Организация обработки персональных данных в ОУ
Организационная структура и функции ОУ
Организационная структура ОУ определяется в соответствии со Штатным расписанием (форма Т-3), утверждаемым Руководителем ОУ.
Виды деятельности ОУ определяются Уставом ОУ, утверждаемым Комитетом образования города Курска.
Функции ОУ, связанные с обработкой персональных данных, реализуются только в соответствии с заявленными видами деятельности, а также в соответствии с действующим трудовым, бухгалтерским, налоговым и иными видами законодательства Российской Федерации, определяющими внутреннюю деятельность учреждении.
Задачи и функции подразделений
В каждом подразделении ОУ разрабатываются положения, утверждаемые Руководителем ОУ, конкретизирующие операции по заявленным в Уставе
,+ видам деятельности. Все операции соответствуют действующему законодательству Российской Федерации и разрабатываются на основе федеральных законов, нормативных документов органов государственной власти Российской Федерации.
Направления обработки персональных данных в ОУ
Обработка персональных данных в ОУ осуществляется по следующим направлениям:
в рамках деятельности ОУ как образовательного учреждения, в соответствии с Федеральным Законом РФ №3266-1 от 10 июля 1992 г. «Об образовании»;
в рамках деятельности ОУ в качестве работодателя;
в рамках деятельности ОУ в качестве собственника обособленного имущества.
Обработка персональных данных в рамках деятельности ОУ в качестве образовательного учреждения
При обработке персональных данных в рамках деятельности образовательного учреждения ОУ руководствуется следующими нормативно-правовым актами и документами:
Конституцией Российской Федерации, принятой на всенародном голосовании 12.12.1993 г.;
Федеральным Законом РФ №3266-1 от 10 июля 1992 г. «Об образовании»;
Данным Положением об обработке персональных данных
и другими.
Обработка персональных данных в рамках деятельности ОУ в качестве работодателя
При обработке персональных данных в рамках деятельности учреждении в качестве работодателя ОУ руководствуется следующими нормативно-правовым актами и документами:
Федеральным Законом РФ №197-ФЗ от 30.12.2001 г. «Трудовой Кодекс Российской Федерации»;
Федеральным Законом РФ №129-ФЗ от 21.11.1996 г. «О бухгалтерском учете»;
Федеральными законами РФ №146-ФЗ от 31.07.1998 г., №117-ФЗ от 05.07.2000 г. «Налоговый Кодекс Российской Федерации»;
Федеральный закон №27-ФЗ от 01.04.1996 г. «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Законом РФ №3266-1 от 10.07.1992 г. «Об образовании»;
Постановлением Государственного комитета Российской Федерации по статистике №1 от 05.01.2004 г. «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Федеральным законом №255-ФЗ от 29.12.2006 г. «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
Федеральным законом №167-ФЗ от 15.12.2001 г. «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральным законом №212-ФЗ от 24.07.2009 г. «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
Законом №5487-I от 22.07.1993 г. «Основы законодательства Российской Федерации об охране здоровья граждан»;
законодательством РФ по вопросам статистической отчетности;
и другими.
Обработка персональных данных в рамках деятельности в качестве собственника имущества
При обработке персональных данных в рамках деятельности учреждении в качестве собственника обособленного имущества ОУ руководствуется следующими нормативно-правовым актами и документами:
Конституцией Российской Федерации, принятой на всенародном голосовании 12.12.1993 г.;
Федеральными законами РФ №51-Ф3 от 30.11.1994 г., №14-ФЗ от 26.12.1996 г., №146-ФЗ от 26.11.2001 г., №230-ФЗ от 18.12.2006 г. «Гражданский кодекс Российской Федерации»;
Федеральным законом РФ №63-ФЗ от 13.06.1996 г. «Уголовный кодекс РФ»;
Федеральным законом РФ №195-ФЗ от 30.12.2001 г. «Кодекс Российской Федерации об административных правонарушениях»;
рекомендациями, руководящими документами и стандартами МВД РФ;
Федеральным законом от 14.04.1999 г. №77-ФЗ «О ведомственной охране»;
Постановлением Правительства РФ №589 от 14.08.1992 г. «Об утверждении Положения о вневедомственной охране при органах внутренних дел Российской Федерации»;
Законом РФ №2487-I от 11.03.1992 г. «О частной детективной и охранной деятельности в Российской Федерации»;
Законом РФ №1026-I от 18.04.1991 г. «О милиции»;
и другими.
Информационные системы персональных данных
Критерии определения информационных систем персональных данных в ОУ
Все информационные системы ОУ, в которых производится обработка персональных данных, являются информационными системами персональных данных. Информационная система персональных данных состоит из совокупности:
базы данных, в состав которой входят персональные данные;
информационных технологий, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных;
технических средств, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных.
Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Частным случаем автоматизированной обработки персональных данных является исключительно автоматизированная обработка персональных данных, при осуществлении которой решения, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимаются на основании исключительно автоматизированной обработки его персональных данных.
Обязательным условием создания информационной системы персональных данных является наличие обособленной базы данных, содержащей персональные данные, при изоляции которой от других информационных систем персональных данных, возможна обработка содержащихся в ней персональных данных с помощью информационных технологий и технических средств, входящих в состав этой информационной системы персональных данных.
Допускается использование одних и тех же информационных технологий и технических средств, для обработки различных баз данных, содержащих персональные данные, при этом разделение на различные информационные системы персональных данных производится по критерию уникальности баз данных, содержащих персональные данные.
Наименование информационной системы персональных данных
С целью идентификации каждой информационной системе персональных данных в ОУ присваивается наименование, которое должно отражать основное назначение данной информационной системы либо наименование программных средств обработки персональных данных в данной информационной системе персональных данных.
Цели создания или эксплуатации информационной системы персональных данных
Для каждой информационной системы персональных данных определяются цели ее создания и эксплуатации. При этом определяется предполагаемое назначение информационной системы персональных данных, в соответствии с предлагаемыми услугами, осуществляемыми информационной системой персональных данных внутренними задачами или с определенными требованиями, предъявляемыми действующим в Российской Федерации законодательством.
Параметры, характеризующие информационную систему персональных данных
Для каждой информационной системы персональных данных определяются следующие параметры, характеризующие такую информационную систему персональных данных:
цель обработки персональных данных в информационной системе персональных данных;
способы обработки персональных данных в информационной системе персональных данных;
перечень сведений, содержащих персональные данные о субъекте персональных данных, обрабатываемых в информационной системе персональных данных;
необходимость обработки персональных данных в информационной системе персональных данных;
правовое основание обработки персональных данных в информационной системе персональных данных;
юридические последствия, порождаемые в результате действий (операций) с персональными данными в информационной системе персональных данных, в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных;
круг субъектов, персональные данные которых подлежат обработке в информационной системе персональных данных;
перечень действий (операций) с персональными данными в информационной системе персональных данных;
заданные характеристики безопасности персональных данных в информационной системе персональных данных;
перечень должностных лиц структурных подразделений, осуществляющих обработку персональных данных в информационной системе персональных данных;
юридические последствия отказа в предоставлении персональных данных субъектов персональных данных для их обработки в информационной системе персональных данных;
места обработки персональных данных в рамках информационной системы персональных данных;
перечень применяемого в информационной системе персональных данных при обработке персональных данных специального программного обеспечения, средств управления базами данных;
перечень баз данных и иных массивов информации в информационной системе персональных данных, содержащих персональные данные;
функциональные и технологические связи как внутри информационной системы персональных данных, так и с другими информационными системами персональных данных;
способы и источники получения персональных данных;
способы передачи персональных данных и их получатели;
сроки обработки, в том числе хранения персональных данных в информационной системе персональных данных.
Юридический паспорт информационной системы персональных данных
В ОУ вводится понятие Юридического паспорта информационной системы персональных данных (далее – Паспорт ИСПДн). Паспорт ИСПДн разрабатывается на каждую информационную систему персональных данных в ОУ.
Паспорт ИСПДн содержит:
наименование информационной системы персональных данных;
цели создания или эксплуатации информационной системы персональных данных;
цель обработки персональных данных в информационной системе персональных данных;
способы обработки персональных данных;
перечень идентификаторов персональных данных о субъекте персональных данных, обрабатываемых в информационной системе персональных данных;
необходимость и правовое основание обработки персональных данных в информационной системе персональных данных;
необходимость получения согласия субъекта персональных данных на обработку его персональных данных;
юридические последствия, порождаемые в результате действий (операций) с персональными данными, в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных;
круг субъектов, персональные данные которых подлежат обработке в информационной системе персональных данных;
количество субъектов персональных данных, чьи персональные данные обрабатываются;
действия (операции) с персональными данными в информационной системе персональных данных;
способы и источники получения персональных данных;
способы передачи персональных данных и их получатели;
определение сроков обработки, в том числе хранения персональных данных в информационной системе персональных данных;
юридические последствия отказа в предоставлении своих персональных данных;
заданные характеристики безопасности обрабатываемых в информационной системе персональных данных;
места обработки персональных данных;
характеристики средств автоматизации обработки персональных данных;
функциональные связи информационной системы персональных данных;
лист ознакомления.
Форма «Паспорта ИСПДн» и порядок его заполнения устанавливается настоящим Положением (Приложение 2).
Паспорт ИСПДн утверждается приказом Руководителя ОУ.
Паспорта ИСПДн хранятся у заместителя Руководителя ОУ.
Паспорт ИСПДн должен отражать все параметры, характеризующие информационную систему персональных данных.
Все поля Паспорта ИСПДн должны быть заполнены, не заполнение полей не допускается.
При заполнении Паспорта ИСПДн категорически запрещается указание недостоверных или неполных сведений.
Вносимые в Паспорт ИСПДн данные должны строго соответствовать требованиям, предъявляемым к ним положениями настоящего Положения.
С целью уменьшения объема Паспорта ИСПДн допускается указание состава тех или иных данных производить путем отсылки к его соответствующим разделам, в котором такие данные перечисляются.
Оформление паспорта осуществляется в соответствии с приведенными в настоящем Положении формами.
|
