Полное наименование: 
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
Приказы по МБОУ "Баклановская СОШ"
Обязательство о неразглашении персональных данных
Положение о работе с персональными данными работников и обучающихся МБОУ "Баклановская СОШ"
Согласие работника на обработку персональных данных
Инструкция по проведению мониторинга информационной безопасности и антивирусного контроля
Инструкция пользователя при обработке персональных данных на объектах вычислительной техники
Лист согласия на обработку персональных данных обучающегося
Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей организации. С чего же начать?!
В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации. В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного - контроль за соблюдением требований по защите.
На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.
Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).
После этого необходимо определиться с целями обработки каждого вида персональных данных.
Целями могут быть:
- обеспечение трудовых взаимоотношений (для персональных сотрудников);
- обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);
- исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).
Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».
Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме").
Согласие в письменной форме требуется в следующих случаях:
- обрабатываются специальные категории персональных данных
- обрабатываются биометрические персональные данные
- будет осуществляться трансграничная передача персональных данных
Согласие субъекта не требуется в случаях:
- обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);
- персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).
На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.
Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.
Автоматизированная обработка (или обработка в информационных системах персональных данных - ИСПДн) предполагает использование компьютера.
Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.
Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях:
- Обрабатываются только персональные данные сотрудников.
- Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).
- Обрабатываются только персональные данные членов общественного объединения или религиозной организации.
- Обрабатываются общедоступные персональные данные.
- Персональные данные используются только для однократного пропуска на территорию организации.
- Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.
- Персональные данные обрабатываются без использования средств автоматизации.
- Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.
- Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности
Уведомление отправляется в электронном виде и дублируется в бумажном виде с подписью руководителя и печатью.
Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.
Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.
Перечень персональных данных, разрешённых к обработке без уведомления субъекта персональных данных
место рождения;
число, месяц, год рождения;
адрес;
сведения о профессии;
сведения о трудовом и общем стаже;
абонентский номер;
персональные данные, связанные с заключением договора (если эти данные не распространяются и не передаются третьим лицам);
персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации;
персональные данные, включённые в информационные системы персональных данных, имеющие статус федеральных автоматизированных информационных систем;
персональные данные, включённые в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
персональные данные, необходимые для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных не возможно;
персональные данные, необходимые для осуществления статистических или иных научных целей при условии обязательного обезличивания этих данных;
персональные данные для научной, литературной или иной творческой деятельности, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
персональные данные для защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
персональные данные для медико-профилактических целей, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять медицинскую тайну;
персональные данные, необходимые для осуществления правосудия;
персональные данные, необходимые для осуществления оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;
персональные данные для их трансграничной передачи при условии, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
персональные данные в оценочных ведомостях (если такие есть);
персональные данные в денежных ведомостях сотрудников;
персональные данные для отправки почтовых сообщений;
персональные данные, предоставленные добровольно для обработки субъектом персональных данных;
сведения о предыдущем месте работы;
сведения о заработной плате сотрудника;
сведения о социальных льготах;
специальность;
занимаемая должность;
содержание декларации, подаваемой в налоговую инспекцию;
Перечень персональных данных, подлежащих защите
сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность (автобиография);
сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
сведения, которые характеризуют физиологические особенности субъекта персональных данных и на основе которых можно установить его личность;
данные обязательного медицинского страхования;
данные ИНН;
данные обязательного пенсионного страхования;
общие списки сотрудников;
персональные данные лиц, сдавших или сдающих единый государственный экзамен;
персональные данные о результатах единого государственного экзамена до их утверждения в установленном порядке;
персональные данные, содержащиеся в личных делах соискателей учёных степеней и званий, аспирантов, докторантов;
персональные данные, содержащиеся в личных делах субъектов персональных данных;
трудовые книжки;
персональные данные, содержащиеся в документах об образовании;
персональные данные, содержащиеся в архиве;
фотографии и иные сведения, относящиеся к персональным данным;
место работы или учебы членов семьи и родственников;
дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
подлинники и копии приказов по личному составу;
основания к приказам по личному составу;
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Приказ о назначении администратора безопасности информационных систем персональных данных
Основная задача администратора безопасности - обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.
2. Приказ «О проведении работ по защите персональных данных»
Приказ вводит в действие документы по защите персональных данных, приведенные ниже.
3. Политика информационной безопасности
Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.
4. Положение по защите персональных данных
Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных
5. Положение об обработке персональных данных работников
Определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.
6. План мероприятий по внутреннему контролю за соблюдением безопасности персональных данных
Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.
7. Перечень персональных данных
Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.
8. Инструкция по обработке персональных данных без использования средств автоматизации
В инструкции приведены особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности.
9. Приказ о создании комиссии для проведения классификации
Данным приказом назначается комиссия для проведения классификации информационных систем персональных данных организации.
10. Положение о комиссии по классификации информационных систем персональных данных
Определяет функции, права, обязанности и порядок работы Комиссии по классификации.
11. Акт классификации информационных систем персональных данных
Составляется комиссией по классификации. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников. Приказ о создании комиссии вы найдете ниже.
12. Положение о разграничении прав доступа к персональным данным
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным. На стр.4 необходимо указать ФИО и должности сотрудников, имеющих доступ к персональным данным, а также системного администратора.
13. Инструкция по работе с обращениями субъектов персональных данных
Определяет порядок реагирования на обращения субъектов персональных данных. В приложениях есть формы запросов, заявок и уведомлений.
14. Инструкция администратора безопасности информационной системы персональных данных
Определяет обязанности и полномочия администратора информационной безопасности
15. Инструкция пользователя информационной системы персональных данных
Определяет обязанности и полномочия пользователей ИСПДн
16. Инструкция по обеспечению безопасности рабочих мест обработки персональных данных
Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных
17. Порядок резервирования и восстановления работоспособности
Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн
18. Инструкция по работе со съемными носителями, содержащими персональные данные
Определяет порядок работы со съемными носителями персональных данных
19. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных
20. Инструкция о порядке проведения разбирательств по фактам нарушений
Инструкция определяет порядок проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных
21. Описание технологического процесса обработки персональных данных
Описывает порядок обработки персональных данных в организации.
22. Журнал антивирусных проверок
Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки серверов и рабочих мест информационной системы.
23. Журнал учета логинов
Журнал заполняется администратором безопасности. В нем указываются логины, присвоенные каждому сотруднику, имеющему доступ к информационной системе.
24. Журнал учета обращений субъектов
В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них.
25. Журнал учета СЗИ
Журнал заполняется администратором безопасности. В нем фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты.
26. Журнал учета съемных носителей
Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.
27. Приказ о контролируемой зоне
Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Все элементы ИСПДн должны располагаться в пределах контролируемой зоны.
28. Электронный журнал обращений за персональными данными.
СЛЕДУЕТ УЧИТЫВАТЬ СЛЕДУЮЩЕЕ:
Приобретение любых готовых документов не заменяет и не отменяет проведения всего комплекса работ по защите персональных данных и обеспечению соответствия требованиям законодательства (а служит лишь вспомогательным средством для квалифицированного разработчика документации)
Не существует четко определенного и утвержденного регуляторами списка необходимых документов по персональным данным, однако существуют потребности конкретной организации – оператора персональных данных и сложившаяся практика проведения работ в данной области
Никакие документы сами по себе не могут служить гарантией успешного прохождения любых проверок со стороны регуляторов
Любые документы могут содержать ошибки, опечатки и несоответствия, быть неполны или избыточны
Любые документы (типовые или разработанные специально под вас) в дальнейшем потребуют доработки и переработки в соответствии с жизненным циклом системной документации
Наши координаты:
МБОУ «Баклановская средняя общеобразовательная школа»
461912,
Оренбургская область, Сорочинский район, с. Баклановка, ул. Молодежная, д. 16.
Тел.: 8 (35346) 2-54-45
Школьный сайт: http://baklanovka.ucoz.ru/index/0-4- страница на сайте администрации МО Баклановский сельсовет.
Эл.почта: b_school@mail.ru (школьная), olgaslyadneva@gmail.com (директор).
Всего: 491 
Новых за месяц: 0 
Девушек: 205
