1.3.5. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.6. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.3.7. Обработка персональных данных без использования средств автоматизации (далее – Неавтоматизированный способ) – действия с персональными данными, такие как сбор, систематизация, накопление, хранение, использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.3.8. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.3.9. Оператор – ДОУ, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.3.10. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.3.11. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.3.12. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
1.3.13. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. Порядок обработки персональных данных
2.1. Обработка персональных данных в Информационных системах ДОУ должна осуществляться на основе принципов:
– законности целей и способов обработки персональных данных и добросовестности;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Обработка персональных данных в Информационных системах ДОУ может осуществляться оператором с письменного согласия субъектов персональных данных, за исключением следующих случаев, когда такого согласия не требуется, если:
– обработка персональных данных осуществляется на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
– обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
2.3. Обработка оператором специальных категорий персональных данных в Информационных системах ДОУ допускается если:
– субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта
персональных данных невозможно;
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
2.4. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2.5. Оператор, получающий доступ к персональным данным, должен обеспечивать конфиденциальность таких данных, за исключением случаев:
– в случае обезличивания персональных данных;
– в отношении общедоступных персональных данных.
2.6. Обработка персональных данных в Информационных системах ДОУ осуществляется только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами, которыми предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2.7. Письменное согласие субъекта персональных данных на обработку своих персональных данных в Информационных системах ДОУ должно включать в себя:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
2.8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных в Информационных системах ДОУ обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в Информационных системах ДОУ дает в письменной форме законный представитель субъекта персональных данных.
2.10. В случае смерти субъекта персональных данных согласие на обработку его персональных данных в Информационных системах ДОУ дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2.11. Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных в Информационных системах ДОУ, а оператор обязан их предоставить в соответствии со статьями 14 и 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Меры по обеспечению безопасности персональных данных при их обработке
3.1. Безопасность персональных данных, обрабатываемых в Информационных системах ДОУ, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
3.2. Для обеспечения безопасности персональных данных при их обработке в Информационных системах ДОУ осуществляется защита:
– информации, обрабатываемой с использованием технических средств;
– информации, содержащейся на бумажной, магнитной, магнитно-оптической и иной основе (носителях).
3.3. Работы по обеспечению безопасности персональных данных при их обработке в Информационных системах ДОУ являются неотъемлемой частью работ по созданию Информационных систем.
3.4. Информационные системы ДОУ классифицируются оператором. Проведение классификации Информационных систем определено Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерством информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20.
3.5. Обмен персональными данными при их обработке в Информационных системах ДОУ осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических и программных средств.
3.6. Размещение Информационных систем ДОУ, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
3.7. Безопасность персональных данных при их обработке в Информационных системах ДОУ обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее – Уполномоченное лицо). Существенным условием договора является обязанность Уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
3.8. При обработке персональных данных в Информационных системах ДОУ безопасность обеспечивается:
– проведением мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
– своевременным обнаружением фактов несанкционированного доступа к персональным данным;
– недопущением воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
– возможностью незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– постоянным контролем за обеспечением уровня защищенности персональных данных.
3.9. Защита персональных данных, обрабатываемая в Информационных системах ДОУ, обеспечивается за счет средств ДОУ в порядке, установленном федеральными законами.
3.10. Доступ сотрудников ДОУ к персональным данным, обрабатываемым в Информационных системах ДОУ, для выполнения своих должностных обязанностей производится к соответствующим персональным данным на основании списка, утвержденного оператором.
4. Особенности обработки персональных данных, осуществляемых без использования средств автоматизации
4.1. Персональные данные при их обработке, осуществляемой Неавтоматизированным способом, должны обособляться от иной информации, фиксацией их на отдельных материальных носителях персональных данных (далее – Материальные носители), в специальных разделах книг (журналов) или на полях форм (бланков).
4.2. При фиксации персональных данных на Материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой Неавтоматизированным способом, для каждой категории персональных данных должен использоваться отдельный Материальный носитель.
4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – Типовая форма), должны соблюдаться следующие условия:
4.3.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
– сведения о цели обработки персональных данных, осуществляемой Неавтоматизированным способом;
– имя (наименование) и адрес оператора;
– фамилию, имя, отчество и адрес субъекта персональных данных;
– источник получения персональных данных;
– сроки обработки персональных данных;
– перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
– общее описание используемых оператором способов обработки персональных данных.
4.3.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую Неавтоматизированным способом.
4.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
4.3.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.4. При несовместимости целей обработки персональных данных, зафиксированных на одном Материальном носителе, если Материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных:
4.4.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же Материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
4.4.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется Материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.5. Уничтожение или обезличивание части персональных данных, если это допускается Материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.6. Правила, предусмотренные пунктами 4.4 и 4.5 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном Материальном носителе персональных данных и информации, не являющейся персональными данными.
4.7. Уточнение персональных данных при осуществлении их обработки
Неавтоматизированным способом производится путем обновления или изменения данных на Материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
4.8. Обработка персональных данных, осуществляемая Неавтоматизированным способом, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (Материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.9. Необходимо обеспечивать раздельное хранение персональных данных (Материальных носителей), обработка которых осуществляется в различных целях.
5. Обязанности лиц, имеющих доступ к персональным данным
5.1. Ответственность за обеспечение безопасности персональных данных и надлежащий режим работы Информационных систем ДОУ возлагается на руководителя ДОУ.
5.2. В своей работе сотрудники ДОУ, допущенные к обработке персональных данных в Информационных системах ДОУ, должны руководствоваться требованиями федеральных законов, нормативно-правовых документов Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации, а также настоящим Положением и инструкцией пользователя по защите персональных данных, обрабатываемых в Информационных системах.
5.3. В должностные инструкции сотрудников ДОУ, уполномоченных на обработку персональных данных в Информационных системах ДОУ, должны быть внесены обязанности о необходимости выполнения требований по обеспечению безопасности обрабатываемых ими персональных данных.
5.4. Ответственный за обеспечение безопасности персональных данных в Школе руководствуется в своей деятельности инструкцией ответственного за обеспечение безопасности персональных данных, обрабатываемых в Информационных системах ДОУ.
5.5. При обнаружении нарушений порядка предоставления персональных данных, обрабатываемых в Информационных системах ДОУ, оператор незамедлительно приостанавливает предоставление персональных данных пользователям Информационных систем ДОУ до выявления причин нарушений и устранения этих причин.
5.6. За нарушение норм настоящего Положения, а также федеральных законов, регламентирующих порядок обработки и обеспечения безопасности персональных данных, сотрудники ДОУ, допущенные к работе с персональными данными в Информационных системах ДОУ, несут гражданско-правовую, административную, уголовную и дисциплинарную ответственность в соответствии с действующим законодательством.