МБДОУ "Детский сад №1 ст. Зеленчукской"
станица Зеленчукская
Наш детский сад
Сведения об образовательной организации
Группы
Педагогам и сотрудникам
Вакансии
Контакты
Навигатор по сайту

Политика конфиденциальности

1. Общее положение

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, относительные к персональным данным работников предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с предприятием.

1.2. Цель настоящего Положения - защита персональных данных работниковпредприятия от несанкциониронного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охроняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводится приказом по предприятию. Все работники предприятия должны быть ознакомленны под роспись с данным Положением и изменениями к нему.

2. Понятие и состав персональных данных

2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. Состав персональных донных работника:

- анкета;

- автобиография;

- образование;

- сведения о трудовом и общем стаже;

- сведения о предыдущем месте работы;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о зароботной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- размер зароботной платы;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- содержание трудового договора;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

- копии документов об образовании;

- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

- фотографии и иные сведения, относящиеся к персональным данным работника;

- рекомендации, характеристики и т.п.

2.3. Данные документы являются конфиденциальными. Режим конфиденциальности данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

3. Обязанности работодателя

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществлятся исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работником в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него  должно быть полученно письменное согласие. Работодатель должен сообщить работнику о целях, предпологаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника  дать письменное согласие на их получение.

3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответсвии со ст.24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

3.1.8. Работники и их представители должны быть ознакомленны под роспись с документами предприятия, устанавливающими порядок обработкиперсональных данных работников, а также об их правах и обызанностях в этой области.

3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

4. Основные права и обязанности работника

Работник обязан:

4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ;

4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.

5. Работник имеет право:

5.1. На полную иформацию  о своих персональных данных и обработке этих данных.

5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предсмотренным законодательством РФ;

5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.

5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушеним требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он  имеет право заявить в письменной форме работодателю о своем не согласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.5. Требовать об извещении работодателем всех лиц , которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях, или дополнениях.

5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

5.7. Определить своих представителей для защиты своих персональных данных.

5. Сбор, обработка и хранение персональных данных

6.1. Обработка персональных данных работника - это получение, хранение, комбенирование, передача или любое другое использование персональных данных работника

6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.3. Работодатель должен сообщить работнику о целях, предпологаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.5. При поступлении на работу работник заполняет анкету и автобиографию.

6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.

6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнить все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, которые содержатся в его личных документах.

6.5.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.

6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.

6.5.5. Анкета и автобиография работника должны хранится в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.

6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.

6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилии, имя, отчество работника, номер личного дела.

6.5.8. К каждому личному делу прилагаются три цветные фотографии работника.

6.5.9. Все документы, поступающие в личное дело, распологаются в хронологическом порядке. Листы документов подшитых в личное дело, нумеруются.

6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

6. Принципы обработки персональных данных

7.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

7.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

7.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

7.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

7.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

8.1. Оператором, организующим и осуществляющим обработку персональных данным, является Муниципальное бюджетное дошкольное образовательное учреждение.

8.2.  Обработка персональных данных с использованием автоматизированной информационной системы ДОУ осуществляется с целью содействия субъектам персональных данных в осуществлении учебной, научной, трудовой деятельности, обеспечение личной безопасности, учета результатов исполнения договорныхобязательств, а также наиболее полного исполнения ДОУ обязательств и компетенций в соответствии с законодательством.

8.3. Обработка персональных данных с использованием автоматизированнойинформационной системы ДОУ осуществляется для решения следующих задач:

- учет кадрового состава ДОУ,  научной, учебной, методической деятельности сотрудников, мониторингкачества учебного процесса;

- учет информации об обучающихся ДОУ, информации об обучении и посещаемости;

- комплексный мониторинг деятельности;

- иные задачи,необхомые для деятельности ДОУ.

8. Правовые основания обработки персональных данных

9.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соотвествии с которыми Оператор осуществляет обработку персональных донных.

9.2. Оператор обрабатывает персональные данные на основании:

- Трудового кодекса РФ;

- Федерального закона "Об основах охраны здоровья граждан в Российской Федерации" и принятых на его основе нормативно-правовых актов, регулирующих отношения, связанные с оказанием медицинских услуг;

- иных федеральных законов и прочихнормативно-провавых актов;

- устава организации;

- договоров, заключенных между Оператором и субъектами персональных данных;

- согласий на обработку персональных данных.

9. Условия обработки персональных данных

10.1.  Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.

10.2. Оператор вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, предусмотренных статьей 6 Федерального закона "О персональных данных".

10.3.  Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соотвествии с федеральным закономэлектронной подписью.

10.4. Письменное согласие субьекта персональных данных должно включать:

- фамилию, имя, отчество;

- адрес субъекта персональных данных;

- номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование и адрес Оператора;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

-срок, в течение которого действует согласие;

- способ его отзыва;

- подпись субъекта персональных данных.

10.5. Обработка персональных данных осуществляется Оператором следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

10.6. Оператор организует обработку персональных данных в следующем порядке:

- назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

- издает настоящую Политику, локальные акты по вопросам обработки персональных данных;

- применяет правовые, организационные технические меры по обеспечению безопасности персональных данных;

- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

- осуществляет оценку вреда, который может быть приченен субъектамперсональных данных в случае нарушения Федерального закона "О персональных денных", определяет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;

- знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или)  обучение указанных работников.

10.7. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:

- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

- применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

- применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

-оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учитывает машинные носители персональных данных;

- обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;

- восстанавливает персональные данные, модифицированные или уничтоженные вследсвие несанкционированного доступа к ним;

- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

10.8.  При обработке персональных данных Оператор выполняет, в часности, сбор, запись, систематизацию,накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распростронение,предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

10.9.  В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными должны выполняться только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.

10.10. Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочиями. Согласия субъекта на получения его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передаче его персональных данных третьими лицамполучено от него в письменном виде при заключении договора с Оператором, а также в случаях, установленных федеральным законом.

10.11. Запрашивается хранение документов с персональными данными и их копий на рабочих метах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.

10.12. В электронном виле документы, содержащие персональные данные, разрешается хранить в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разограничением доступа. Копирование таких данных запрещено.

10.13. При увольнении работника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работником своему непосредственному руководителю.

10. Порядок обработки персональных данных в информационных системах

11.1.  Обработка персогальных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасноасти персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе.

11.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций, осуществляется в соответствии с постановлением Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", составом и содержанием организационных технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных,  утвержденных приказом ФСТЭК России от 18.02.2013 №21.

11.3. Упономоченному работнику, имеющему право осуществлять обработкуперсональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работника.

11.4. Информация может вноситься как в атоматическом режиме при получении  персональных данных с официального сайта в сети интернет, так и в ручном режиме при получении информации на бумажном носителе или ином виде, не позволяющем осуществлять ее автомотическую регистрацию.

11.5. Обеспечение безопасности персональных данных, обробатываемых в информационных системах органов, достинается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

11.6. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.

11.7.  В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

- идентификация и аутефикация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

- регистрация событий безопасности;

- антивирусная защита;обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации и технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

-выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

- управление конфигураций информационной системы и системы защиты персональных данных.

11.8. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуалбную опасность несанкционированного, в том числе случайного доступа, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы первого типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (не декларированных) возмажнастей в системном прикладном программном обеспечении, используемом в информационной системе. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных".

11.9. В соответствии с пунктом 11 статьи 19 Федерального закона "О персональных данных под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтролизацию определенных угроз безопасности персональных данных при их обработке в информационных системах.

При обработке персональных данных в информационных системах устанавливаются четыре уровня защищенности персональных данных.

11.9.1. Необходимость обеспечения первого уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

- для информационной системы актуальны угрозы первого типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора.

11.9.2. Необходимоть обеспечения второго уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

- для информационной системы актуальны угрозы первого типа и информационная система обрабатывает общедоступные персональные данные;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает специальные категории персональных данных сотрудников Оператора или специальные категории персональных данных менее чам 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает биометрические персональные данные;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора.

11.9.3. Необходимость обеспечения третьего уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

-для информационной системы актуальны угрозы второго типа и информационная система обрабатывает общедоступные персональные данные сотрудников Оператора или общедоступные  персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для информационной системы актуальны угрозы второго типа и информационная система обрабатывает иные категории персональных данных сотрудников Оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для инфомационной системы актуальны угрозы третьего типа и информационная система обрабатывает специальные категории персональных данных  сотрудников Оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора;

- для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает биометрические персональные данные;

- для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных,  не являющихся сотрудниками Оператора.

11.9.4. Необходимость обеспечения четвертого уровня защищенности персональных данных при их обработке в информационной системе устанавливаеся при наличии хотя бы одного из следующих условий:

- для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает общедоступные персональные данные;

- для информационной системы актуальны угрозы третьего типа и иформационная система обрабатывает иные категории персональных данных сотрудников Оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками Оператора.

11.10.  Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России от 18.02.2013 №21

11. Перечень действий, производимых Оператором с полученными персональными данными

12.1. Получение персональных данных у субъекта персональных данных, а также у третьих лиц, в случае дополнительного согласия субъекта.

12.2. Хранение персональных данных )в электронном виде и на бумажном носителе).

12.3. Уточнение (обновление, изменение) персональных данных.

12.4. Использование персональных данных работодателем в связи с трудовыми отношениями.

12. Конфиденциальность персональных данных

13.1. Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

13. Заключительные положения

14.1.  Политика является общедоступным документом.

14.2. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.

На этой странице

Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie