Администрация Смидовичского муниципального района
Еврейской автономной области
ОТДЕЛ ОБРАЗОВАНИЯ
ПРИКАЗ
01.09.2014г. № 223
п.Смидович
О реализации Федерального закона
от 27.07.2006 № 152 - ФЗ «О персональных данных»
В целях реализации Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
ПРИКАЗЫВАЮ:
1. Утвердить:
1.1. Правила обработки персональных данных в отделе образования администрации Смидовичского муниципального района (приложение 1).
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в отделе образования администрации Смидовичского муниципального района (приложение 2).
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами отдела образования администрации Смидовичского муниципального района (приложение 3).
1.4. Правила работы с обезличенными персональными данными в отделе образования администрации Смидовичского муниципального района (приложение 4).
1.5. Перечень информационных систем персональных данных, используемых в отделе образования администрации Смидовичского муниципального района (приложение 5).
1.6. Перечень персональных данных, обрабатываемых в отделе образования администрации Смидовичского муниципального района (приложение 6).
1.7. Перечень должностей сотрудников отдела образования администрации Смидовичского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение 7).
1.8. Перечень должностей сотрудников отдела образования администрации Смидовичского муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 8).
1.9. Типовое обязательство муниципального служащего (работника) отдела образования администрации Смидовичского муниципального района, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение 9).
1.10. Типовую форму согласия на обработку персональных данных для реализации служебных (трудовых) отношений (приложение 10).
1.11. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение 11).
1.12. Порядок доступа муниципальных служащих (работников) отдела образования администрации Смидовичского муниципального района в помещения, в которых ведется обработка персональных данных (приложение 12).
2.Определить места хранения бумажных носителей персональных данных: кабинет отдела образования № 313, расположенный по адресу: ул.Октябрьская,8; кабинет централизованной бухгалтерии по начислению заработной платы: расположенный по адресу: ул.Кирова, 14.
3.Опубликовать настоящий приказ в информационном бюллетене органов местного самоуправления Смидовичского муниципального района и на официальном сайте отдела образования администрации Смидовичского муниципального района.
4.Контроль за исполнением настоящего приказа оставляю за собой.
Начальник отдела образования Н.Е.Шафорост
Приложение 1 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПРАВИЛА
обработки персональных данных
в отделе образования администрации
Смидовичского муниципального района
1. Общие положения.
Настоящие Правила обработки персональных данных в отделе образования администрации Смидовичского муниципального района (далее - Правила) устанавливают единый порядок обработки персональных данных в отделе образования администрации Смидовичского муниципального района (далее – отдел образования), а именно процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.1. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Федеральный закон № 152-ФЗ).
1.2. Целями обработки персональных данных является:
а) обеспечение соблюдения законов и иных нормативных правовых актов;
б) организация деятельности отдела образования в связи с реализацией служебных (трудовых) отношений;
в) использование в деятельности, определенной Положением об отделе образования, с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним.
1.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные (приложение 1 к настоящим Правилам).
2.Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.
2.1. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
2.1.1. Назначение ответственного за организацию обработки персональных данных в отделе образования.
2.1.2. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152 - ФЗ (далее - Федеральный закон № 152-ФЗ) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
2.1.3. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
2.1.4. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
2.2. Обеспечение безопасности персональных данных достигается, в частности:
2.2.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2.2.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
2.2.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2.2.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
2.2.5. Учетом машинных носителей персональных данных.
2.2.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
2.2.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.2.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
2.3. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.
2.3.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
2.3.2. При эксплуатации автоматизированных систем необходимо соблюдать требования:
а) к работе допускаются только лица, назначенные соответствующим приказом;
б) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы).
2.4. Порядок обработки персональных данных без использования средств автоматизации.
2.4.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
2.4.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на отдел образования полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес отдела образования, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональных данных иных лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
2.4.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.4.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
3. Категории субъектов, персональные данные которых обрабатываются.
3.1. Граждане, претендующие на замещение должности муниципальной службы и должности, не отнесенные к муниципальным должностям, осуществляющим техническое обеспечение деятельности в отделе образования.
3.2. Граждане, замещающие (замещавшие) должности муниципальной службы и должности, не отнесенные к муниципальным должностям, осуществляющим техническое обеспечение деятельности в отделе образования.
3.3. Руководители и работники образовательных учреждений, подведомственных отделу образования.
3.4. Законные представители воспитанников и обучающиеся (их законные представители) образовательных учреждений, подведомственных отделу образования.
4. Согласие на обработку персональных данных.
4.1. Оператор перед обработкой персональных данных в целях реализации служебных (трудовых) отношений получает у субъектов обработки персональных данных письменное согласие на обработку персональных данных. Типовая форма согласия на обработку персональных данных для реализации служебных (трудовых) отношений – утверждается приказом отдела образования.
4.2. Согласие на обработку персональных данных при постановке на учет для получения места в дошкольном образовательном учреждении содержится в заявлении, форма которого утверждена административным регламентом предоставления муниципальной услуги «Прием заявлений, постановка на учет и зачисление детей в образовательные учреждения, реализующие основную образовательную программу дошкольного образования» от 04.02.2014 № 201. В соответствии с Законом РФ от 29.12.2012 N 273 "Об образовании в Российской Федерации" отдел образования осуществляет передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования персональных данных обучающихся, участников единого государственного экзамена, лиц, привлекаемых к его проведению, а также лиц, поступающих в такие образовательные учреждения, в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных.
5. Юридические последствия отсутствия согласия на обработку персональных данных.
В случае отсутствия согласия на обработку персональных данных для реализации служебных (трудовых) отношений оператор разъясняет субъекту обработки персональных данных юридические последствия отказа предоставить свои персональные данные в письменной форме. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждается приказом отдела образования.
6. Сроки обработки и хранения персональных данных.
6.1. Сроки обработки персональных данных в отделе образования определяются исходя из срока исковой давности, в соответствии с требованиями ст. 22 Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Приказа Минкультуры РФ от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
6.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.3. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7. Порядок уничтожения обработанных персональных данных.
7.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
7.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
7.3. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Приложение 1
к Правилам обработки персональных
данных в отделе образования администрации
Смидовичского муниципального района
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я, __________________________________________________________,
(фамилия, имя, отчество лица, допущенного к обработке персональных данных)
исполняющий(ая) должностные обязанности по замещаемой должности_________________________________________________________предупрежден(а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к информации, содержащей персональные данные.
Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В случае расторжения договора (контракта) и (или) прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден(а) о том, что нарушение данного обязательства является основанием привлечения к дисциплинарной ответственности и (или) иной ответственности в соответствии с законодательством Российской Федерации.
Ознакомлен(а):
«_____» ____________20___г. ________ _________________
(подпись) (расшифровка подписи)
Приложение 2 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей в отделе образования администрации Смидовичского муниципального района
1. Настоящие Правила определяют порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы) в отделе образования администрации Смидовичского муниципального района.
2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
2.1 подтверждение факта обработки персональных данных в отделе образования администрации Смидовичского муниципального района (далее – отдел образования);
2.2 правовые основания и цели обработки персональных данных;
2.3 применяемые в отделе образования способы обработки персональных данных;
2.4 наименование и место нахождения отдела образования, сведения о лицах (за исключением работников отдела образования), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с отделом образования или на основании федерального закона;
2.5 обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
2.6 сроки обработки персональных данных, в том числе сроки их хранения;
2.7 порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
2.8 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению начальника отела образования, если обработка поручена или будет поручена такому лицу;
2.9 иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.
3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, указанных в части 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
4. Сведения, указанные в п. 2 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5. Сведения, указанные в п. 2 настоящих Правил, предоставляются отделом образования субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
6. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с отделом образования (номер трудового контракта) договора, дата его заключения, замещаемая должность и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных отделом образования, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7. Рассмотрение запросов является служебной обязанностью должностных лиц, в чьи обязанности входит обработка персональных данных.
8. Должностные лица отдела образования, указанные в п. 7 настоящих Правил, обеспечивают:
8.1 объективное, всестороннее и своевременное рассмотрение запроса;
8.2 принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
8.3 направление письменных ответов по существу запроса.
9. Все поступившие запросы регистрируются в течение 3-х дней со дня их поступления. На запросе указывается входящий номер и дата регистрации.
10. Должностные лица отдела образования при рассмотрении запроса обязаны:
10.1 внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
10.2 принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
10.3 сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
11. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
12. Отдел образования обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
13. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица отдела образования обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на нормы закона, являющиеся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
14. Отдел образования обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
15. Субъект персональных данных вправе требовать от отдела образования уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
15.1 В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица отдела образования обязаны внести в них необходимые изменения.
15.2 В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица отдела образования обязаны уничтожить такие персональные данные.
15.3 Уполномоченные лица отдела образования обязаны уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
15.4 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица отдела образования обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
15.5 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица отдела образования обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
15.6 В случае подтверждения факта неточности персональных данных уполномоченные должностные лица отдела образования на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
15.7 В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица отдела образования в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных.
15.8 В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица отдела образования в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных отдел образования обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
15.9 Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
15.10 По результатам служебной проверки составляется мотивированное заключение. Если при проверке выявлены факты совершения работника отдела образования действия (бездействия), содержащего признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы.
16. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение 3 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами отдела образования администрации Смидовичского муниципального района
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в отделе образования администрации Смидовичского муниципального района (далее – отдел образования).
2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона.
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в отделе образования организовывается проведение периодических проверок условий обработки персональных данных.
4. Проверки осуществляются ответственным по организации обработки персональных данных (комиссией по защите персональных данных, образованной в отделе образования).
В проведении проверки не может участвовать муниципальный служащий (работник), прямо или косвенно заинтересованный в её результатах.
5. Проверки соответствия обработки персональных данных установленным требованиям в отделе образования проводятся на основании приказа начальника или на основании поступившего в отдел образования письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
7. Ответственный за организацию обработки персональных данных (комиссия по защите персональных данных) имеет право:
- запрашивать у сотрудников отдела образования информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить начальнику отдела образования предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке; о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (комиссии по защите персональных данных) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику отделеа образования докладывает ответственный по обработке персональных данных либо председатель комиссии по защите персональных данных, в форме письменного заключения. Начальник отдела образования, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.
Приложение 4 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПРАВИЛА
работы с обезличенными данными
в отделе образования администрации Смидовичского муниципального района
1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных, используемых в отделе образования администрации Смидовичского муниципального района и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2. Способы обезличивания при условии дальнейшей обработки персональных данных:
а) уменьшение перечня обрабатываемых сведений;
б) обобщение;
в) понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
г) другие способы, не запрещенные законодательством Российской Федерации.
3. Перечень должностей муниципальных служащих (работников), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом отдела образования администрации Смидовичского муниципального района.
4. Работники, имеющие доступ к базам данных с персональными данными, осуществляют непосредственное обезличивание персональных данных выбранным способом.
5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
6. Персональные данные, обезличенные способом понижения точности некоторых сведений, разглашению не подлежат.
Приложение 5 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПЕРЕЧЕНЬ
информационных систем персональных данных, используемых в отделе образования администрации Смидовичского муниципального района.
1. Понятие информационной системы персональных данных
1.1. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Информационные системы персональных данных
2.1. Региональная информационная система обеспечения проведения единого государственного экзамена.
Приложение 6 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в отделе образования администрации Смидовичского муниципального района
1. Перечень обрабатываемых персональных данных для использования в деятельности, определенной Положением об отделе образования администрации Смидовичского муниципального района:
а) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;
б) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
в) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
г) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки;
д) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
е) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
ж) сведения о социальных льготах и о социальном статусе.
2. Перечень обрабатываемых персональных данных для реализации служебных (трудовых) отношений:
а) фамилия, имя, отчество;
б) сведения об изменении фамилии, имени, отчества;
в) число, месяц и год рождения;
г) место рождения, домашний адрес (адрес места регистрации, адрес фактического места проживания);
д) данные паспорта или иного документа, удостоверяющего личность (в том числе данные заграничного паспорта);
е) сведения о гражданстве;
ж) сведения о семейном положении (в том числе о составе семьи);
з) сведения о месте работы, занимаемой должности;
и) сведения о воинской обязанности;
к) сведения о трудовой деятельности (местах работы, характере выполняемой работы, занимаемых должностях);
л) сведения об образовании, в том числе послевузовском профессиональном образовании, повышении квалификации, переподготовке, стажировке, с указанием года окончания учебного заведения, наименования учебного заведения, специальности и квалификации по диплому (направления обучения), номера и даты документа об образовании;
м) сведения о наградах и званиях;
н) сведения о наличии или отсутствии знаний иностранных языков, уровне знаний иностранных языков;
о) сведения о заболеваниях, препятствующих поступлению на государственную гражданскую службу и ее прохождению, сведения о недееспособности, ограниченной дееспособности;
п) сведения о судимости, административных правонарушениях и уголовном преследовании;
р) сведения, отражающие деловую репутацию;
с) сведения о доходах, имуществе и обязательствах имущественного характера;
т) сведения об осуществлении предпринимательской деятельности и об участии в деятельности коммерческих организаций;
у) сведения об идентификационном номере налогоплательщика;
ф) сведения о страховом номере индивидуального лицевого счета;
х) сведения о страховом полисе обязательного медицинского страхования.
ц) фотографии обучающихся, для формирования банка данных талантливых и одаренных детей), необучающихся/обучающихся в общеобразовательных учреждениях.
Приложение 7 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПЕРЕЧЕНЬ
должностей отдела образования администрации Смидовичского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
1. Начальник отдела образования администрации Смидовичского муниципального района (далее – отдел образования).
2. Главный бухгалтер централизованной бухгалтерии отдела образования администрации Смидовичского муниципального района
3. Главный специалист - эксперт отдела образования.
4. Ведущий специалист - эксперт отдела образования.
5. Специалист отдела образования
6. Начальник хозяйственно-эксплуатационной группы отдела образования).
7. Методисты РМК.
Приложение 8 к приказу отдела образования администрацииСмидовичского муниципального района
от 01.09.2014 № 223
ПЕРЕЧЕНЬ
должностей сотрудников отдела образования администрации Смидовичского муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным:
1. Начальник отдела образования администрации Смидовичского муниципального района (далее – отдела образования).
2. Главный бухгалтер централизованной бухгалтерии отдела образования администрации Смидовичского муниципального района.
3. Бухгалтера централизованной бухгалтерии отдела образования
4. Главный специалист – эксперт отдела образования.
5. Ведущий специалист – эксперт отдела образования.
6. Специалист - отдела образования.
7. Начальник хозяйственно-эксплуатационной группы отдела образования.
8. Методисты РМК.
Приложение 9 к приказу отдела
образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
муниципального служащего (работника) отдела образования администрации Смидовичского муниципального района, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
Я, ___________________________________________________________
(фамилия, имя, отчество)
_____________________________________________________________
(должность)
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной контракта (договора), освобождения меня от замещаемой должности и увольнения. В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей. Ответственность, предусмотренная Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.
«_____» ____________20___г. ________ _________________
(подпись) (расшифровка подписи)
Приложение 10 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных для реализации (трудовых) отношений.
Я, __________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу:_______________________________________ __________________________________________________________________, паспорт серия ______ номер______ выдан «_____» _______________ _____г.
(дата выдачи) __________________________________________________________________,
(наименование органа выдавшего документ)
в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» своей волей и в своем интересе с целью __________________________________________________________________
(реализации служебных (трудовых) отношений)
даю согласие оператору _____________________________________________
(наименование, адрес)
на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а именно,
1) фамилия, имя, отчество;
2) сведения об изменении фамилии, имени, отчества;
3) число, месяц и год рождения;
4) место рождения, домашний адрес (адрес места регистрации, адрес фактического места проживания);
5) данные паспорта или иного документа, удостоверяющего личность (в том числе данные заграничного паспорта);
6) сведения о гражданстве;
7) сведения о семейном положении (в том числе о составе семьи);
8) сведения о месте работы, занимаемой должности;
9) сведения о воинской обязанности;
10) сведения о трудовой деятельности (местах работы, характере выполняемой работы, занимаемых должностях);
11) сведения об образовании, в том числе послевузовском профессиональном образовании, повышении квалификации, переподготовке, стажировке, с указанием года окончания учебного заведения, наименования учебного заведения, специальности и квалификации по диплому (направления обучения), номера и даты документа об образовании;
12) сведения о наградах и званиях;
13) сведения о наличии или отсутствии знаний иностранных языков, уровне знаний иностранных языков;
14) сведения о заболеваниях, препятствующих поступлению на государственную гражданскую службу и ее прохождению, сведения о недееспособности, ограниченной дееспособности;
15) сведения о судимости, административных правонарушениях и уголовном преследовании;
16) сведения, отражающие деловую репутацию;
17) сведения о доходах, имуществе и обязательствах имущественного характера;
18) сведения об осуществлении предпринимательской деятельности и об участии в деятельности коммерческих организаций;
19) сведения об идентификационном номере налогоплательщика;
20) сведения о страховом номере индивидуального лицевого счета;
21) сведения о страховом полисе обязательного медицинского страхования.
Если мои персональные данные можно получить только у третьей стороны, то я должен быть уведомлен об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных, также должно быть получено на это согласие.
Мне разъяснены мои права и обязанности, связанные с обработкой персональных данных, в том числе, моя обязанность проинформировать оператора в случае изменения моих персональных данных; мое право в любое время отозвать свое согласие путем направления соответствующего письменного заявления оператору. Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока до достижения цели обработки персональных данных или его отзыва в письменной форме
«_____» ____________20___г. ________ _________________
(подпись) (расшифровка подписи)
Приложение 11 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
Мне ________________________________________________________,
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные данные оператору ______________________________________
__________________________________________________________________
(наименование, адрес)
В соответствии с п.3.2 раздела 3 Положения об обработке персональных данных в Отделе образования администрации Смидовичского муниципального района определен перечень персональных данных, которые субъект персональных данных обязан предоставить в связи с _________________________________________________________________
__________________________________________________________________
(реализацией служебных (трудовых) отношений)
Я предупрежден, что в случае несогласия на обработку моих персональных данных, (далее нужное подчеркнуть)
1. Отделом образования администрации Смидовичского муниципального района мои права могут быть реализованы не в полном объеме;
2. Право на труд, право на пенсионное обеспечение и медицинское страхование работников не может быть реализовано в полном объёме, а трудовой договор (контракт) подлежит расторжению.
«_____» ____________20___г. ________ _________________
(подпись) (расшифровка подписи)
Приложение 12 к приказу отдела образования администрации Смидовичского муниципального района
от 01.09.2014 № 223
ПОРЯДОК
доступа муниципальных служащих (работников) отдела образования администрации Смидовичского муниципального района в помещения, в которых ведется обработка персональных данных
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
3. В служебных помещениях, занимаемых отделом образования, применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: двери, снабжённые замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
2) технические меры защиты: применение антивирусных программ, программ защиты;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.