Защита персональных данных

Документы определяющие политику обработки персональных данных

 

Информация для родителей и сотрудников МБДОУ №20 "Красная шапочка"

Приказ №53 от 01.04.2019г. "О назначении ответственных за организацию обработки персональных данных"

Протокол оценки возможного вреда субъектам, чьи персональные данные обрабатываются в информационной системе

Акт опредления уровня защищепнности персональных данных, обрабатываемых в информационной системе: Аверс "Управление образовательным учреждением" (КРМ "Директор")

План мероприятий по защите персональных данных

Соглашение о соблюдении безопасности, конфиденциальности персональных данных и правил их обработки

Регламент допуска работников к обработке персональных данных

Перечень должностей и третьих лиц, допущенных к обработке персональных данных

Регламент по трансграничной передаче данных

Инструкцию по обработке ПДн

Инструкция администратора безопасности информационных систем ПДн

Перечень информационных систем персональных данных

Перечень помещений, предназначенных для обработки персональных данных

Перечень средств защиты, используемых в целях защиты информации объекта

Инструкция по обеспечению безопасности персональных данных

Приказ №70 от 01.06.2018 г. "О назначении ответственного за организацию обработки персональных данных"

Приказ №71 от 01.06.2018 г. "О создании комиссии по защите персональных данных и о назначении лиц, персонально ответственных за организацию работы с персональными данными"

Приказ №72 от 01.06.2018 г. "Об утверждении инструкций пользователя информационных систем персональных данных и о проведении работ по защите персональных данных"

Технический паспорт "Информационной системы персональных данных"

Положение о комиссии по защите персональных данных

Регламент проведения резервного копирования данных

Регламент учета, хранения и уничтожения носителей персональных данных в информационной системе ИАС "Аверс:Управление ДОО"

Регламент реагирования на обращения (запросы) субъектов ПДн

Регламент по проведению контрольных мероприятий и реагированию на инциденты

Положение о защите персональных данных работников

Политика МБДОУ №20 "Красная шапочка" в отношении обработки персональных данных

Концепция информационной безопасности

Бланк "Согласие на обработку персональных данных"

Обязательство о неразглашении информации, содержащей персональные данные

Положение об обработке и обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Положение о порядке обработки персональных данных воспитанников

Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации

Положение о формировании, ведении и хранении личных дел воспитанников

Положение о разграничении прав доступа в государственной информационной системе персональных данных

Инструкция №1 пользователя ИСПДн

Перечень должносных лиц, имеющих физический доступ к машинным носителям информации в МБДОУ №20 "Красная гвоздика"

Перечень подразделений и должностей, осуществляющих обработку персональных данных

Перечень сведений ограниченного доступа

Перечень сведений конфиденциального характераПамятка о правилах работы с конфиденциальной информацией

Регламент работы сотрудников МБДОУ №20 "Красная шапочка" г. Пятигорска с персональными данными

План мероприятий по обеспечению безопасности персональных данных

Требования к оборудованию помещений и размещению технических средств, использумых для обработки персональных данных

Инструкция о применении средств антивирусной защиты информации

Как оформить разрешение родителей на публикацию фотографии в интернете?

Приказ №16 от 17.05.2017 г. "О назначении ответственного за организацию обработки персональных данных"Приказ №18 от 17.05.2017 г. "О проведении работ по защите персональных данных"Приказ №17 от 17.05.2017 г. "Об утверждении перечня персональных данных"Приказ №19 от 17.05.2017 г. "Об утверждении правил работы с обезличенными персональными данными"Должностная инструкция ответственного за организацию обработки персональных данныхПеречень должностей, замещение которых предусматривает обработку персональных данныхПорядок доступа сотрудников к персональным даннымПравила обработки персональных данныхПравила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данныхПравила рассмотрения запросов субъектов персональных данных

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом Приказ министерства образования и молодежной политики Ставропольского края от 06 октября 2016 г. № 1105-пр "Об организации мероприятий по выполнению требований Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов"

Сфера действия ФЗ №152

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

Обязательность выполнения требований законодательства

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

3. Регуляторы в сфере защиты персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Сроки выполнения требований законодательства

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Нормативная база по защите персональных данных

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»

Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)

Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ

Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»

Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»

Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Конвенция о защите физических лиц при автоматизированной обработке персональных данных

Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"

Конституция Рoссийской Фeдерации (cт. 23, ст. 24)

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке
в информационных системах персональных данных с использованием средств автоматизации

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации

Указ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена

Указ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характера

Ответственность за неисполнение законодательства по защите персональных данных

Статья

 

Нарушение

Ответственность

КоАП

Статья 5.39.
Отказ в предоставлении гражданину информации.

Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.

Штраф:

на должностных лиц - 500 до 1.000руб.

Статья 13.11.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Штраф:
на должностных лиц - 500 до 1.000 руб.;
на юридических лиц - 5.000 до 10.000 руб.

Статья 13.12.
Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

Статья 13.14.
Разглашение информации с ограниченным доступом

Разглашение персональных данных.

Штраф:

на граждан - от 500 до 1.000 руб.;
на должностных лиц - от 4.000 до 5.000 руб.

Статья 19.5.
Невыполнение в срок законного предписания

1. Невыполнение в установленный срок законного предписания Роскомнадзора.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.

Штраф:

на должностных лиц - от 5.000 до 10.000 руб.;
на юридических лиц - от 200.000 до 500.000 руб.

Статья 19.7.
Непредставление сведений (информации)

Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.

Штраф:

на должностных лиц - от 300 до 500 руб.;
на юридических лиц - от 3.000 до 5.000 руб.

Уголовный Кодекс

Статья 137.
Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Штраф до 300.000 руб. или в размере заработной платы или иного дохода

осужденного за период до 2 лет, либо лишение права занимать определенные

должности или заниматься определенной деятельностью на срок до 5 лет.

Статья 272.
Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).

Штраф до 200.000 руб.,

либо лишение свободы до 2-х лет.

Трудовой Кодекс

Статья 81.
Расторжение трудового договора по инициативе работодателя.

Разглашение персональных данных другого работника.

Расторжение трудового договора по инициативе работодателя.

Статья 90.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Нарушение норм, регулирующих получение, обработку и защиту персональных данных.

Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.

ИНФОРМАЦИЯ О ЗАКЛЮЧЕННЫХ И ПЛАНИРУЕМЫХ К ЗАКЛЮЧЕНИЮ ДОГОВОРАХ С ИНОСТРАННЫМИ И (ИЛИ) МЕЖДУНАРОДНЫМИ ОРГАНИЗАЦИЯМИ ПО ВОПРОСАМ ОБРАЗОВАНИЯ И НАУКИ

Информационно-образовательные ресурсы