Нормативные документы-9. 9 сентябрь'2022e normobr ru
Скачать 3.74 Mb.
|
Не предоставили уведомление в Роскомнадзор Подайте уведомление в Роскомнадзор после того, как начали об- рабатывать персональные данные. Для этого заполните электрон- ную форму на сайте Роскомнадзора. Распечатайте ее, подпишите и направьте в территориальный орган Роскомнадзора. А также направьте информационное письмо, если сведения, ко- торые были указаны в уведомлении, изменились. Используйте гото- вый шаблон уведомления 62 . Если этого не сделать, руководителя 1 ошибка 2 ошибка и образовательную организацию оштрафуют по статье 19.7 КоАП. Штраф для руководителя составит от 300 до 500 руб., для органи- зации – от 3 тыс. до 5 тыс. руб. Использовали неправильную форму согласия Проверьте, чтобы в согласии было указано: наименование и адрес школы или детского сада, Ф. И. О., адрес работника, реквизиты до- кумента, который удостоверяет личность, цель обработки данных, перечень персональных данных, на обработку которых работник дает согласие, перечень действий с данными, на совершение которых работник дает согласие, способы обработки данных, срок действия согласия, способ его отзыва, подпись работника. Работник вправе предоставить согласие как на бумаге с соб- ственноручной подписью, так и в электронном виде с электронной подписью (ч. 1, 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Не взяли согласие у работника на получение персданных у третьих лиц Получайте персональные данные исключительно у работника. Если их можно получить только у третьих лиц, уведомьте об этом работника и заручитесь его письменным согласием (п. 3 ст. 86 ТК). Воспользуйтесь готовым образцом согласия 61 . Укажите в уве- домлении, какие данные, где, каким способом и зачем будете запрашивать, а также предупредите о возможных последствиях отказа. Запрашивать информацию о работнике у третьих лиц мож- но только для тех целей, которые перечислены в пункте 1 ста- тьи 86 Трудового кодекса. Например, для того, чтобы помочь ра- ботнику трудоустроиться, получить образование или продвинуться по службе. Не опубликовали политику обработки персданных на сайте Опубликуйте политику на сайте в двух разделах: «Сведения об об- разовательной организации» и «Информационная безопасность». Сделайте это в течение 10 рабочих дней после утверждения. Раз- 3 ошибка 4 ошибка 5 ошибка РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Статьи по теме 22 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ №9 сентябрь 2022 года 23 местите документ на стенде около входа в здание, чтобы родители и посетители могли с ним ознакомиться. Если не утвердите или не опубликуете политику обработки персональных данных, про- веряющие привлекут к административной ответственности. Ру- ководителя могут оштрафовать на сумму от 6 тыс. до 12 тыс. руб., организацию – от 30 тыс. до 60 тыс. руб. (ч. 3 ст. 13.11 КоАП). Ответственные работники не прошли обучение по работе с персональными данными Назначьте ответственного за работу с персональными данными и привлеките к этой работе других работников образовательной организации. Поручите ответственному ознакомить работников с законодательством о персональных данных и документами образо- вательной организации в этой сфере. Оформите два листа ознаком- ления – с положениями законодательства и локальными актами (Методические рекомендации, направлены письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059). Проверьте, чтобы в трудовых до- говорах и должностных инструкциях работников были обязанности по обработке персональных данных и их защите, как устанавливает законодательство. Получили избыточные персданные Проверьте личные дела. Уберите документы, которые закон не тре- бует получать в конкретном случае. Сбор избыточных персональных данных – это нарушение части 2 статьи 5 Федерального закона 6 ошибка 7 ошибка К АКИЕ ШТРАФЫ ЗАПЛАТЯТ РУКОВОДИТЕ ЛИ И ОРГАНИЗАЦИЯ, ЕС ЛИ НЕ ОПУБЛИКОВАТЬ ПОЛИТИКУ ОБРАБОТКИ ПЕРСОНА ЛЬНЫХ Д АННЫХ 6000 – 12�000 рублей – руководитель 30�000– 60�000 рублей – организация от 27.07.2006 № 152-ФЗ «О персональных данных». Когда принима- ете гражданина на работу, не берите копию паспорта, диплома или другого документа об образовании. Суды и прокуратура признают эти документы избыточной информацией. Проверяющие могут оштрафовать по части 1 статьи 13.11 КоАП: работника – на сумму от 10 тыс. до 20 тыс. руб., школу – от 60 тыс. до 100 тыс. руб. Используете базы данных, у которых хранилища находятся за границей Оформите сайт по адресу, который зарегистрирован на школу. Не пользуйтесь услугами организаций по обработке персданных, если их базы данных расположены за пределами России. Исполь- зование подобных баз – нарушение части 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Нет внутреннего контроля в сфере обработки персданных или нет документов о таком контроле Закрепите в положении правила внутреннего контроля обработки персданных. Опишите, как будете следить за выполнением зако- нодательства в сфере защиты персональных данных. Установите полномочия ответственных, сроки контрольных мероприятий, итоговые документы. Утвердите план внутреннего контроля. Про- верьте, чтобы ответственный оформил по итогам проверки отчет или справку. Храните персональные данные детей, которые уже покинули образовательное учреждение Уничтожьте персональные данные, когда цель обработки до- стигнута – уволился работник или ребенок окончил школу. Для этого создайте комиссию по уничтожению. Данные, которые не можете уничтожить, обезличьте. Процедуры уничтожения и обезличивания персональных данных закрепите в отдельном локальном акте 8 ошибка 9 ошибка 10 ошибка РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Статьи по теме 24 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ №9 сентябрь 2022 года 25 Хранение и защита персональных данных В статье – рекомендации, как организовать хранение персданных на бумажных документах и как хранить их в электронном виде. Узнайте, в каких случаях необходимо уничтожить или обезличить персданные. А также воспользуйтесь таблицей, чтобы узнать, когда и в какой срок необходимо уничтожить данные. Поручите ответственному за работу с персональными данными систе- матизировать все документы и данные из них, которые необходимо хранить и защищать. Для этого предложите ответственному соста- вить таблицу из трех столбцов. В первый столбец вписать субъекта данных – воспитанника, родителя, работника и физическое лицо, которое выполняет для детского сада работы по договору подряда или оказывает услуги. Во второй столбец – документ с персданными. Например, трудовой договор с работником или медицинская карта воспитанника. В третий столбец – персональные данные из доку- мента. Воспользуйтесь полезной таблицей 65 Как хранить персданные на бумаге. Поручите ответственному организовать безопасное хранение документов из этой таблицы. Например, храните документы в сейфе. Законодательство не уста- навливает требований к помещениям, в которых хранятся персо- нальные данные. Организуйте хранение так, чтобы туда могли входить только работники, которые обрабатывают персональные данные. Например, если у секретаря нет запирающегося помеще- ния, обяжите его хранить документы с персональными данными в кабинете руководителя или его заместителя. Храните раздельно персональные данные, если обрабатываете их в разных целях. Например, документы по трудовым вопросам не смешивайте с заявлениями и приказами по образовательной де- ятельности. Поручите секретарю сразу оформлять документ в дело и хранить их в раздельных шкафах. Как хранить журналы. Храните классные журналы в запираемом шкафу, например в учительской. Разрешите брать журналы только тем педагогам, которые ведут уроки. Чтобы ознакомить родителя с оценками ребенка в журнале, выпишите их на отдельный листок и отдайте лично в руки. Другой вариант – сделайте копию с жур- нала, закрыв строки с данными о других учащихся. Если родителю нужно больше информации, например, он хочет знать, за что ребенок получил оценку, расскажите ему об этом устно. Как хранить персданные в электронном виде. Документы в электронном виде храните так, чтобы доступ к ним имели только утвержденные работники. Например, поручите ответственному создать в локальной сети отдельные папки для каждой группы пер- сональных данных – по приему на обучение, трудовые, медицинские документы. Каждую папку надо сделать закрытой и предоставить доступ только работникам, которые утверждены приказом. Если обрабатываете персональные данные в информационных системах (ИСПДн), примите специальные меры. К ИСПДн относят совокупность баз данных (п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Если вы вносите персональные данные только в элек- Таблица. Когда надо уничтожить персональные данные Когда уничтожать Срок уничтожения Основание Гражданин требует уничтожить свои персо- нальные данные 10 дней с момента поступления требования Часть 3 статьи 20 Закона № 152-ФЗ Обнаружили, что неправомерно обрабатыва- ете персональные данные 10 рабочих дней с момента выявле- ния нарушения Часть 3 статьи 21 Закона № 152-ФЗ Достигли цели обработки персональных данных 30 дней с момента достижения цели Часть 4 статьи 21 Закона № 152-ФЗ Исключение: если закон или договор устанавливает другие сроки их хранения Гражданин отзывает согласие на обработку персональных данных 10 дней с момента поступления отзыва Часть 5 статьи 21 Закона № 152-ФЗ Исключение: если договор или соглашение между гражданином и образовательной организацией разреша- ет обрабатывать персональные данные без отдельного согласия либо продолжаете обрабатывать данные на основе закона 26 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ №9 сентябрь 2022 года 27 тронные документы, например в формате Word, Exel, PDF, то это не считается обработкой с помощью ИСПДн. Если используете только системы государственного или муници- пального уровня, например для ГИА, или систему учета детей, разра- батывать специальные меры защиты не надо. Детские сады и школы вносят в них информацию не как операторы, а как пользователи. Как уничтожить и обезличить персданные. Установите сроки хранения, например, в номенклатуре дел. Уничтожьте персональные данные, когда истек срок хранения или цель обработки достигну- та – уволился работник или отчислили ребенка. Для этого создайте комиссию по уничтожению. Данные, которые не можете уничтожить, обезличьте. Процедуры закрепите в локальном акте. Воспользуйтесь готовыми образцами 48 . Укажите, кто и в каких случаях должен уничтожить личные данные. Определите, какие способы для этого использовать. Например, носители данных можно уничтожить с по- мощью шредера. Закон устанавливает случаи, когда образовательная организация обязана уничтожить персональные данные. От случая зависят сроки уничтожения. Подробности смотрите в таблице 26 Внимание! Если субъект персданных потребовал уничтожить его данные, подготовьте уве- домление об уничтожении в соответствии с требова- ниями Роскомнадзора Реклама Быстрый вход в сообщество. Наведите камеру своего смартфона на QR-код Подписывайтесь на наше сообщество в Одноклассниках ok.ru/action.obrazovanie 28 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Образцы документов Приказ о назначении ответственного за обработку персональных данных в школе Муниципальное бюджетное образовательное учреждение «Школа № 3» (МБОУ «Школа № 3») ПРИКАЗ__20.09.2022_№_168__г._Энск_О_назначении_ответственного_за_организацию_обработки_персональных_данных_в'>ПРИКАЗ 20.09.2022 № 168 г. Энск О назначении ответственного за организацию обработки персональных данных в МБОУ «Школа № 3» С целью организации обработки персональных данных в МБОУ «Школа № 3» в соответствии с пунктом 1 части 1 статьи 18.1 и части 1 ста- тьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при обработке в информационных системах персональных данных, утвержденными постановлением Правительства от 01.11.2012 № 1119 ПРИКАЗЫВАЮ: 1. Назначить ответственным за организацию обработки персональ- ных данных заместителя директора по учебно-воспитательной работе Петрову В.Г. 2. Ответственному за организацию обработки персональных данных: – контролировать соблюдение в МБОУ «Школа № 3» законодатель- ства РФ о персональных данных, в том числе требований к защите персональных данных; – разъяснять работникам МБОУ «Школа № 3» положения законо- дательства РФ о персональных данных, локальных актов по вопро- сам обработки персональных данных, требований к защите персо- нальных данных; – организовать и контролировать прием и обработку обращений и запросов субъектов персональных данных и их представителей; – обеспечить контроль условий сохранности персональных данных на материальных носителях; – организовывать внесение сведений в региональные базы данных ЕГЭ. Форма приказа Форма документа не утверждена. Используйте ее с учетом требований региональных и муниципальных правовых актов С. 1 из 2 №9 сентябрь 2022 года 29 3. Начальнику отдела кадров Морозовой М.В.: – обеспечивать безопасность персональных данных при их обработке в информационной системе персональных данных в соответствии с Требованиями, утвержденными постановлением Правительства от 01.11.2012 № 1119, и должностной инструкцией; – консультировать работников МБОУ «Школа № 3» о порядке рабо- ты в информационной системе персональных данных. 4. Контроль исполнения настоящего приказа оставляю за собой. Директор И.И. Иванов С приказом ознакомлены: Заместитель директора по учебно-воспитательной работе В.Г. Петрова 20.09.2022 Начальник отдела кадров М.В. Морозова 20.09.2022 В дело № 03-05 за 2022 год Секретарь 25.11.2022 Информационная система Укажите название конкретной системы, с которой работает школа С. 2 из 2 30 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Образцы документов Приказ о назначении ответственного за обработку персональных данных в детском саду Муниципальное бюджетное дошкольное образовательное учреждение «Детский сад № 1» (МБДОУ «Детский сад № 1») ПРИКАЗ 10.09.2022 № 158 г. Энск О назначении ответственного за организацию обработки персональных данных в МБДОУ «Детский сад № 1» С целью организации обработки персональных данных в МБДОУ «Детский сад № 1» в соответствии с пунктом 1 части 1 статьи 18.1 и ча- сти 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О пер- сональных данных» ПРИКАЗЫВАЮ: 1. Назначить ответственным за организацию обработки персональных данных старшего воспитателя Петрову В.Г. 2. Ответственному за организацию обработки персональных данных: – контролировать соблюдение в МБДОУ «Детский сад № 1» зако- нодательства РФ о персональных данных, в том числе требований к защите персональных данных; – разъяснять работникам МБДОУ «Детский сад № 1» положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защи- те персональных данных; – <...>. 3. Контроль исполнения приказа оставляю за собой. <...> В дело № 01-09 за 2022 год Секретарь 28.10.2022 Обязанности Установите ответ- ственному обя- занности, которые указаны в части 4 ста- тьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ №9 сентябрь 2022 года 31 Приказ о создании комиссии по работе с персональными данными Муниципальное бюджетное общеобразовательное учреждение «Центр образования № 1» (МБОУ «Центр образования № 1») ПРИКАЗ 15.09.2022 № 145 г. Энск О создании комиссии и проведении внутреннего контроля работы с персональными данными В соответствии с пунктом 4 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ ПРИКАЗЫВАЮ: 1. Создать комиссию по проведению внутреннего контроля соответ- ствия обработки персональных данных в составе: Заместитель директора по безопасности И.И. Заворотнюк Специалист по кадрам П.В. Ивакина Секретарь А.П. Петренко Системный администратор Н.П. Волк 2. Утвердить план-график мероприятий внутреннего контроля со- ответствия обработки персональных данных на 2022/23 учебный год (приложение). 3. Комиссии по проведению внутреннего контроля соответствия обработки персональных данных: – провести мероприятия внутреннего контроля в соответствии с пла- ном-графиком, указанным в пункте 2 настоящего приказа, и положе- нием о внутреннем контроле и (или) аудите соответствия обработки персональных данных в МБОУ «Центр образования № 1» требо- ваниям законодательства в сфере обработки персональных данных; – представить итоги внутреннего контроля мне в срок, указанный в пла- не-графике мероприятий внутреннего контроля соответствия обра- ботки персональных данных на 2022/23 учебный год. |