Версия для печати
Среда, 21 Январь 2015 15:22

Инструкция 1 «Перечень мероприятий по обеспечению безопасности персональных данных при неавтоматизированной обработке персональных данных»

Автор
Оцените материал
(0 голосов)

1          Область применения инструкции

Данная инструкция применяется для МБОУ СОШ № 5, которое производит неавтоматизированную обработку персональных данных.

Инструкция содержит перечень мероприятий, необходимых для обеспечения безопасности персональных данных при их неавтоматизированной обработке.

Согласно Закону, персональные данные (ПДн) – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К персональных данным относятся: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация о субъекте персональных данных.

Неавтоматизированной обработкой называется обработка без использования средств автоматизации. Обычно неавтоматизированная обработка производится на неэлектронном (нецифровом) носителе (бумаге).

Неавтоматизированная обработка регулируется Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Неавтоматизированная обработка используются при ведении следующих видов документов:

-        различные виды бумажных журналов (классный журнал, учет посетителей и т.п.);

-        личные дела сотрудников;

-        личные дела учащихся;

-        различные виды книг (алфавитная книга записи учащихся, книга движения учащихся, книга выдачи аттестатов).

Пример неавтоматизированной обработки: классный журнал, в котором, кроме данных об учащихся, указаны сведения о родителях (ФИО, контактный телефон). 

 

2          Общие рекомендации по обеспечению безопасности персональных данных

Алгоритм обеспечения защиты персональных данных при неавтоматизированной обработке должен включать следующие этапы:

-        описание всех процессов неавтоматизированной обработки (описание процессов приведено ниже). Для каждого процесса неавтоматизированной обработки устанавливаются цели обработки. При проверке Роскомнадзора из этих описаний должно быть видно, что ведется только неавтоматизированная обработка персональных данных;

-        определение перечня лиц, участвующих в обработке. Сотрудников, обрабатывающих персональные данные, необходимо ознакомить с правилами обработки персональных данных. Они должны подписать соглашение о неразглашении персональных данных. Важно: необходимо предупредить сотрудников о том, что категорически запрещается хранить персональные данные, позволяющие идентифицировать субъектов персональных данных, на личных компьютерах. При этом на личном компьютере не запрещается обрабатывать обезличенные персональные данные, например, ФИО учащегося и его год рождения;

-        получение согласия на обработку персональных данных от субъектов (сотрудников, учащихся и их родителей (законных представителей)). От сотрудников согласие берётся при устройстве на работу. Согласие за несовершеннолетних учащихся дают их родители (законные представители). Такое согласие должно быть оговорено в договоре или в заявлении на обучение. Если в договоре или заявлении на обучение отсутствует предупреждение об обработке персональных данных, оформляется Согласие субъекта на обработку персональных данных или Согласие законного представителя на обработку персональных данных. Если обрабатываемые персональные данные являются обезличенными, то согласие от субъекта не требуется. Эти согласия предъявляются Роскомнадзору при проверках.

В школе можно выделить следующие основные процессы неавтоматизированной обработки персональных данных.

2.1        Процесс ведения кадрового учёта

При оформлении сотрудника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные сотрудника:

-        общие сведения (ФИО, дата и место рождения, гражданство, образование, профессия, стаж работы, семейное положение, паспортные данные);

-        сведения о воинском учете;

-        данные о приеме на работу.

В дальнейшем в личную карточку вносятся:

-        сведения о переводах на другую работу;

-        сведения об аттестации;

-        сведения о повышении квалификации;

-        сведения о профессиональной переподготовке;

-        сведения о наградах (поощрениях), почетных званиях;

-        сведения об отпусках;

-        сведения о социальных гарантиях;

-        сведения об изменениях места жительства и контактных телефонов.

Для получения персональных данных по форме Т-2 требуется письменное согласие принимаемого на работу физического лица.

Целью процесса ведения кадрового учёта является организационно-документационное обеспечение кадровой работы в общеобразовательных учреждениях, а также выполнение требований Трудового Кодекса Российской Федерации.

Обработка личных дел сотрудников производится на бумажных носителях.

Обработка производится сотрудниками отдела кадров.

Все бумажные носители, содержащие персональные данные сотрудников и имеющие отношение к кадровому учёту, должны храниться в отделе кадров в сейфе или несгораемом шкафу.

2.2        Процесс обеспечения образовательной деятельности

2.2.1      Ведение классного журнала

Классный журнал – государственный документ установленного образца.

Для ведения классного журнала необходимы следующие персональные данные учащихся и их родителей (законных представителей): 

-        ФИО учащегося;

-        номер личного дела учащегося;

-        ФИО родителей (законных представителей);

-        контактный телефон родителей (законных представителей).

Другие персональные данные в классных журналах хранить не рекомендуется.

Обработка классного журнала производится на бумажных носителях.

Обработка классного журнала производится сотрудниками.

Хранить классные журналы должны в учительской.

Важно: В классном журнале могут храниться данные о группе здоровья, однако другие сведения о состоянии здоровья заносить в классный журнал не рекомендуется.

2.2.2      Личное дело учащегося

Личное дело учащегося в образовательном учреждении заводится на каждого учащегося с момента его поступления и ведется до окончания обучения. В личное дело учащегося заносятся общие сведения об учащемся, итоговые оценки успеваемости по классам и записи о наградах.

Для ведения личного дела необходимо получение заявления от родителей (законных представителей).

К заявлению о приеме прилагаются следующие документы:

-        медицинская карта учащегося (Форма № 026/у-2000, утвержденная приказом Министерства здравоохранения Российской Федерации от 3 июля 2000 года № 241);

-        справки с мест работы родителей (законных представителей);

-        адрес учащегося;

-        копия свидетельства о рождении учащегося.

В личное дело учащегося заносятся следующие персональные данные:

-        ФИО учащегося;

-        дата рождения учащегося;

-        место рождения учащегося

-        сведения о здоровье учащегося;

-        ФИО родителей (законных представителей);

-        сведения о работе родителей (законных представителей);

-        контактный телефон родителей (законных представителей).

Обработка производится на бумажных носителях.

Личные дела учащихся должны храниться в канцелярии или кабинете директора в сейфе или несгораемом шкафу.

2.2.3      Алфавитная книга записи учащихся

Алфавитная книга записи учащихся содержит данные обо всех учащихся образовательного учреждения. Ежегодно в нее заносятся сведения об учащихся нового приема.

Фамилии учащихся заносятся в список в алфавитном порядке независимо от классов, в которых они учатся. Для каждой буквы алфавита отводятся отдельные страницы, и по каждой букве ведется своя порядковая нумерация. Порядковый номер записи учащихся в книге является одновременно номером его личного дела.

В алфавитную книгу записи учащихся заносятся следующие персональные данные учащихся:

-        ФИО учащегося;

-        адрес учащегося;

-        табельный номер учащегося.

Обработка производится на бумажных носителях.

Алфавитная книга записи учащихся должна храниться в канцелярии или кабинете директора в сейфе или несгораемом шкафу.

2.2.4      Книга движения учащихся

В книге движения учащихся фиксируется выбытие учащихся и окончание ими образовательного учреждения. Одновременно в алфавитной книге делается запись: номер и дата приказа, указывается причина выбытия.

Если ранее выбывший из образовательного учреждения учащийся снова возвратится в него, то данные о нем (ФИО) записываются как о вновь поступившем.

Обработка производится на бумажных носителях.

Книга движения учащихся должна храниться в канцелярии или кабинете директора в сейфе или несгораемом шкафу.

2.2.5      Книга выдачи аттестатов

В книге выдачи аттестатов об основном общем образовании фиксируется решение педагогического совета о выдаче соответствующего аттестата. В книге выдачи аттестатов содержится следующий перечень персональных данных учащегося:

-        ФИО учащегося;

-        дата рождения учащегося;

-        место рождения учащегося.

Обработка производится на бумажных носителях.

Книга выдачи аттестатов должна храниться в канцелярии или кабинете директора в сейфе или несгораемом шкафу.

2.3        Процесс медицинского обслуживания

В процессе медицинского обслуживания оформляются медицинские карты учащихся (либо иные документы, содержащие подобные сведения об учащихся).

В медицинской карте указываются следующие персональные данные:

-        ФИО учащегося;

-        дата рождения учащегося;

-        место рождения;

-        данные о состоянии здоровья учащегося.

Обработка производится на бумажных носителях.

Медицинские документы должны храниться в медицинском кабинете в сейфе или несгораемом шкафу.

Важно: если данные о состоянии здоровье учащегося Гимназии обрабатываются сотрудником медицинского учреждения, а не работником самой Гимназии, в таком случае ответственность за обработку персональных данных снимается с образовательного учреждения.

3          Нормативно-организационная документация

В соответствие с Постановлением Правительства Российской Федерации № 687 необходимо, чтобы в МБОУ СОШ № 5, производящем неавтоматизированную обработку персональных данных, была создана следующая нормативно-организационная документация.

3.1        Согласие на обработку персональных данных

В соответствии с Законом от субъектов (сотрудников, учащихся и их родителей (законных представителей)) необходимо получать согласие на обработку персональных данных.

От сотрудников согласие берётся при устройстве на работу. В таком случае оформляется Согласие сотрудника на обработку персональных данных.

Согласие за несовершеннолетних учащихся дают их родители (законные представители). Такое согласие должно быть оговорено в договоре или в заявлении на обучение. Если в договоре или заявлении на обучение отсутствует предупреждение об обработке персональных данных, оформляется Согласие субъекта на обработку персональных данных или Согласие законного представителя на обработку персональных данных.

Если обрабатываемые персональные данные являются обезличенными, то согласие от субъекта не требуется.

3.2        Соглашение о неразглашении персональных данных

При осуществлении обработки персональных данных сотрудники обязаны подписывать соглашение о неразглашении персональных данных. При этом важно, чтобы соглашение подписывали все сотрудники, поскольку даже те, кто не имеет доступ к персональным данным, могут в процессе выполнения служебных обязанностей непреднамеренно ознакомиться с ними.

3.3        Договор о поручении обработки персональных данных третьим лицам

Договор о поручении обработки персональных данных третьим лицам составляется в случае, если школа поручает обработку персональных данных третьим лицам (например, Департаменту образования, медицинскому учреждению и т.д.).

Договор о поручении обработки персональных данных третьим лицам определяет обязанности сторон при передаче персональных данных школой третьей стороне. Между сторонами может быть заключен как отдельный договор, так и внесены дополнения в уже существующие договора, так и заключено дополнительное соглашение.

3.4         Бланки

Бланки в школе заполняются в случае необходимости, как то: ответ на запрос о предоставлении сведений, отказы в предоставлении сведений, уведомления.

С помощью одного из бланков уведомления необходимо уведомить субъекта персональных данных об уничтожении его персональных данных (Бланк уведомления о завершении обработки персональных данных).

Важно: Уничтожение персональных данных, позволяющих определить субъекта персональных данных, производится по достижении целей обработки, в случае утраты необходимости в достижении целей, по письменному заявлению субъекта персональных данных или по истечению срока обработки персональных данных.

3.5        Журналы

Журнал учета обращений уполномоченного органа и Журнал учета обращений субъектов персональных данных в школе заполняются в случае необходимости ответственными сотрудниками. 

 

Прочитано 388 раз
School secretary

Последнее от School secretary

Похожие материалы (по тегу)

Авторизуйтесь, чтобы получить возможность оставлять комментарии