какие документы должны быть в школе по защите персональных данных
Пакет документов по обработке персональных данных в образовательном учреждении
(документы представлены в электронном виде в формате Word на диске)
Пакет документов по обработке персональных данных в образовательном учреждении разработан в строгом соответствии с требованиями законодательства ведущими специалистами-экспертами страны в области права и управления информационными технологиями в образовании.
Обработка персональных данных обучающихся и педагогических работников в большом объёме осуществляется в каждом образовательном учреждении, которые, как предусмотрено федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», обязаны принять меры по защите персональных данных. В свою очередь данные меры предусматривают, прежде всего, создание достаточно большого количества локальных нормативных актов образовательного учреждения. Кроме того, статья 29 федерального закона от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» содержит жёсткие требования к информационной открытости образовательного учреждения. А статьёй 98 данного закона установлены требования к информационным системам в сфере образования, которые обязывают образовательные организации осуществлять обработку персональных данных в указанных системах в строгом соответствии с законодательством. В этой связи каждая образовательная организация обязана иметь Пакет документов по обработке персональных данных в образовательном учреждении.
Пакет документов по обработке персональных данных в образовательном учреждении содержит следующие готовые документы (локальные нормативные акты):
1.Положение об обработке персональных данных работников образовательного учреждения.
2.Политика обработки персональных данных
3.Согласие работника образовательного учреждения на обработку своих персональных данных.
4.Положение об обработке персональных данных обучающихся.
5.Согласие обучающегося (18 лет и старше) в образовательном учреждении на обработку своих персональных данных.
6.Согласие законного представителя обучающегося (до 18 лет) в образовательном учреждении на обработку персональных данных обучающегося.
7.Дополнение в договор об оказании услуг.
8.Положение о службе (ответственном лице) информационной безопасности образовательного учреждения.
9.Форма журнала регистрации выявленных нарушений.
10.Форма акта выявленных нарушений.
11.Положение о конфиденциальной информации в образовательном учреждении.
12.Перечень сведений конфиденциального характера в образовательном учреждении.
13.Положения об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации.
14.Дополнительное соглашение с работником, допущенным к обработке персональных данных.
15.Обязательство работника о неразглашении персональных данных.
16.Дополнение в должностные инструкции.
17.Положение об обеспечении безопасности автоматизированной информационной системы образовательного учреждения.
18.Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации.
19.Инструкция о применении средств антивирусной защиты информации.
20.Регламент использования программного обеспечения.
21.Форма журнала регистрации используемого программного обеспечения.
22.Регламент использования электронной почты в образовательном учреждении.
23.Памятка по работе с корпоративной электронной почтой образовательного учреждения.
24.Регламент доступа и использования ресурсов сети Интернет в образовательном учреждении.
25.Порядок учета машинных носителей информации с персональными данными.
26.Форма журнала по учёту носителей информации с персональными данными.
27.Порядок уничтожения, блокирования персональных данных.
28.Форма акта об уничтожении.
29.Требования к оборудованию помещений и размещению технических средств, используемых для обработки персональных данных.
Все документы представлены в электронном виде (на диске), простая и понятная форма изложения, последовательное хорошо структурированное описание. Общий объём документов (готовых локальных нормативных актов) составляет более 110 страниц.
Внимание! Все права защищены! Приобретение Пакета документов осуществляется только после заключения лицензионного договора, в соответствии с которым документы могут использоваться приобретателем только для внутренних целей без передачи третьим лицам, за исключением требований надзорных и контролирующих органов в установленном законом порядке.
Пакет документов по обработке персональных данных в образовательном учреждении
(документы представлены в электронном виде в формате Word на диске)
Пакет документов по обработке персональных данных в образовательном учреждении разработан в строгом соответствии с требованиями законодательства ведущими специалистами-экспертами страны в области права и управления информационными технологиями в образовании.
Обработка персональных данных обучающихся и педагогических работников в большом объёме осуществляется в каждом образовательном учреждении, которое, как предусмотрено федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», обязано принять меры по защите персональных данных. В свою очередь данные меры предусматривают, прежде всего, создание достаточно большого количества локальных нормативных актов образовательного учреждения.
Кроме того, статья 29 федерального закона от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» содержит жёсткие требования к информационной открытости образовательного учреждения. А статьёй 98 данного закона установлены требования к информационным системам в сфере образования, которые обязывают образовательные организации осуществлять обработку персональных данных в указанных системах в строгом соответствии с законодательством. В этой связи каждая образовательная организация обязана иметь Пакет документов по обработке персональных данных в образовательном учреждении.
Пакет документов по обработке персональных данных в образовательном учреждении содержит следующие готовые документы (локальные нормативные акты):
1.Положение об обработке персональных данных работников образовательного учреждения.
2.Политика обработки персональных данных.
3.Согласие работника образовательного учреждения на обработку своих персональных данных.
4.Положение об обработке персональных данных обучающихся.
5.Согласие обучающегося (18 лет и старше) в образовательном учреждении на обработку своих персональных данных.
6.Согласие законного представителя обучающегося (до 18 лет) в образовательном учреждении на обработку персональных данных обучающегося.
7.Дополнение в договор об оказании услуг.
8.Положение о службе (ответственном лице) информационной безопасности образовательного учреждения.
9.Форма журнала регистрации выявленных нарушений.
10.Форма акта выявленных нарушений.
11.Положение о конфиденциальной информации в образовательном учреждении.
12.Перечень сведений конфиденциального характера в образовательном учреждении.
13.Положения об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации.
14.Дополнительное соглашение с работником, допущенным к обработке персональных данных.
15.Обязательство работника о неразглашении персональных данных.
16.Дополнение в должностные инструкции.
17.Положение об обеспечении безопасности автоматизированной информационной системы образовательного учреждения.
18.Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации.
19.Инструкция о применении средств антивирусной защиты информации.
20.Регламент использования программного обеспечения.
21.Форма журнала регистрации используемого программного обеспечения.
22.Регламент использования электронной почты в образовательном учреждении.
23.Памятка по работе с корпоративной электронной почтой образовательного учреждения.
24.Регламент доступа и использования ресурсов сети Интернет в образовательном учреждении.
25.Порядок учета машинных носителей информации с персональными данными.
26.Форма журнала по учёту носителей информации с персональными данными.
27.Порядок уничтожения, блокирования персональных данных.
28.Форма акта об уничтожении.
29.Требования к оборудованию помещений и размещению технических средств, используемых для обработки персональных данных.
Все документы представлены в электронном виде (на диске), простая и понятная форма изложения, последовательное хорошо структурированное описание. Общий объём документов (готовых локальных нормативных актов) составляет более 110 страниц.
Внимание! Все права защищены! Приобретение Пакета документов осуществляется только после заключения лицензионного договора, в соответствии с которым документы могут использоваться приобретателем только для внутренних целей без передачи третьим лицам, за исключением требований надзорных и контролирующих органов в установленном законом порядке.
Документы по персональным данным необходимые в 2021 году
Как еще может называться данный документ:
Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.
Как еще может называться данный документ:
Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.
Как еще может называться данный документ:
Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.
Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.
Как еще может называться данный документ:
Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
Зачем нужен документ:
Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.
Зачем нужен документ:
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Зачем нужен документ:
Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
Как еще может называться данный документ:
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Зачем нужен документ:
Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
Как еще может называться данный документ:
Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:
— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)
Как еще может называться данный документ:
От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
Зачем нужен документ:
Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.
Зачем нужен документ:
Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.
Зачем нужен документ:
Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.
Зачем нужен документ:
Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.
Как еще может называться данный документ:
В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.
Как еще может называться данный документ:
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.
Какие документы должны быть в школе по защите персональных данных
Памятка для образовательных учреждений по актуальным проблемам обработки персональных данных
ПАМЯТКА
ДЛЯ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Правовые основания размещения ПД.
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод несовершеннолетних при обработке их персональных данных, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
— Конституцией Российской Федерации от 12 декабря 1993 г.;
— Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Центральное место в системе российского законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Данный закон закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.
Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:
— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Форма согласия на обработку персональных данных (ПДн).
Обработка персональных данных осуществляется только с согласия субъекта персональных данных. В связи с тем, что в образовательном учреждении осуществляется обработка специальной категории ПДн (состояние здоровья учащихся), согласие субъекта персональных данных оформляется в письменной форме Письменное согласие субъекта персональных данных, на обработку своих персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В соответствии с нормами данной статьи, согласие в письменной форме субъекта персональных данных, на обработку его персональных данных должно включать в себя, в частности:
Примечание! Особое внимание следует обратить на заполнение графы, содержащей сведения о документе, подтверждающем полномочия родителя (законного представителя) несовершеннолетнего.
3. Обязательные документы на сайте образовательного учреждения.
Во исполнение требований ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушении законодательства Российской Федерации, устранение последствий таких нарушений.
Оператор также обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
4.Типичные нарушения, допускаемые образовательными учреждениями при обработке персональных данных обучающихся и их законных представителей.
Оператору необходимо направить Информационное письмо о внесении изменений в сведения об операторе в Реестр в бумажном виде с подписью руководителя или иного уполномоченного лица и печатью организации по форме, предусмотренной Методическими рекомендациями по уведомлению уполномоченного органа о начале обработке персональных данных и о внесении изменений в ранее представленные сведения, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.05.2017 № 94 (Приложение № 2 к Методическим рекомендациям). Либо Оператор вправе заполнить электронную форму заявления на Интернет-сайте Роскомнадзора, путем перехода по Интернет-ссылке https :// rkn . gov . ru / personal — data / forms / p 333/.
После заполнения электронной формы, Оператору необходимо распечатать файл Информационного письма, поставить подпись руководителя или иного уполномоченного лица, печать организации и направить в адрес Управления Роскомнадзора по Сибирскому федеральному округу почтовой связью.
4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных учащихся образовательных учреждений третьим лицам при ведении электронных дневников.
5. Поручение обработки персональных данных учащихся образовательных учреждений третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.
Время публикации: 14.06.2017 11:18
Последнее изменение: 01.11.2017 18:11
Документы по обработке персональных данных
Документы по персональным данным для школы
На каком основании
Чтобы проинформировать всех заинтересованных, как школа обрабатывает персональные данные
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы зафиксировать порядок обработки и защиты персональных данных
Чтобы урегулировать уничтожение и обезличивание данных
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы назначить работника, ответственного за организацию обработки персональных данных
Часть 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы определить круг работников, которые обрабатывают персональные данные
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работников, что они обязаны не разглашать персональные данные
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Родитель вправе обратиться с запросом, чтобы узнать, какие данные ребенка и как обрабатывает школа
Статья 14 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Работник вправе в любое время отозвать согласие на обработку персональных данных
Часть 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работника, когда получаете его персональные данные от других лиц
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Абзац 2 части 1 статьи 88 ТК
Чтобы ответить, можете ли вы предоставить персональные данные третьему лицу или нет
Часть 1 статьи 12 Федерального закона от 02.05.2006 № 59-ФЗ
Чтобы учитывать передачу персональных данных сторонним лицам.
Журнал понадобится при проверках Роскомнадзора и в случае спора с работником
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Документы по персональным данным для школы
Документ
Зачем нужен
На каком основании
Чтобы проинформировать всех заинтересованных, как школа обрабатывает персональные данные
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы зафиксировать порядок обработки и защиты персональных данных
Чтобы урегулировать уничтожение и обезличивание данных
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы назначить работника, ответственного за организацию обработки персональных данных
Часть 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы определить круг работников, которые обрабатывают персональные данные
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работников, что они обязаны не разглашать персональные данные
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Родитель вправе обратиться с запросом, чтобы узнать, какие данные ребенка и как обрабатывает школа
Статья 14 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Работник вправе в любое время отозвать согласие на обработку персональных данных
Часть 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работника, когда получаете его персональные данные от других лиц
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Абзац 2 части 1 статьи 88 ТК
Чтобы ответить, можете ли вы предоставить персональные данные третьему лицу или нет
Часть 1 статьи 12 Федерального закона от 02.05.2006 № 59-ФЗ
Чтобы учитывать передачу персональных данных сторонним лицам.
Журнал понадобится при проверках Роскомнадзора и в случае спора с работником
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ