Защита персональных данных

Документы, определяющие политику МКДОУ «Детский сад №19 «Тополёк»

в отношении обработки персональных данных

Уважаемые родители и сотрудники

МКДОУ "Детский сад №19 "Тополёк"

27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Закон вступил в силу 1 июля 2011 года.

МКДОУ "Детский сад №19 "Тополёк" является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей) детского сада, а также физических лиц, состоящих в иных договорных отношениях с МКДОУ "Детский сад №19 "Тополёк". МКДОУ "Детский сад №19 "Тополёк" занесен в РЕЕСТР операторов, осуществляющих обработку персональных данных на сайте РОСКОМНАДЗРА.

Сейчас в нашем ДОУ собираются, хранятся, обрабатывается, передаются в вышестоящие инстанции персональные данные сотрудников, детей. Поэтому необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных. Таким образом, в настоящее время проблема защиты персональных данных является очень актуальной. Действие закона распространяется не только на бумажные носители, но и на электронные средства, такие как автоматизированные информационные системы и электронные базы данных.

Для соблюдения требований закона «О персональных данных» (ПДн) МКДОУ "Детский сад №19 "Тополёк" должно получить от сотрудников и родителей (законных представителей) каждого воспитанника, СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 ФЗ № 152- «О персональных данных).

МКДОУ "Детский сад №19 "Тополёк" обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.

Правовое основание обработки персональных данных:

• Конституция РФ;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);

• Гражданский кодекс РФ;

• Налоговый кодекс РФ;

• Закон РФ 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации"»;

• Устав МБДОУ д/с № 23.

Правовое основание защиты персональных данных:

• Закон РФ «О персональных данных» №152-ФЗ от 27.07.2006г.;

• Статья 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;

• Статья 137 УК РФ «Нарушение неприкосновенности частной жизни».

Категории персональных данных воспитанников и сотрудников МКДОУ "Детский сад №19 "Тополёк":

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей воспитанников (законных представителей),.; сведения о гражданстве, паспортные данные, сведения об образовании, воинской обязанности, трудовом стаже, о предыдущем месте работы, составе семьи, сведения о количестве детей, заработной плате по письменному запросу банка с целью получения кредита в документальной/электронной форме, социальных льготах, адрес места жительства, номера личных телефонов, фотографии, информация об образовании, страховом пенсионом свидетельстве, ИНН, сведения об аттестации, повышении квалификации, профессиональной переподготовке, сведения о наградах (поощрениях, почетных званиях).

Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании в Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации в области образования.

Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам – Управлению образования администрации Талицкого городского округа, Управлению социальной политики № 9, и т.д.). Данные сотрудников ограниченно доступны представителям Сбербанка России ОАО, отделению Пенсионного фонда РФ по Свердловской области, Управлению налоговой службы по Свердловской области; блокирование и уничтожение персональных данных воспитанников и родителей (законных представителей), а также осуществление любых иных действий, предусмотренных действующим законодательством РФ.

Оператор вправе:

• размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: родителям (законным представителям), а также административным и педагогическим работникам МКДОУ "Детский сад №19 "Тополёк";

• размещать фотографии сотрудника, воспитанника (фамилию, имя, отчество на доске почета, на стендах в помещениях МКДОУ "Детский сад №19 "Тополёк" и на официальном сайте);

• предоставлять данные сотрудника, воспитанника для участия в внутрисадовских, муниципальных, региональных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.;

• производить фото- и видеосъемки сотрудника, воспитанника для размещения на официальном сайте МКДОУ "Детский сад №19 "Тополёк" и СМИ, с целью формирования имиджа МКДОУ "Детский сад №19 "Тополёк";

• включать обрабатываемые персональные данные сотрудника, воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документами муниципального уровня, регламентирующими предоставление отчетных данных.

МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ,

НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!

Некоторые сотрудники и родители обеспокоены необходимостью подписывать СОГЛАСИЕ на обработку персональных данных. Смеем Вас уверить, что причин для беспокойства нет. Ваше согласие будет храниться в МКДОУ "Детский сад №19 "Тополёк" и распространяться только на наше ДОУ. Любой другой оператор ПДн должен будет получить от Вас разрешение на обработку ваших персональных данных.

ДАННОЕ СОГЛАСИЕ ЗАЩИЩАЕТ ВАШИ ДАННЫЕ, КОТОРЫЕ ВЫ УЖЕ ПРЕДОСТАВИЛИ НАМ ПРИ ПОСТУПЛЕНИИ РЕБЕНКА В МКДОУ "ДЕТСКИЙ САД №19 "ТОПОЛЁК"

Просим отнестись с пониманием!

С уважением, администрация МКДОУ "Детский сад №19 "Тополёк"

Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) _Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах п (1).pdf (скачать) (посмотреть)

Постановление Правительства РФ от 01.11.2012 N 1119 _Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных_ (1).pdf (скачать) (посмотреть)

Перечень сведений конфиденциального характера (1).pdf (скачать) (посмотреть)

Политика в отношении обработки персональных данных (1).pdf (скачать) (посмотреть)

Инструкция пользователя информационных систем (1).pdf (скачать) (посмотреть)

Правила обработки персональных данных (1).pdf (скачать) (посмотреть)

Инструкция ответственного за обеспечение безопасности персональных данных (1).pdf (скачать) (посмотреть)

Инструкция по антивирусной защите в информационных системах (1).pdf (скачать) (посмотреть)

Инструкция по обработке персональных данных осуществляемой без использования средств автоматизации (1).pdf (скачать) (посмотреть)

Положение о порядке организации и проведения работ по защите конфиденциальной информации (1).pdf (скачать) (посмотреть)

Положение о порядке уничтожения персональных данных от 28.03.2023.pdf (скачать) (посмотреть)

Положение об обработке персональных данных воспитанников и третьих лиц от 28.03.2023.pdf (скачать) (посмотреть)

Положение о защите персональных данных работников от 28.03.2023.pdf (скачать) (посмотреть)

Ответственность за неисполнение законодательства по защите персональных данных

04.12.2022

Статья	Нарушение	Ответственность
КоАП
Статья 5.39. Отказ в предоставлении гражданину информации.	Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.	Штраф: на должностных лиц - 500 до 1.000 руб.
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Штраф: на должностных лиц - 500 до 1.000 руб.; на юридических лиц - 5.000 до 10.000 руб.
Статья 13.12. Нарушение правил защиты информации	Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.	Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 13.14. Разглашение информации с ограниченным доступом	Разглашение персональных данных.	Штраф: на граждан - от 500 до 1.000 руб.; на должностных лиц - от 4.000 до 5.000 руб.
Статья 19.5. Невыполнение в срок законного предписания	1. Невыполнение в установленный срок законного предписания Роскомнадзора.	Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 19.5. Невыполнение в срок законного предписания	2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.	Штраф: на должностных лиц - от 5.000 до 10.000 руб.; на юридических лиц - от 200.000 до 500.000 руб.
Статья 19.7. Непредставление сведений (информации)	Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.	Штраф: на должностных лиц - от 300 до 500 руб.; на юридических лиц - от 3.000 до 5.000 руб.
Уголовный Кодекс
Статья 137. Нарушение неприкосновенности частной жизни	Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.	Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Статья 272. Неправомерный доступ к компьютерной информации	Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).	Штраф до 200.000 руб., либо лишение свободы до 2-х лет.
Трудовой Кодекс
Статья 81. Расторжение трудового договора по инициативе работодателя.	Разглашение персональных данных другого работника.	Расторжение трудового договора по инициативе работодателя.
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.	Нарушение норм, регулирующих получение, обработку и защиту персональных данных.	Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.

Нормативная база по защите персональных данных

04.12.2022

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организационных и технических мер по обеспечению безопасности в информационных системах персональных данных»

Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)

Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ

Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»

Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Конвенция о защите физических лиц при автоматизированной обработке персональных данных

Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"

Конституция Рoссийской Фeдерации (cт. 23, ст. 24)

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации

Указ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена

Указ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характера

Новая-редакция-ТК-РФ.docx (скачать)

Постановление Правительства РФ от 15.09.2008 N 687.docx (скачать)

Постановление Правительства РФ от 27.08.2016 N 858.docx (скачать)

Постановление Правления ПФ РФ от 25.12.2019 N 730п.docx (скачать)

Приказ Минтруда России от 20.01.2020 N 23н.docx (скачать)

Указ Президента РФ от 30.05.2005 N 609 (ред. от 11.03.2021).docx (скачать)

Федеральный закон от 14 июля 2022 г. N 266-ФЗ.docx (скачать)

Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 14.07.2022.docx (скачать)

Федеральный закон от 27.07.2006 N 152-ФЗ.docx (скачать)

Обязательность выполнения требований законодательства

04.12.2022

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

3. Регуляторы в сфере защиты персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Сфера действия ФЗ №152

04.12.2022

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».