостатков и нарушений, а так же выработки предложений, направленных на их устранение и предотвращение.

7.2.Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:


  • обеспечение соблюдения сотрудниками требований настоящего Положения и нормативно-правовых актов, регулирующих сферу ПДн;

  • оценка компетентности персонала, задействованного в обработке ПДн;

  • выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений;

  • принятие корректирующих мер, направленных на устранение выявленных нарушений, в порядке обработки ПДн;

  • разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;

  • осуществление контроля над исполнением рекомендаций и указаний по устранению нарушений.

7.3.Ответственный за организацию обработкиПДнимеет право постоянно осуществлять проверку соблюдения режима защиты ПДнвсеми работниками.

7.4.Проверки проводятся в присутствии работника, ответственного за работу с документами, содержащимиПДн.

7.5.Проверяющий, в ходе проверочных мероприятий, имеет право знакомиться со всеми документами, используемыми в структурном подразделении, а также проводить беседы и консультации со специалистами структурного подразделения, требовать предоставления письменных объяснений, справок, отчетов по вопросам, относящимся к сути проверки.

7.6.По результатам проверок составляется отчет с отражением в нем состояния режима защитыПДн, выявленных недостатков и нарушений, предложений по их устранению. Результаты проверки докладываются директоруГБУ КО «Школа-интернат».

7.7.По результатам отчета формируется комиссия, которая принимает решения по устранению выявленных недостатков и нарушений.

7.8. В случае установления факта утраты документов, содержащих ПДн, либо разглашения ПДн, содержащихся в них,ответственный за организацию обработки ПДннемедленно сообщает об этом факте в письменном виде директоруГБУ КО «Школа-интернат».

7.9.Результаты контрольных мероприятий являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн.


  1. Меры организационной и инженерно-технической защиты информации

8.1.Учет всех носителей информации, содержащих ПДн, должен проводиться с помощью нанесения на них учетного номера, внесенияв Журнал учета машинных носителей информации, регистрации выдачи/приема в Журнале учёта съемных носителей информации.

8.2. Назначается работник, ответственный за ведение Журнала учета машинных носителей информации и Журнала учёта съемных носителей информации и ответственный за хранение таких носителей.

8.3.В нерабочее время съемные носители информации должны храниться в запираемых на замок шкафах или сейфах в помещениях, где исключено нахождение посторонних лиц.

8.4.При необходимости сотрудники, ответственные за хранение и учет носителей информации, снабжаются металлическими печатями. Металлические печати используются для опечатывания металлических шкафов, сейфов и пеналов для ключей. В конце рабочего дня ответственный сотрудник убирает все носители информации в металлические шкафы и сейфы, запирает их на замок и опечатывает.

8.5. Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДнможно было определить места хранения ПДн(материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн,либо имеющих к ним доступ.

8.6. РаботникиГБУ КО «Школа-интернат»должны использовать рабочее оборудование строго в служебных целях. Использование рабочего оборудование в личных целях не допускается.


  1. Общие требования к обработке ПДн

9.1.В соответствии с п.1 ст.22 ФЗ «О персональных данных» оператор ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (в настоящее время - Роскомнадзор) об обработке ПДн.

9.2.В случае наличия неполных сведений или изменения сведений, указанных в уведомлении, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор).

9.3.Правовой основой для начала обработки ПДнобучающихся, их законных представителейявляетсяих согласие на обработку,котороезаполняется в соответствии с Приложением №4.

9.4.Если ГБУ КО «Школа-интернат»будет осуществлять передачу ПДн третьей стороне, то необходимо согласие на передачу от субъектов ПДн (их законных представителей).Типовая форма согласия приведена в Приложении №5.

9.5.Если ГБУ КО «Школа-интернат»будет получать ПДн у третьей стороны, то необходимо согласия субъектаПДн (его законного представителя).Типовая форма согласия приведена в Приложении №6.




  1. ОбязанностиГБУ КО «Школа-интернат»при сборе ПДн

10.1.ГБУ КО «Школа-интернат»обязано предоставлять субъекту ПДн (его законному представителю) по его запросу информацию, касающуюся обработки его ПДн. Шаблоны запросов приведены в Приложении №7.

10.2.ГБУ КО «Школа-интернат»обязано разъяснить субъекту ПДн (его законному представителю) порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения.

10.3.ГБУ КО «Школа-интернат»обязано по требованию субъекта ПДн(его законного представителя) уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Шаблон запроса приведен в Приложении №7.

10.4.ГБУ КО «Школа-интернат»обязано уведомить субъекта ПДн(его законного представителя) об обработке его ПДн в том случае, если ПДн были получены не от субъекта. Форма уведомлений приведена в Приложении №8.



  1. Условия обработки ПДн, осуществляемой без использования средств автоматизации

11.1.Работники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящем Положении.

11.2.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков). При фиксации ПДнна материальных носителях не допускается фиксация на одном материальном носителеПДн, цели обработки которых, заведомо не совместимы. Для обработки различных категорийПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДндолжен использоваться отдельный материальный носитель.

11.3.Носители ПДн не должны оставаться без присмотра. Покидая рабочее место, лица, ответственные за носители ПДн, должны убирать носители в запираемый шкаф или сейф.




  1. Требования к работникам в связи с обработкойПДн

12.1.Обеспечение конфиденциальности ПДн, обрабатываемых вГБУ КО «Школа-интернат»,является обязательным требованием для всех сотрудников, которым ПДн стали известны, как в связи со служебной деятельностью, так и по случайности или ошибке.



12.2.Все лица, допущенные к работе с ПДн, должны быть под роспись ознакомлены с требованиями настоящего Положения.

12.3.В ГБУ КО «Школа-интернат»должен быть организован процесс ознакомления работников с организационно-распорядительными документами, регламентирующими обработку и защиту ПДн.







Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница