2. Положения о защите персональныхПоложения о защите персональных
данных работников регламентируютданных работников регламентируют
Конституция Российской ФедерацииКонституция Российской Федерации
Федеральный закон 27 июля 2006 г. № 149-ФЗ «ОбФедеральный закон 27 июля 2006 г. № 149-ФЗ «Об
информации, информационных технологиях и оинформации, информационных технологиях и о
защите информации»защите информации»;;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «ОФедеральный закон от 27 июля 2006 г. № 152-ФЗ «О
персональных данных»персональных данных»
Трудовой кодекс Российской ФедерацииТрудовой кодекс Российской Федерации
подзаконные нормативные правовые акты (постановленияподзаконные нормативные правовые акты (постановления
Правительства РФ, ведомственные нормативные правовыеПравительства РФ, ведомственные нормативные правовые
акты), а также на локальном уровне должны приниматьсяакты), а также на локальном уровне должны приниматься
нормативные и иные акты в целях обеспечения защитынормативные и иные акты в целях обеспечения защиты
персональных данных работников.персональных данных работников.
3. персональные данныеперсональные данные – любая– любая
информация, относящаяся кинформация, относящаяся к
определенному или определяемому наопределенному или определяемому на
основании такой информацииосновании такой информации
физическому лицу (субъектуфизическому лицу (субъекту
персональных данных), в т.ч. его фамилия,персональных данных), в т.ч. его фамилия,
имя, отчество, год, месяц, дата и местоимя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное,рождения, адрес, семейное, социальное,
имущественное положение, образование,имущественное положение, образование,
профессия, доходы, другая информация.профессия, доходы, другая информация.
4. Персональные данные относятсяПерсональные данные относятся к категориик категории
конфиденциальной информацииконфиденциальной информации,, которыекоторые
указаны в Перечне сведений конфиденциальногоуказаны в Перечне сведений конфиденциального
характера (утвержденхарактера (утвержден Указом Президента РФ от 6Указом Президента РФ от 6
марта 1997 г. № 188 «Об утверждении Перечнямарта 1997 г. № 188 «Об утверждении Перечня
сведений конфиденциального характера»сведений конфиденциального характера»).).
работодатель, получающий доступ к персональнымработодатель, получающий доступ к персональным
данным, должен обеспечить конфиденциальностьданным, должен обеспечить конфиденциальность
таких данных.таких данных.
5. Образовательные учреждения, являющиесяОбразовательные учреждения, являющиеся
некоммерческими организациями, обязаны внекоммерческими организациями, обязаны в
установленных федеральным законодательствомустановленных федеральным законодательством
случаях, в том числе в рамках реализациислучаях, в том числе в рамках реализации
предусмотренногопредусмотренного Федеральным законом «ОФедеральным законом «О
профессиональных союзах, их правах ипрофессиональных союзах, их правах и
гарантиях деятельности»гарантиях деятельности» права на информациюправа на информацию
(ст. 17),(ст. 17), представлять по запросу профсоюзнойпредставлять по запросу профсоюзной
организации сведения о численности и об оплатеорганизации сведения о численности и об оплате
труда работников учреждения.труда работников учреждения.
6. Постановлением Правительства РФ от 17Постановлением Правительства РФ от 17
ноября 2007 г. № 781ноября 2007 г. № 781 утвержденоутверждено Положение обПоложение об
обеспечении безопасности персональныхобеспечении безопасности персональных
данных при их обработке в информационныхданных при их обработке в информационных
системах персональных данныхсистемах персональных данных
установлены требования к обеспечениюустановлены требования к обеспечению
безопасности персональных данных при ихбезопасности персональных данных при их
обработке в информационных системахобработке в информационных системах
персональных данных, представляющих собойперсональных данных, представляющих собой
совокупность персональных данных,совокупность персональных данных,
содержащихся в базах данных, а такжесодержащихся в базах данных, а также
информационных технологий и техническихинформационных технологий и технических
средств, позволяющих осуществлять обработкусредств, позволяющих осуществлять обработку
таких персональных данныхтаких персональных данных с использованиемс использованием
средств автоматизациисредств автоматизации..
7. Информационные системыИнформационные системы
персональных данных работниковперсональных данных работников
образовательных учреждений,образовательных учреждений,
созданные до 1 января 2010 года,созданные до 1 января 2010 года,
должны быть приведены вдолжны быть приведены в
соответствие с требованиями ФЗ осоответствие с требованиями ФЗ о
персональных данныхперсональных данных не позднее 1не позднее 1
января 2011 годаянваря 2011 года..
8. ПостановлениемПостановлением
Правительства РФ от 15Правительства РФ от 15
сентября 2008 г. № 687сентября 2008 г. № 687
утверждено Положение обутверждено Положение об
особенностях обработкиособенностях обработки
персональных данных,персональных данных,
осуществляемой безосуществляемой без
использования средствиспользования средств
автоматизацииавтоматизации..
9. Приказом Федеральной службы поПриказом Федеральной службы по
техническому и экспортному контролютехническому и экспортному контролю
(ФСТЭК) от 5 февраля 2010 г. № 58(ФСТЭК) от 5 февраля 2010 г. № 58
утвержденоутверждено Положение о методах иПоложение о методах и
способах защиты информации вспособах защиты информации в
информационных системахинформационных системах
персональных данныхперсональных данных , регламентирующее, регламентирующее
вопросы, связанные с порядком применениявопросы, связанные с порядком применения
методов и способов защиты информации вметодов и способов защиты информации в
информационных системах персональныхинформационных системах персональных
данных оператором или уполномоченнымданных оператором или уполномоченным
им лицом.им лицом.
10. Федеральная служба по надзору в сфереФедеральная служба по надзору в сфере
связи, информационных технологий исвязи, информационных технологий и
массовых коммуникациймассовых коммуникаций
(Россвязькомнадзор)(Россвязькомнадзор)
приказ от 17 июля 2008 г. № 08приказ от 17 июля 2008 г. № 08
утвержден образец уведомления об обработкеутвержден образец уведомления об обработке
(о намерении осуществлять обработку)(о намерении осуществлять обработку)
персональных данных и Рекомендации поперсональных данных и Рекомендации по
заполнению образца формы уведомления обзаполнению образца формы уведомления об
обработке (о намерении осуществлятьобработке (о намерении осуществлять
обработку) персональных данных.обработку) персональных данных.
11. Ст. 22 ФЗ о персональных данныхСт. 22 ФЗ о персональных данных
установлено, что оператор вправеустановлено, что оператор вправе
осуществлять без уведомленияосуществлять без уведомления
уполномоченного органа по защите правуполномоченного органа по защите прав
субъектов персональных данных обработкусубъектов персональных данных обработку
персональных данных,персональных данных, относящихся котносящихся к
субъектам персональных данных, которыхсубъектам персональных данных, которых
связывают с оператором трудовые отношения.связывают с оператором трудовые отношения.
Следовательно, образовательныеСледовательно, образовательные
учреждения не должны уведомлять этотучреждения не должны уведомлять этот
уполномоченный орган об обработке имиуполномоченный орган об обработке ими
персональных данных работников,персональных данных работников,
состоящих в трудовых отношениях ссостоящих в трудовых отношениях с
учреждениями.учреждениями.
13. Необходимо:Необходимо:
разработать локальные акты (нормативные иразработать локальные акты (нормативные и
правовые), связанные не только справовые), связанные не только с
организационной и правовой, но иорганизационной и правовой, но и
технической защитой персональных данных;технической защитой персональных данных;
проработать механизмы взаимоотношений спроработать механизмы взаимоотношений с
органами, осуществляющими управление ворганами, осуществляющими управление в
сфере образования, профсоюзнымисфере образования, профсоюзными
организациями, органами контроля иорганизациями, органами контроля и
надзора и т.д.надзора и т.д.
14. Обязательные этапы работ по защитеОбязательные этапы работ по защите
персональных данных работников:персональных данных работников:
- определение всех ситуаций, когда требуется проводить обработку- определение всех ситуаций, когда требуется проводить обработку
персональных данных;персональных данных;
- выделение процессов, в которых обрабатываются персональные- выделение процессов, в которых обрабатываются персональные
данные;данные;
- выбор ограниченного числа процессов для проведения аналитики (на- выбор ограниченного числа процессов для проведения аналитики (на
этом этапе формируется перечень подразделений и работников,этом этапе формируется перечень подразделений и работников,
участвующих в обработке персональных данных в рамках своейучаствующих в обработке персональных данных в рамках своей
служебной деятельности);служебной деятельности);
- определение круга информационных систем и совокупности- определение круга информационных систем и совокупности
обрабатываемых персональных данных;обрабатываемых персональных данных;
- проведение категорирования персональных данных и предварительной- проведение категорирования персональных данных и предварительной
классификации информационных систем;классификации информационных систем;
- разработка пакета организационно-распорядительных документов для- разработка пакета организационно-распорядительных документов для
обеспечения защиты персональных данных (положения, приказы, акты,обеспечения защиты персональных данных (положения, приказы, акты,
инструкции и т.п.);инструкции и т.п.);
- внедрение системы обеспечения безопасности информации- внедрение системы обеспечения безопасности информации
15. Защита персональных данныхЗащита персональных данных
работников в образовательномработников в образовательном
учрежденииучреждении
создание внутренней документации посоздание внутренней документации по
работе с персональными данными;работе с персональными данными;
создание организационной системы защитысоздание организационной системы защиты
персональных данных;персональных данных;
внедрение технических мер защитывнедрение технических мер защиты
персональных данных.персональных данных.
17. ст. 85 ТК РФ кст. 85 ТК РФ к
персональным даннымперсональным данным
работника относитработника относит
информацию, необходимуюинформацию, необходимую
работодателю в связи сработодателю в связи с
трудовыми отношениями итрудовыми отношениями и
касающаяся конкретногокасающаяся конкретного
работника.работника.
18. Ответственность за нарушение требованийОтветственность за нарушение требований
по защите персональных данныхпо защите персональных данных
В соответствии соВ соответствии со ст. 24 ФЗ персональныхст. 24 ФЗ персональных
данныхданных лица, виновные в нарушениилица, виновные в нарушении
требований этого федерального закона, несуттребований этого федерального закона, несут
гражданскую, уголовную, административную,гражданскую, уголовную, административную,
дисциплинарную и иную предусмотреннуюдисциплинарную и иную предусмотренную
законодательством Российской Федерациизаконодательством Российской Федерации
ответственность.ответственность.
19. Статьей 87 Трудового кодекса РФСтатьей 87 Трудового кодекса РФ
предусмотрено, что порядок хранения ипредусмотрено, что порядок хранения и
использования персональных данныхиспользования персональных данных
работников устанавливаетсяработников устанавливается
работодателем с учетом требований ТКработодателем с учетом требований ТК
РФ и иных федеральных законов, чтоРФ и иных федеральных законов, что
подразумевает регулирование порядкаподразумевает регулирование порядка
обработки персональных данныхобработки персональных данных
работников локальными нормативнымиработников локальными нормативными
и иными актами.и иными актами.
20. Положение о защите персональныхПоложение о защите персональных
данных работников, котороеданных работников, которое
принимается с учетом мненияпринимается с учетом мнения
выборного органа первичнойвыборного органа первичной
профсоюзной организациипрофсоюзной организации
учреждения в порядке,учреждения в порядке,
предусмотренном ст. 372 ТК РФпредусмотренном ст. 372 ТК РФ
21. Необходимо также наличие следующихНеобходимо также наличие следующих
документов:документов:
В процессе получения персональных данных работников:В процессе получения персональных данных работников:
- согласие работника на получение работодателем персональных данных- согласие работника на получение работодателем персональных данных
от третьих лицот третьих лиц
- уведомление работника о получении его персональных данных от- уведомление работника о получении его персональных данных от
третьих лицтретьих лиц
При осуществлении обработки персональных данных работников:При осуществлении обработки персональных данных работников:
- согласие работника на обработку его персональных данных- согласие работника на обработку его персональных данных
- приказ об утверждении списка лиц, имеющих доступ к персональным- приказ об утверждении списка лиц, имеющих доступ к персональным
данным работниковданным работников
- обязательство о неразглашении персональных данных работников- обязательство о неразглашении персональных данных работников
При передаче персональных данных работников:При передаче персональных данных работников:
- согласие работника на передачу его персональных данных третьим- согласие работника на передачу его персональных данных третьим
лицамлицам
22. Рекомендуется ведение в образовательном учрежденииРекомендуется ведение в образовательном учреждении
следующих учетных документов движения персональныхследующих учетных документов движения персональных
данных работников:данных работников:
журнал учета внутреннего доступа к персональнымжурнал учета внутреннего доступа к персональным
данным работников в учреждении;данным работников в учреждении;
журнал учета выдачи персональных данныхжурнал учета выдачи персональных данных
работников учреждения организациям иработников учреждения организациям и
государственным органам;государственным органам;
журнал проверок наличия документов, содержащихжурнал проверок наличия документов, содержащих
персональные данные работников.персональные данные работников.
журнал учета применяемых работодателемжурнал учета применяемых работодателем
носителей информации.носителей информации.
23. Получателями персональных данныхПолучателями персональных данных
работника на законном основании являютсяработника на законном основании являются::
органы социального страхования, органыорганы социального страхования, органы
пенсионного обеспечения, а также иныепенсионного обеспечения, а также иные
органы, организацииорганы, организации;;
налоговые органыналоговые органы););
органы прокуратуры и другиеорганы прокуратуры и другие
правоохранительные органыправоохранительные органы
федеральная инспекция трудафедеральная инспекция труда
профессиональные союзыпрофессиональные союзы
другие органы и организации в случаях,другие органы и организации в случаях,
предусмотренных федеральным законом.предусмотренных федеральным законом.
24. Система государственного надзора иСистема государственного надзора и
контроля в области персональных данныхконтроля в области персональных данных
Федеральная служба по надзору в сфереФедеральная служба по надзору в сфере
связи, информационных технологий исвязи, информационных технологий и
массовых коммуникаций (Роскомнадзор)массовых коммуникаций (Роскомнадзор)
Федеральная служба по техническому иФедеральная служба по техническому и
экспортному контролю (ФСТЭК)экспортному контролю (ФСТЭК)
Федеральная служба безопасностиФедеральная служба безопасности (ФСБ)(ФСБ)
Федеральная инспекция трудаФедеральная инспекция труда