Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных

Приказы по МБОУ "Баклановская СОШ"

Обязательство о неразглашении персональных данных

Положение о работе с персональными данными работников и обучающихся МБОУ "Баклановская СОШ"

Согласие работника на обработку персональных данных

Инструкция по проведению мониторинга информационной безопасности и антивирусного контроля

Инструкция пользователя при обработке персональных данных на объектах вычислительной техники

Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные 

Лист согласия на обработку персональных данных обучающегося

Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей организации. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации. В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного - контроль за соблюдением требований по защите.
На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации. 

Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).
После этого необходимо определиться с целями обработки каждого вида персональных данных. 
Целями могут быть: 
- обеспечение трудовых взаимоотношений (для персональных сотрудников); 
- обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях); 
- исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»). 
Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане». 
Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме").
Согласие в письменной форме требуется в следующих случаях:
- обрабатываются специальные категории персональных данных
- обрабатываются биометрические персональные данные
- будет осуществляться трансграничная передача персональных данных
Согласие субъекта не требуется в случаях: 
- обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса); 
- персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда). 
На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный. 
Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.
Автоматизированная обработка (или обработка в информационных системах персональных данных - ИСПДн) предполагает использование компьютера. 

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение. 
Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях: 
- Обрабатываются только персональные данные сотрудников.
- Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор). 
- Обрабатываются только персональные данные членов общественного объединения или религиозной организации. 
- Обрабатываются общедоступные персональные данные. 
- Персональные данные используются только для однократного пропуска на территорию организации. 
- Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества. 
- Персональные данные обрабатываются без использования средств автоматизации. 
- Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных. 
- Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности
Уведомление отправляется в электронном виде и дублируется в бумажном виде с подписью руководителя и печатью. 
Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту. 
Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.

Перечень персональных данных, разрешённых к обработке без уведомления субъекта персональных данных

фамbлия, имя, отчество; 
место рождения; 
число, месяц, год рождения; 
адрес; 
сведения о профессии; 
сведения о трудовом и общем стаже; 
абонентский номер; 
персональные данные, связанные с заключением договора (если эти данные не распространяются и не передаются третьим лицам); 
персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации; 
персональные данные, включённые в информационные системы персональных данных, имеющие статус федеральных автоматизированных информационных систем; 
персональные данные, включённые в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 
персональные данные, необходимые для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных не возможно; 
персональные данные, необходимые для осуществления статистических или иных научных целей при условии обязательного обезличивания этих данных; 
персональные данные для научной, литературной или иной творческой деятельности, при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 
персональные данные для защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства; 
персональные данные для медико-профилактических целей, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять медицинскую тайну; 
персональные данные, необходимые для осуществления правосудия; 
персональные данные, необходимые для осуществления оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ; 
персональные данные для их трансграничной передачи при условии, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. 
персональные данные в оценочных ведомостях (если такие есть); 
персональные данные в денежных ведомостях сотрудников; 
персональные данные для отправки почтовых сообщений; 
персональные данные, предоставленные добровольно для обработки субъектом персональных данных; 
сведения о предыдущем месте работы;
сведения о заработной плате сотрудника;
сведения о социальных льготах;
специальность;
занимаемая должность;

содержание декларации, подаваемой в налоговую инспекцию;

Перечень персональных данных, подлежащих защите

паспортные данные;
сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность (автобиография);
сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
сведения, которые характеризуют физиологические особенности субъекта персональных данных и на основе которых можно установить его личность;
данные обязательного медицинского страхования;
данные ИНН;
данные обязательного пенсионного страхования;
общие списки сотрудников;
персональные данные лиц, сдавших или сдающих единый государственный экзамен;
персональные данные о результатах единого государственного экзамена до их утверждения в установленном порядке;
персональные данные, содержащиеся в личных делах соискателей учёных степеней и званий, аспирантов, докторантов;
персональные данные, содержащиеся в личных делах субъектов персональных данных;
трудовые книжки;
персональные данные, содержащиеся в документах об образовании;
персональные данные, содержащиеся в архиве;
фотографии и иные сведения, относящиеся к персональным данным;
место работы или учебы членов семьи и родственников;
дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
подлинники и копии приказов по личному составу;
основания к приказам по личному составу;

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Приказ о назначении администратора безопасности информационных систем персональных данных 
Основная задача администратора безопасности - обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.

2. Приказ «О проведении работ по защите персональных данных» 
Приказ вводит в действие документы по защите персональных данных, приведенные ниже.

3. Политика информационной безопасности 
Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.

4. Положение по защите персональных данных 
Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных

5. Положение об обработке персональных данных работников 
Определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.

6. План мероприятий по внутреннему контролю за соблюдением безопасности персональных данных 
Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.

7. Перечень персональных данных 
Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.

8. Инструкция по обработке персональных данных без использования средств автоматизации 
В инструкции приведены особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности.

9. Приказ о создании комиссии для проведения классификации 
Данным приказом назначается комиссия для проведения классификации информационных систем персональных данных организации. 

10. Положение о комиссии по классификации информационных систем персональных данных 
Определяет функции, права, обязанности и порядок работы Комиссии по классификации. 

11. Акт классификации информационных систем персональных данных 
Составляется комиссией по классификации. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников. Приказ о создании комиссии вы найдете ниже. 

12. Положение о разграничении прав доступа к персональным данным 
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным. На стр.4 необходимо указать ФИО и должности сотрудников, имеющих доступ к персональным данным, а также системного администратора.

13. Инструкция по работе с обращениями субъектов персональных данных 
Определяет порядок реагирования на обращения субъектов персональных данных. В приложениях есть формы запросов, заявок и уведомлений.

14. Инструкция администратора безопасности информационной системы персональных данных 
Определяет обязанности и полномочия администратора информационной безопасности

15. Инструкция пользователя информационной системы персональных данных 
Определяет обязанности и полномочия пользователей ИСПДн

16. Инструкция по обеспечению безопасности рабочих мест обработки персональных данных 
Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных

17. Порядок резервирования и восстановления работоспособности 
Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн

18. Инструкция по работе со съемными носителями, содержащими персональные данные 
Определяет порядок работы со съемными носителями персональных данных

19. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных 
Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных
СЛЕДУЕТ УЧИТЫ