Политика конфиденциальности

1. Порядок доступа сотрудников МДОУ ДС №23 г. Буденновска в помещения, в которых ведётся обработка персональных данных.

1. Настоящий Порядок  доступа сотрудников МДОУ ДС №23 г. Буденновска в помещения, в которых ведётся обработка персональных данных (далее - Порядок) разработан в соответствии с Федеральным законом от 27.07.2006

№ 152 – ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

2.  Персональные данные относятся к конфиденциальной информации.

Должностные лица МДОУ ДС №23 г. Буденновска, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

3. Обеспечение безопасности  персональных данных от уничтожения, изменения, блокирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, в которых обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.

4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

      При хранении материальных носителей персональных данных должны соблюдаться условия,  обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ у ним.

5. Нахождение сотрудников, не уполномоченных осуществлять обработку персональных данных, в помещениях МДОУ, в которых размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, возможно только в сопровождении сотрудника, уполномоченного осуществлять обработку персональных данных, на время, ограниченное необходимостью решения служебных вопросов.

6. Нахождение лиц, не являющихся сотрудниками МДОУ, в помещениях МДОУ, в которых размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, возможно только в сопровождении уполномоченного заместителя заведующего МДОУ на время, ограниченное необходимостью решения вопросов, связанных с исполнением государственных функций и (или) осуществлением полномочий в рамках договоров (контрактов), заключённых с МДОУ.

7. Ответственными за организацию доступа в помещения МДОУ, в которых ведется  обработка персональных данных, является заместитель заведующего МДОУ.

8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведётся обработка персональных данных, проводится лицом,  ответственным за организацию обработки персональных данных в МДОУ.

9. Порядок  доступа:

Название помещения	Порядок  доступа (лица имеющие право доступа в помещение)
Кабинет заведующего.	Заведующий
Методический кабинет.	Заведующий Заместитель заведующего
Кабинет делопроизводителя.	Заведующий Заместитель заведующего Делопроизводитель

2. Положение об обработке персональных данных воспитанников и третьих лиц

1. Общие положения

1.1. Настоящее положение об обработке персональных данных воспитанников и третьих лиц

МДОУ ДС № 23 г.Буденновска (далее – Положение) разработано в соответствии с Федеральнымзаконом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Федеральнымзаконом от 27.07.2006 № 152-ФЗ «О персональных данных», положением об особенностяхобработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства от 15.09.2008 № 687, иными федеральными и региональными нормативными актами в сфере защиты персональных данных, политикой обработки персональных данныхМДОУ ДС № 23 г.Буденновска.

1.2. Положение определяет порядок работы с персональными данными МДОУ ДС № 23 г.Буденновска воспитанников, их родителей (законных представителей) и иных третьих лиц, а такжегарантии конфиденциальности личной информации, которую родители (законные представители) воспитанников и иные третьи лица предоставляют администрации МДОУ ДС № 23 г.Буденновска

1.3. Целью Положения является защита персональных данных воспитанников, родителей(законных представителей) и иных третьих лиц от неправомерного или случайного доступа,уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

  2. Перечень обрабатываемых персональных данных

 2.1. МДОУ ДС № 23 г.Буденновскаобрабатывает следующие персональные данные воспитанников:

 а) фамилия, имя, отчество (при наличии);

 б) дата и место рождения;

 в) адрес местожительства;

 г) сведения из документов:

• свидетельства о рождении;
• свидетельства о регистрации;
• документа, подтверждающего родство воспитанника с родителями (законными представителями);
• документа, подтверждающего право на пребывание на территории РФ;
• заключения и других документов психолого-медико-педагогической комиссии;
• медицинской справки-допуска после перенесенного заболевания;
• медицинского заключения о характере повреждений здоровья, полученных в результате несчастного случая, и степени их тяжести, заключения о причине смерти;
• иных медицинских заключений.

 2.2. Персональные данные воспитанников содержатся в их личных делах в виде копий

документов.

 2.3.МДОУ ДС № 23 г.Буденновска  обрабатывает следующие персональные данные родителей (законных представителей) воспитанников:

 а) фамилия, имя, отчество (при наличии);

 б) адрес местожительства;

 в) контактные телефоны;

 г) сведения из документов:

• паспорта или другого документа, удостоверяющего личность;
• документов для предоставления льгот (удостоверение многодетной семьи, документа о признании инвалидом).

 2.4. Персональные данные родителей (законных представителей) содержатся в личныхделах воспитанников в виде копий документов.

2.5.МДОУ ДС № 23 г.Буденновска обрабатывает следующие персональные данные физических лиц по договорам, физических лиц, указанных в заявлениях (согласиях, доверенностях и т. п.) родителей (законных представителей) воспитанников:

 а) фамилия, имя, отчество (при наличии);

 б) адрес местожительства;

 в) контактные телефоны;

 г) сведения из документов:

• паспорта или другого документа, удостоверяющего личность;
• диплома или иного документа об образовании;
• трудовой книжки.

 2.6. Персональные данные третьих лиц содержатся в документах, которые представилифизические лица, заключившие с МДОУ ДС № 23 г. Буденновска договор, и которые подписали(выдали) родители (законные представители).

  3. Сбор, обработка и хранение персональных данных

3.1. Сбор персональных данных воспитанников, родителей (законных представителей)осуществляет делопроизводительМДОУ ДС № 23 г.Буденновска во время приема документов длязачисления и во время оказания услуг по присмотру и уходу, образовательных услуг.

3.2. Сбор данных физических лиц по договорам осуществляет делопроизводитель

МДОУ ДС № 23 г.Буденновска при оформлении договоров.3.3. Сбор данных третьих лиц, указанных в заявлениях (согласиях, доверенностях и т. п.)родителей (законных представителей) воспитанников, осуществляет делопроизводитель  МДОУ ДС № 23 г.Буденновска при оформлении или приеме документов.

3.4. Делопроизводитель вправе принять персональные данные воспитанников, родителей

(законных представителей) воспитанников только у родителей (законных представителей) лично.Делопроизводитель вправе принять документы и сведения, которые содержат персональные данные третьих лиц, только у таких лиц.

3.5. МДОУ ДС № 23 г.Буденновск вправе делать запрос в медицинскую организацию и обрабатывать персональные данные воспитанников при расследовании несчастного случая, если это требуется для работы комиссии. Результаты расследования вместе с медицинскими заключениями хранятся в отдельных папках в специальном шкафу, доступ к которому имеют только члены комиссии.

3.6. Обработка персональных данных воспитанников ведется исключительно в целяхреализации их прав на получение образования в рамках осваиваемых образовательных программ, оказания услуг по присмотру и уходу и с согласия на обработку персональных данных

3.7. Обработка персональных данных родителей (законных представителей) воспитанниковведется исключительно в целях реализации прав родителей (законных представителей) приреализации МДОУ ДС № 23 г.Буденновска прав воспитанников на получение образования в рамкахосваиваемых образовательных программ, оказания услуг по присмотру и уходу и с согласия на обработку персональных данных.

3.8. Обработка персональных данных физических лиц по договорам ведется исключительнов целях исполнения договора, стороной которого, выгодоприобретателем или поручителем покоторому является такое физическое лицо, а также для заключения договора по инициативефизического лица или договора, по которому физическое лицо будет выгодоприобретателем или поручителем. Получение согласия в данном случае не требуется.Обработка персональных данных третьих лиц, указанных в заявлениях(согласиях, доверенностях и т. п.) родителей (законных представителей) воспитанников, ведетсяисключительно в целях реализации прав родителей (законных представителей) при реализации МДОУ ДС № 23 г.Буденновска прав воспитанников на получение образования, оказания услуг по присмотру и уходу и с согласия третьих лиц на обработку.

3.9. Личные дела воспитанников хранятся в кабинете заведующегоМДОУ ДС № 23 г.Буденновска в бумажном виде в папках в специальном шкафу, который обеспечивает защиту от несанкционированного доступа. В личных делах воспитанников хранятся персональные данные воспитанников и их родителей (законных представителей).

3.10. Медицинские карты воспитанников хранятся в медицинском кабинете. Ключи откабинета находятся у медицинской сестры.

3.11. Договоры, содержащие персональные данные третьих лиц, хранятся у делопроизводителя МДОУ ДС № 23 г.Буденновска в бумажном виде в папках в специальном шкафу, который обеспечивает защиту от несанкционированного доступа.

3.12. Заявления (согласия, доверенности и т. п.) родителей (законных представителей)воспитанников, содержащие персональные данные третьих лиц, хранятся в кабинете заведующегоМДОУ ДС № 23 г. Буденновска в бумажном виде в папках в специальном шкафу, который обеспечивает защиту от несанкционированного доступа.

3.13. МДОУ ДС № 23 г. Буденновска ведет журнал учета посетителей, в котором ответственныелица фиксируют персональные данные посетителей: фамилию, имя, отчество (при наличии),паспортные данные. Перечень лиц, ответственных за ведение журнала, утверждается приказом заведующего МДОУ ДС № 23 г.Буденновска

Копирование информации журнала и передача ее третьим лицам не допускается, за исключением случаев, предусмотренных законодательством РФ.

3.14. Личные дела, журналы и иные документы, содержащие персональные данные,подлежат хранению и уничтожению в сроки и в порядке, предусмотренные номенклатурой дел и архивным законодательством РФ.

  4. Доступ к персональным данным

4.1. Доступ к персональным данным воспитанника, родителей (законных представителей)

имеют:

• заведующий – в полном объеме;
• заместитель заведующего по УВР – в полном объеме;
• делопроизводитель – в полном объеме;
• воспитатели – в объеме данных, которые необходимы для выполнения функций воспитателя: фамилия, имя, отчество (при наличии) воспитанника; фамилия, имя, отчество (при наличии) родителей воспитанника, адрес местожительства, контактные телефоны, рекомендации психолого-медико-педагогической комиссии; фамилия, имя, отчество (при наличии) и контактные телефоны третьих лиц, которым родители (законные представители) передали часть своих полномочий;
• педагог-психолог – в объеме данных, которые нужны для диагностической, психокоррекционной, реабилитационной работы с воспитанником, оказания консультативной помощи воспитаннику, его родителям (законным представителям) и педагогическим работникам МБДОУ Детский сад № 1;
• медицинская сестра – в объеме, необходимом для медицинского обслуживания воспитанника.

4.2. Доступ к персональным данным третьих лиц по договорам имеют:

• заведующий – в полном объеме;
• делопроизводитель – в полном объеме;

4.3. Доступ к персональным данным третьих лиц, на которых оформлены заявления(согласия, доверенности и т. п.) и которые зафиксированы в журнале учета посетителей, имеют:

• Заведующий – в полном объеме;
• делопроизводитель – в полном объеме;
• лица, ответственные за ведение журнала, – в объеме данных, которые необходимы для обеспечения безопасностиМДОУ ДС № 23 г.Буденновска фамилия, имя, отчество (при наличии) посетителя, данные документа, удостоверяющего личность.

4.4. Перечень лиц, допущенных к обработке персональных данных, утверждается приказомзаведующегоМДОУ ДС № 23 г.Буденновска

.

  5. Передача персональных данных

5.1. Работники МДОУ ДС № 23 г. Буденновска, имеющие доступ к персональным данным воспитанников, родителей (законных представителей) воспитанников и третьих лиц, при передаче этих данных должны соблюдать следующие требования:

5.1.1. Не передавать персональные данные без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью воспитанников, если получить такое согласие невозможно, для статистических или исследовательских целей (при обезличивании), а также в других случаях, напрямую предусмотренных федеральными законами.

5.1.2. Предупреждать лиц, которым переданы персональные данные воспитанников,родителей (законных представителей) воспитанников, третьих лиц, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены субъектами персональных данных.

  6. Меры обеспечения безопасности персональных данных

6.1. К основным мерам обеспечения безопасности персональных данных в МДОУ ДС № 23 г. Буденновска относятся:

6.1.1. Назначение ответственного за организацию обработки персональных данных. В обязанности ответственного входит организация обработки персональных данных, обучение и инструктаж работников, внутренний контроль за соблюдением в МДОУ ДС № 23 г.Буденновскатребований законодательства к защите персональных данных.

6.1.2. Издание политики обработки персональных данных и локальных актов по вопросамобработки персональных данных.

6.1.3. Ознакомление работников, осуществляющих обработку персональных данных, сположениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, политикой обработки персональных данных и локальными актамиМДОУ ДС № 23 г. Буденновска по вопросам обработки персональных данных.

6.1.4. Регистрация и учет всех действий, совершаемых с персональными данными в информационных системах, контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем.

6.1.5. Учет машинных носителей персональных данных.

6.1.6. Оценка вреда, который может быть причинен субъектам персональных данных вслучае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.

6.1.7. Внутренний контроль и (или) аудит соответствия обработки персональных данныхтребованиям законодательства.

6.1.8. Публикация политики обработки персональных данных и локальных актов повопросам обработки персональных данных на официальном сайтеМДОУ ДС № 23 г.Буденновска.

3. Политика обработки персональных данных

1. Общие положения

1.1. Настоящая политика обработки персональных данных МДОУ ДС № 23 г.Буденновска (далее – Политика) определяет цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в МДОУ ДС № 23 г.Буденновска (далее – Детский сад).

1.2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Детском саду, разрабатываются с учетом положений Политики.

1.3. Действие Политики распространяется на персональные данные, которые Детский сад обрабатывает с использованием и без использования средств автоматизации.

1.4. В Политике используются следующие понятия:

• персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон);
• оператор персональных данных (оператор) – Детский сад – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными с использованием и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5. Детский сад как оператор персональных данных обязана:

1.5.1. Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.

1.5.2. Обеспечить субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.

1.5.3. Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.

1.5.4. Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.

1.5.5. Прекратить обработку и уничтожить или обезличить персональные данные либо обеспечить прекращение обработки и уничтожение или обезличивание персональных данных при достижении цели их обработки.

1.5.6. Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между Детским садом и субъектом персональных данных.

1.5.7. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами.

1.6. Детский сад вправе:

1.6.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством о персональных данных.

1.6.2. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством.

1.6.3. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.

1.6.4. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Детского сада, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом.

1.7. Работники, родители воспитанников, иные субъекты персональных данных (далее – субъекты персональных данных) обязаны:

1.7.1. В случаях, предусмотренных законодательством, предоставлять Детскому саду достоверные персональные данные.

1.7.2. При изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Детскому саду.

1.8. Субъекты персональных данных вправе:

1.8.1. Получать информацию, касающуюся обработки своих персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.

1.8.2. Требовать от Детского сада уточнить персональные данные, блокировать их или уничтожить, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.8.3. Дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения.

1.8.4. Обжаловать действия или бездействие Детского сада в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

2. Правовые основания обработки персональных данных

2.1. Правовыми основаниями обработки персональных данных в Детском саду являются устав и нормативные правовые акты, для исполнения которых и в соответствии с которыми Детский сад осуществляет обработку персональных данных, в том числе:

• Трудовой кодекс, иные нормативные правовые акты, содержащие нормы трудового права;
• Бюджетный кодекс;
• Налоговый кодекс;
• Гражданский кодекс;
• Семейный кодекс;
• Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты;
• социальное, пенсионное и страховое законодательство Российской Федерации;
• законодательство в сфере безопасности, в том числе антитеррористической защищенности.

2.2. Правовыми основаниями обработки персональных данных в Детском саду также являются договоры с физическими лицами, заявления (согласия, доверенности) родителей (законных представителей) воспитанников, согласия на обработку персональных данных.

3. Цели обработки персональных данных, их категории и перечень, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных

1. Цель обработки: организация образовательной деятельности по образовательным дошкольного образования, дополнительным общеобразовательным программам
Категории данных	Персональные данные		Специальные данные
Перечень данных	фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография, видео); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения, образующиеся в процессе реализации образовательной программы; иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров, исполнения норм законодательства в сфере образования		Сведения о состоянии здоровья
Категории субъектов	Обучающиеся, их родители (законные представители)
Способы обработки	Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных (их представителей); внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада.
Сроки обработки	В течение срока реализации образовательной программы
Сроки хранения	В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные
Порядок уничтожения	В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
2. Цель обработки: выполнения функций и полномочий работодателя в трудовых отношениях, в том числе обязанностей по охране труда
Категории данных	Персональные данные	Специальные персональные данные		Биометрические персональные данные
Перечень данных	фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства	Сведения о состоянии здоровья		Изображение на фото и видеозаписи, полученных с камер наблюдения
Категории субъектов	Работники, кандидаты на работу (соискатели)
Способы обработки	Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада
Сроки обработки	В течение срока действия трудового договора. Для кандидатов – в течение срока, необходимого для рассмотрения кандидатуры и заключения трудового договора
Сроки хранения	В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел – 50 лет
Порядок уничтожения	В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
3. Цель обработки: реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является Детский сад
Категории данных	Персональные данные
Перечень данных	фамилия, имя, отчество; паспортные данные; адрес регистрации и (или) фактического проживания; контактные данные; индивидуальный номер налогоплательщика; номер расчетного счета; номер банковской карты; иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров
Категории субъектов	Контрагенты, партнеры, стороны договора
Способы обработки	Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада
Сроки обработки	В течение срока, необходимого для исполнения заключенного договора
Сроки хранения	В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные
Порядок уничтожения	В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
4. Цель обработки: обеспечение безопасности
Категории данных	Персональные данные
Перечень данных	фамилия, имя, отчество; паспортные данные; адрес регистрации и (или) фактического проживания; контактные данные
Категории субъектов	Посетители Детского сада
Способы обработки	Автоматизированная обработка и без средств автоматизации, в том числе: получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы Детского сада
Сроки обработки	В течение периода нахождения посетителя на территории Детского сада
Сроки хранения	В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе минимум 30 дней в отношении записей камер видеонаблюдения
Порядок уничтожения	В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных

4. Условия обработки персональных данных

4.1. Детский сад осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных в соответствии с законодательством о персональных данных и локальными нормативными актами Детского сада.

4.2. Все персональные данные Детский сад получает от субъекта персональных данных, а в случаях, когда субъект персональных данных несовершеннолетний, – от его родителей (законных представителей).

4.3. Получение о обработку персональных данных, разрешенных субъектом персональных данных для распространения, Детский сад осуществляет с соблюдением запретов и условий, предусмотренных Законом.

4.4. Детский сад обрабатывает персональные данные:

• без использования средств автоматизации;
• с использованием средств автоматизации в программах и информационных системах: «1С: Зарплата и кадры», «1С: Библиотека».

Хранение персональных данных:

4.5.1. Детский сад хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.

4.5.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.

4.5.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в таком порядке и на условиях, чтобы исключить неправомерный или случайный доступ к ним, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия в отношении персональных данных.

4.6. Лица, ответственные за обработку персональных данных в Детском саду, прекращают их обрабатывать в следующих случаях:

• достигнуты цели обработки персональных данных;
• истек срок действия согласия на обработку персональных данных;
• отозвано согласие на обработку персональных данных;
• обработка персональных данных неправомерна.

4.7. Передача персональных данных:

4.7.1. Детский сад обеспечивает конфиденциальность персональных данных.

4.7.2. Детский сад передает персональные данные третьим лицам в следующих случаях:

• субъект персональных данных дал согласие на передачу своих данных;
• передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.

4.7.3. Детский сад не осуществляет трансграничную передачу персональных данных.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

5.1. В случае предоставления субъектом персональных данных, его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Детский сад актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта персональных данных.

5.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.

5.3. Уничтожение документов (носителей), содержащих персональные данные, производится в соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных, в том числе путем измельчения шредере, стирания или форматирования электронного носителя.

5.7. По запросу субъекта персональных данных или его законного представителя Детский сад сообщает ему информацию об обработке персональных данных субъекта в сроки и в порядке, установленном Законом.

4. Положение об обработке и защите персональных данных работников МДОУ ДС №23 "Гнездышко" г.Буденновска

1. Общие положения

1.1  Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников МДОУ ДС № 23  г. Будённовска (далее - МДОУ). Под работниками подразумеваются лица, имеющие трудовые отношения с МДОУ.

1.2 Цель настоящего Положения - защита персональных данных работников МДОУ от несанкционированного доступа. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3 Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.

1.4 Настоящее Положение и изменения к нему утверждаются заведующим и вводятся приказом по основной деятельности МДОУ. Все работники МДОУ должны быть ознакомлены под расписку с данным Положением и изменениями к нему.

2. Понятие и состав персональных данных

2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2  Состав персональных данных работника:

-  анкета;

-  автобиография;

-  образование;

-  сведения о трудовом и общем стаже;

-  сведения о предыдущем месте работы;

-  сведения о составе семьи;

-  паспортные данные;

-  сведения о воинском учете;

-  сведения о заработной плате сотрудника;

-  сведения о социальных льготах;

-  специальность;

-  занимаемая должность;

-  размер заработной платы;

-  наличие судимостей;

-  адрес места жительства;

-  домашний телефон;

-  место работы или учебы членов семьи и родственников;

-  содержание трудового договора;

-  содержание декларации, подаваемой в налоговую инспекцию;

-  подлинники и копии приказов по личному составу;

-  личные дела и трудовые книжки сотрудников;

-  основания к приказам по личному составу;

-  дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

-  копии отчетов, направляемые в органы статистики;

-  копии документов об образовании;

-  результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

-  фотографии и иные сведения, относящиеся к персональным данным работника.

2.3 Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

3. Обязанности работодателя

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

3.1.2. При определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом РФ и иными федеральными законами;

3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

3.1.4.  Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;

3.1.8. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны;

4. Обязанности работника

4.1. Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.

5. Права работника

5.1  На полную информацию о своих персональных данных и обработке этих данных;

5.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ;

5.3  Определение своих представителей для защиты своих персональных данных;

5.4  Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;

5.5  Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;

5.6  Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

5.7 Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

6. Сбор, обработка и хранение персональных данных

6.1. Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.5.  При поступлении на работу работник заполняет анкету и автобиографию.

6.5.1 Анкета представляет собой перечень вопросов о персональных данных работника.

6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах.

6.5.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.

6.5.4.  Автобиография составляется в произвольной форме, без помарок и исправлений.

6.5.5.  Анкета и автобиография работника храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.

6.5.6 Личное дело работника оформляется после издания приказа о приеме на работу.

6.5.7  Все документы личного дела подшиваются в обложку образца, установленного в организации. На ней указываются фамилия, имя отчество работника, номер личного дела.

6.5.8 К каждому личному делу прилагаются две фотографии работника размером 4 х 6.

6.5.9 Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.

6.5.10 Личное дело ведется на протяжении всей трудовой деятельности работника.  Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

7.  Передача персональных данных

7.1  При передаче персональных данных работника работодатель должен соблюдать следующие требования:

-       не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

-       не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

-       предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

-       разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

-       не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

-       передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

7. Доступ к персональным данным сотрудника

7.1.  Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным сотрудника имеют:

-  Заведующий;

-  делопроизводитель;

-  руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения) по согласованию с заведующим;

-  при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения  по согласованию с заведующим;

-  сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;

-  сам работник, носитель данных.

7.2. Внешний доступ.

К числу массовых потребителей персональных данных вне организации  можно отнести государственные и негосударственные функциональные структуры:

-       налоговые инспекции;

-       правоохранительные органы;

-       органы статистики;

-       страховые агентства;

-       военкоматы;

-       органы социального страхования;

-       пенсионные фонды;

-       подразделения муниципальных органов управления;

7.3. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника.

7.4.  Родственники и члены семей.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. 
В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).
                               8. Защита персональных данных работников

8.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками организации, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

8.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках организации.

8.3. Передача информации, содержащей сведения о персональных данных работников организации по телефону, факсу, электронной почте запрещается.

8.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

8.5.  Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

 9. Ответственность за разглашение информации, связанной с персональными данными работника.

9.1.  Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

5. Приказ "О назначении ответственного за организацию обработки персональных данных в МДОУ ДС № 23 г. Буденновска"

С целью организации обработки персональных данных вМДОУ ДС № 23 г. Буденновскав соответствии с пунктом 1 части 1 статьи 18.1 и части 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

 ПРИКАЗЫВАЮ:

 1.Заместителя заведующего по УВР, назначить ответственным за организацию обработки персональных данных

 2. Ответственному за организацию обработки персональных данных:

• контролировать соблюдение в МДОУ ДС № 23 законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
• разъяснять работникам МДОУ ДС № 23 г. Буденновска положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовать и контролировать прием и обработку обращений и запросов субъектов персональных данных и их представителей;
• обеспечить контроль условий сохранности персональных данных на материальных носителях.

 3. Контроль исполнения приказа оставляю за собой. 

Заведующий МДОУ ДС № 23                                                                      С.В. Головнева

6. Перечень должностей работников МДОУ ДС № 23 г. Буденновска, ответственных за проведение мероприятий по обезличиванию персональных данных.

1.Заведующий

2.Заместитель заведующего по УВР.

3.Делопроизводитель

4.Учитель-логопед

5.Педагог-психолог.

7. Обязательство о соблюдении режима конфиденциальности персональных данных

 Я,__________________________________________________________, добровольно принимаю на себя обязательства:

• не разглашать и не передавать третьим лицам персональные данные работников, воспитанников и их родителей (законных представителей), к которым я имею доступ в соответствии с трудовым договором, должностной инструкцией в связи с исполнением должностных обязанностей;
• не использовать конфиденциальные сведения о работниках, воспитанниках и их родителях (законных представителях) с целью получения выгоды. В случае попытки третьих лиц получить от меня конфиденциальные сведения сообщить об этом заведующемуМДОУ ДС № 23 г.Буденновска;
• выполнять требования законодательства РФ и локальных актовМДОУ ДС № 23 г.Буденновска, регламентирующих обработку персональных данных.

Мне известно, что в случае нарушения данного обязательства я буду привлечена кответственностив соответствии с законодательством РФ.

8. Приказ "О назначении ответственного за организацию обработки персональных данных в МДОУ ДС № 23 г. Буденновска"

С целью организации обработки персональных данных вМДОУ ДС № 23 г. Буденновскав соответствии с пунктом 1 части 1 статьи 18.1 и части 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

                                      

 ПРИКАЗЫВАЮ:

 1.Заместителя заведующего по УВР, назначить ответственным за организацию обработки персональных данных

 2. Ответственному за организацию обработки персональных данных:

• контролировать соблюдение в МДОУ ДС № 23 законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
• разъяснять работникам МДОУ ДС № 23 г. Буденновска положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовать и контролировать прием и обработку обращений и запросов субъектов персональных данных и их представителей;
• обеспечить контроль условий сохранности персональных данных на материальных носителях.

 3. Контроль исполнения приказа оставляю за собой. 

Заведующий МДОУ ДС № 23                                                                      С.В. Головнева

9. Согласие на обработку персональных данных

Я, __________________________________, предоставляя МДОУ ДС № 23 г. Буденновска, зарегистрированному поадресу: г.Буденновск, микрорайон 3, ОГРН 1022603224687, ИНН  2624022400, мои персональные данные о составе семьи(степень родства, Ф.И.О., год рождения) с целью заполнения соответствующего раздела в личной карточке работника (форма № Т-2), своей волей и в своих интересах выражаю согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение этих данных при обработке без использования и с использованием средств автоматизации.

 Настоящее согласие действует со дня его подписания и до дня отзыва в письменной форме

дата

Подпись                       ФИО

10. Примерный перечень документов по защите персональных данных в образовательном учреждении

№	Название документа
	Акт определения типа актуальных угроз защищенности информационных систем (далее – ИС) персональных данных
	Инструкция администратора безопасности ИС персональных данных
	Инструкция администратора ИС персональных данных
	Инструкция должностного лица, ответственного за организацию обработки персональных данных
	Инструкция по обеспечению безопасности персональных данных
	Инструкция педагогическому персоналу ОО по работе с персональными данными
	Модель угроз персональным данным (приложение 1 «Примерное содержание модели угроз персональным данным»)
	Отчет по инвентаризации ИС персональных данных
	Перечень должностей сотрудников ОО, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
	Перечень должностей сотрудников ОО, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным
	Перечень ИС персональных данных в ОО
	Перечень персональных данных, подлежащих защите в ОО
	Политика в отношении обработки персональных данных
	Положение по обеспечению безопасности персональных данных
	Порядок доступа в помещения ОО, в которых ведется обработка персональных данных
	Правила обработки персональных данных
	Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
	Правила работы с обезличенными персональными данными
	Правила рассмотрения запросов субъектов персональных данных или их представителей
	Приказ о вводе в действие документов, регламентирующих порядок обработки персональных данных
	Приказ о назначении комиссии по уничтожению материальных носителей информации, содержащих персональные данные
	Приказ о назначении ответственных за обработку персональных данных
	Приказ об организации защиты персональных данных
	Приказ об утверждении мест хранения материальных носителей персональных данных
	Приказ об утверждении плана мероприятий по защите персональных данных, обрабатываемых в ИС
	Приказ об утверждении форм журналов, используемых при обработке персональных данных, а также при эксплуатации технических средств защиты информации
	Протокол экспертной оценки вероятности реализации угроз
	Протокол экспертной оценки показателей опасности угроз
	Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в ИС ОО

11. Инструкция ответственного за организацию обработки персональных данных в МДОУ ДС№ 23 г. Буденновска

Термины и определения

1. Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
4. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.

1. Общие положения

Настоящая Инструкция определяет функции, права и ответственность ответственного за организацию обработки персональных данных (далее – Ответственный) в МДОУ ДС№ 23 г.Буденновска(далее – Учреждение).

1. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
2. Ответственный назначается приказом руководителемучреждения.
3. Ответственный непосредственно подчиняется руководителюучреждения.
4. На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.

2. Функциональные обязанности

1. Ответственный выполняет следующие функции:

• осуществляет внутренний контроль за соблюдением работниками, обрабатывающими ПДн в информационных системах персональных данных (далее – ИСПДн) и без использования средств автоматизации требований законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
• взаимодействует с уполномоченными органами государственной власти Российской Федерации, органами по аттестации, испытательными лабораториями по вопросам обработки и защиты ПДн (при проведении государственного контроля и надзора, аттестации, сертификации).
• актуализирует перечень должностей работников, имеющих доступ к обработке ПДн;
• актуализирует перечень работников, допущенных в помещения, в которых осуществляется обработка ПДн;
• доводит до сведения работников, обрабатывающих ПДн положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн, в том числе требований к защите ПДн;
• организовывает прием и обработку обращений и запросов субъектов ПДн или их представителей, чьи ПДн обрабатываются в Учреждении, или их представителей, и осуществляет контроль за приемом и обработкой таких обращений и запросов;
• разрабатывает и корректирует эксплуатационную документацию и организационно-распорядительные документы по защите ПДн.
• принимает участие в деятельности:
• по подготовке, пересмотру, уточнению локальных актов по защите информации;
• по аттестации объектов информатизации.

3. Права

1. Ответственный имеет право:

• требовать от работников, обрабатывающих ПДн, соблюдения установленной технологии обработки ПДн и выполнения инструкций по обеспечению безопасности информации;
• инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, уничтожения ПДн и технических средств, обрабатывающих ПДн;
• требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
• участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
• подавать свои предложения по, совершенствованию организационных и технических мер по защите ПДн.

4. Ответственность

1. На Ответственного возлагается персональная ответственность за качество выполняемых им функций по обеспечению защиты ПДн.
2. Ответственный несет ответственность по действующему законодательству Российской Федерации за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.

5. Срок действия и порядок внесения изменений

1. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
2. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
3. Изменения и дополнения в настоящую Инструкцию вносятся приказом руководителя Учреждения.

12. Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных МДОУ ДС№ 23 г.Буденновска.

1. Термины и определения

1. Доступность информации – свойство безопасности информации, при котором субъекты доступа, имеющие право доступа к информации в соответствии с локальными актами и законодательством Российской Федерации, могут беспрепятственно реализовывать данное право.
2. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
   • утрата услуг, оборудования или устройств;
   • системные сбои или перегрузки;
   • ошибки пользователей;
   • несоблюдение политики или рекомендаций по информационной безопасности;
   • нарушение физических мер защиты;
   • неконтролируемые изменения систем;
   • сбои программного обеспечения и отказы технических средств;
   • нарушение правил доступа.
4. Конфиденциальность информации – свойство безопасности информации, при котором доступ к информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.
5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
7. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
8. Целостность информации – свойство безопасности информации, при котором изменение информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.

2. Общие положения

1. Настоящая Инструкция определяет функции, обязанности и права ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – Ответственный) МДОУ ДС№  23 г.Буденновска(далее – Учреждение).
2. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
3. Ответственный назначается приказом руководителя Учреждения.
4. На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.

3. Функциональные обязанности

1. Ответственный выполняет следующие функции:
   1. Управляет доступом пользователей в ИСПДн;
   2. Управляет полномочиями пользователей в ИСПДн;
   3. Поддерживает установленные правила разграничения доступа в ИСПДн;
   4. Управляет (администрирует) системой защиты информации (далее – СиЗИ) ИСПДн:

• • управляет средствами защиты информации (далее – СЗИ)
  • управляет программным обеспечением СЗИ;
  • восстанавливает работоспособность СЗИ;
  • устанавливает обновления программного обеспечения СЗИ, выпускаемых разработчиками (производителями) СЗИ;
  • анализирует события в ИСПДн, связанные с защитой информации (события безопасности);
  • информирует пользователей об угрозах безопасности информации;
  • информирует пользователей о правилах эксплуатации СЗИ;
  • обучает пользователей работе со СЗИ;
  • управляет доступом к съемным машинным носителям информации, используемым в ИСПДн (определяет должностных лиц, имеющих доступ к съемным машинным носителям информации);
  • сопровождает функционирование СиЗИ в ходе ее эксплуатации;
  • поддерживает конфигурацию СиЗИ (структуру СиЗИ, состав, места установки и параметры настройки СЗИ, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на СиЗИ (поддержание базовой конфигурации СиЗИ);
  • определяет лиц, которым разрешены действия по внесению изменений в базовую конфигурацию СиЗИ;
  • управляет изменениями базовой конфигурации СиЗИ, в том числе:
  • определяет типы возможных изменений;
  • разрешает или отказывает во внесении изменений;
  • документирует действия по внесению изменений;
  • хранит данные об изменениях.

1. 5. Поддерживает конфигурацию ИСПДн (структуру ИСПДн, состав, места установки и параметры программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
   6. Анализирует потенциальные воздействия планируемых изменений в базовой конфигурации СиЗИ на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации и работоспособность ИСПДн;
   7. Определяет параметры настройки программного обеспечения, включая программное обеспечение СЗИ, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию ИСПДн и СиЗИ;
   8. Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее– Инциденты), и реагирует на них.
   9. Обнаруживает и идентифицирует Инциденты, в том числе:

• • отказы в обслуживании;
  • сбои (перезагрузки) в работе СЗИ;
  • нарушения правил разграничения доступа;
  • неправомерные действия по сбору информации;
  • иные события, приводящие к возникновению Инцидентов.

1. 10. Анализирует Инциденты, в том числе определяет источники и причины возникновения Инцидентов, а также оценивает их последствия;
   11. Планирует меры по устранению Инцидентов, в том числе:

• • по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
  • устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению Инцидентов.

1. 12. Планирует и принимает меры по предотвращению повторного возникновения Инцидентов.
   13. Контролирует обеспечение уровня защищенности ПДн, обрабатываемых в ИСПДн:

• • контролирует события безопасности и действия пользователей в ИСПДн;
  • контролирует (анализирует) уровень защищенности ПДн;
  • контролирует перемещение съемных машинных носителей информации за пределы контролируемой зоны лицами, которым оно необходимо для выполнения своих должностных обязанностей (функции);
  • анализирует и оценивает функционирование СиЗИИСПДн, включая выявление, анализ и устранение недостатков в функционировании СиЗИИСПДн;
  • выполняет периодический анализ изменения угроз безопасности ПДн в ИСПДн, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности ПДн;
  • документирует процедуры и результаты контроля (мониторинга) за обеспечением уровня защищенности ПДн, содержащихся в ИСПДн;
  • принимает решения по результатам контроля (мониторинга) за обеспечением уровня защищенности ПДн о доработке (модернизации) СиЗИИСПДн.

1. 14. Ведет учет:

• • используемых шифровальных (криптографических) СЗИ в ИСПДн, эксплуатационной и технической документации к ним;
  • съемных машинных носителей (при их наличии), используемых в ИСПДн для хранения и обработки ПДн.

1. 15. Обеспечивает защиту информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации:

• • обеспечивает архивирование информации, содержащейся в ИСПДн (архивирование должно осуществляться при необходимости дальнейшего использования);
  • обеспечивает уничтожение (стирание) данных и остаточной информации со съемных машинных носителей информации, при необходимости передачи съемного машинного носителя информации другому пользователю ИСПДн или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения;
  • при выводе из эксплуатации съемных машинных носителей информации, на которых осуществлялись хранение и обработка ПДн, осуществляет физическое уничтожение этих съемных машинных носителей информации.

4. Права

1. Ответственный имеет право:
   • требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований локальных нормативных актов и иной организационно-распорядительной документации по обеспечению безопасности ПДн;
   • инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи информации ограниченного доступа и технических средств, входящих в состав ИСПДн;
   • требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования СиЗИ;
   • участвовать в анализе ситуаций, касающихся функционирования СЗИ и расследования фактов несанкционированного доступа к ПДн;
   • подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.

5. Ответственность

1. Ответственному категорически запрещается:
   • использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
   • умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СЗИ, которые могут привести к инцидентам информационной безопасности.
2. На Ответственного возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты ПДн.
3. Ответственный несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.

6. Срок действия и порядок внесения изменений

1. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
2. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
3. Изменения и дополнения в настоящую Инструкцию вносятся приказом руководителя Учреждения.

13. Инструкция администратора информационных систем персональных данных МДОУ ДС № 23 г. Буденновска

1. Термины и определения

1. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
   • утрата услуг, оборудования или устройств;
   • системные сбои или перегрузки;
   • ошибки пользователей;
   • несоблюдение политики или рекомендаций по информационной безопасности;
   • нарушение физических мер защиты;
   • неконтролируемые изменения систем;
   • сбои программного обеспечения и отказы технических средств;
   • нарушение правил доступа.
3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
5. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.

2. Общие положения

1. Настоящая Инструкция определяет функции, обязанности и права администратора информационных систем персональных данных (далее – Администратор ИСПДн) МДОУ ДС № 23 г. Буденновска (далее – Учреждение).
2. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
3. Администратор ИСПДн назначается приказом заведующего Учреждения.
4. На время отсутствия (болезнь, отпуск, пр.) Администратора ИСПДн, его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.

3. Функциональные обязанности

1. Администратор ИСПДн выполняет следующие функции:

1. Управляет параметрами ИСПДн:
   • управляет заведением и удалением учетных записей пользователей;
   • управляет полномочиями пользователей;
   • поддерживает правила разграничения доступа;
   • управляет параметрами настройки программного обеспечения;
   • управляет учетными записями пользователей программных средств обработки ПДн;
   • оказывает помощь в смене и восстановлению паролей;
   • управляет установкой обновлений программного обеспечения;
   • регистрирует события в ИСПДн, связанные с защитой ПДн (события безопасности);
   • поддерживает конфигурацию ИСПДн (структуру ИСПДн, состава, мест установки и параметров программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
   • восстанавливает работоспособность программного обеспечения и технических средств ИСПДн.
2. Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности ПДн:
   • отказы в обслуживании;
   • сбои (перезагрузки) в работе технических средств и программного обеспечения;
   • нарушения правил разграничения доступа;
   • неправомерные действия по сбору ПДн;
   • иные события, приводящие к возникновению инцидентов.
3. Своевременно информирует ответственного за обеспечение безопасности ПДн в ИСПДн, о возникновении инцидентов в ИСПДн;
4. Принимает меры по устранению инцидентов, в том числе:
   • по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
   • по устранению последствий нарушения правил разграничения доступа, несанкционированного доступа к ПДн, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов.
5. Ведет учет пользователей ИСПДн;
6. Принимает участие в деятельности по:
   • подготовке, пересмотру, уточнению локальных актов по защите ПДн;
   • аттестации объектов информатизации.

4. Права

1. Администратор ИСПДн имеет право:
   • требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований инструкций по обеспечению безопасности ПДн;
   • инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи защищаемых ПДн и технических средств, входящих в состав ИСПДн;
   • требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования системы защиты ПДн;
   • участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
   • подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.

5. Ответственность

1. Администратору ИСПДн категорически запрещается:
   • использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
   • умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к инцидентам информационной безопасности.
2. На Администратора ИСПДн возлагается персональная ответственность за качество проводимых им работ по обеспечению бесперебойного и стабильного функционирования ИСПДн.
3. Администратор несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.

6. Срок действия и порядок внесения изменений

1. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
2. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
3. Изменения и дополнения в настоящую Инструкцию вносятся приказом руководителя Учреждения.