Уважаемые родители и сотрудники МБДОУ детского сада №1 «Василёк»!
27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В настоящее время проблема защиты персональных данных является актуальной.
Закон вступил в силу 1 июля 2011 года.
МБДОУ № 1 является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей) детского сада, а также физических лиц, состоящих в иных договорных отношениях с МБДОУ №1.
Сейчас в нашем Учреждении собираются, хранятся, обрабатывается, предаются в вышестоящие инстанции персональные данные сотрудников, детей. Поэтому необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных. Действие закона распространяется не только на бумажные носители, но и на электронные средства, такие как автоматизированные информационные системы и электронные базы данных.
Для соблюдения требований закона «О персональных данных» (ПДн) МБДОУ № 1 должно получить от сотрудников и родителей (законных представителей) каждого воспитанника, СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 ФЗ № 152- «О персональных данных).
МБДОУ № 1 обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.
Правовое основание обработки персональных данных:
• Конституция РФ;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Закон РФ 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации"»;
• Устав МБДОУ № 1.
Правовое основание защиты персональных данных:
• Закон РФ «О персональных данных» №152-ФЗ от 27.07.2006г.;
• Статья 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;
• Статья 137 УК РФ «Нарушение неприкосновенности частной жизни».
Категории персональных данных воспитанников и сотрудников МБДОУ №1:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей воспитанников (законных представителей); сведения о гражданстве, паспортные данные, сведения об образовании, воинской обязанности, трудовом стаже, о предыдущем месте работы, составе семьи, сведения о количестве детей, заработной плате по письменному запросу банка с целью получения кредита в документальной/электронной форме, социальных льготах, адрес места жительства, номера личных телефонов, фотографии, информация об образовании, страховом пенсионом свидетельстве, ИНН, сведения об аттестации, повышении квалификации, профессиональной переподготовке, сведения о наградах (поощрениях, почетных званиях).
Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании в Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации Ставропольского края в области образования.
Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам – МУ «Управление образования администрации г. Пятигорска», ГБУЗ «Центральная городская больница», Управлению социальной защиты населения, и т.д.); данные сотрудников ограниченно доступны представителям Сбербанка России ПАО, отделения Пенсионного фонда РФ по Ставропольскому краю, Управления налоговой службы по Ставропольскому краю; блокирование и уничтожение персональных данных воспитанников и родителей (законных представителей), а также осуществление любых иных действий, предусмотренных действующим законодательством РФ.
Оператор вправе:
• размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: родителям (законным представителям), а также административным и педагогическим работникам МБДОУ № 1;
• размещать фотографии сотрудника, воспитанника (фамилию, имя, отчество на доске почета, на стендах в помещениях МБДОУ № 1 и на официальном сайте);
• предоставлять данные сотрудника, воспитанника для участия в детсадовских, городских, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.,
• производить фото- и видеосъемки сотрудника, воспитанника для размещения на официальном сайте МБДОУ №1 и СМИ, с целью формирования имиджа МБДОУ №1 ,
• включать обрабатываемые персональные данные сотрудника, воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документам муниципального, краевого уровней, регламентирующих предоставление отчетных данных.
МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ,
НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!
МБДОУ №1 активно внедряет информационные технологии во все направления деятельности. Мы используем современные общеизвестные средства защиты от несанкционированного доступа к информационной системе ПДн.
Обещаем заботливо относиться к Вашим персональным данным и персональным данным Вашего ребенка.
С уважением, администрация МБДОУ детского сада №1 «Василёк»
Политика МБДОУ детского сада №1 "Василек" в отношении обработки персональных данных
Документы определяющие политику обработки персональных данных
Должностная инструкция ответственного за организацию обработки персональных данныхПравила обработки персональных данныхПравила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данныхПравила рассмотрения запросов субъектов персональных данных
Сфера действия ФЗ №152
Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.
Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.
Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.
Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».
Обязательность выполнения требований законодательства
Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.
Статья 19 Закона № 152-ФЗ:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
3. Регуляторы в сфере защиты персональных данных
Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.
ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.
Сроки выполнения требований законодательства
Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».
Нормативная база по защите персональных данных
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»
Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ
Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»
Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»
Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»
Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
Конвенция о защите физических лиц при автоматизированной обработке персональных данных
Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
Конституция Рoссийской Фeдерации (cт. 23, ст. 24)
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке
в информационных системах персональных данных с использованием средств автоматизации
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации
Указ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена
Указ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характера
Ответственность за неисполнение законодательства по защите персональных данных
Статья
|
Нарушение
|
Ответственность
|
КоАП
|
Статья 5.39. Отказ в предоставлении гражданину информации.
|
Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.
|
Штраф:
на должностных лиц - 500 до 1.000руб.
|
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Штраф: на должностных лиц - 500 до 1.000 руб.; на юридических лиц - 5.000 до 10.000 руб.
|
Статья 13.12. Нарушение правил защиты информации
|
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
|
Статья 13.14. Разглашение информации с ограниченным доступом
|
Разглашение персональных данных.
|
Штраф:
на граждан - от 500 до 1.000 руб.; на должностных лиц - от 4.000 до 5.000 руб.
|
Статья 19.5. Невыполнение в срок законного предписания
|
1. Невыполнение в установленный срок законного предписания Роскомнадзора.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
|
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.
|
Штраф:
на должностных лиц - от 5.000 до 10.000 руб.; на юридических лиц - от 200.000 до 500.000 руб.
|
Статья 19.7. Непредставление сведений (информации)
|
Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.
|
Штраф:
на должностных лиц - от 300 до 500 руб.; на юридических лиц - от 3.000 до 5.000 руб.
|
Уголовный Кодекс
|
Статья 137. Нарушение неприкосновенности частной жизни
|
Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
|
Штраф до 300.000 руб. или в размере заработной платы или иного дохода
осужденного за период до 2 лет, либо лишение права занимать определенные
должности или заниматься определенной деятельностью на срок до 5 лет.
|
Статья 272. Неправомерный доступ к компьютерной информации
|
Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).
|
Штраф до 200.000 руб.,
либо лишение свободы до 2-х лет.
|
Трудовой Кодекс
|
Статья 81. Расторжение трудового договора по инициативе работодателя.
|
Разглашение персональных данных другого работника.
|
Расторжение трудового договора по инициативе работодателя.
|
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
|
Нарушение норм, регулирующих получение, обработку и защиту персональных данных.
|
Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.
|