О защите персональных данных

Методические рекомендации для проведения мероприятий по защите персональных данных

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

Законодательное обеспечение защиты персональных данных.

• Федеральный закон от 27.07.2006 № 152-ФЗ" О персональных данных"
• Федеральный закон от 27.07.2006 № 149-ФЗ" Об информации, информационных технологиях и о защите информации"
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 " Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации"
• Постановление Правительства Российской Федерации от 06.07.2008 № 512 " Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

• Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

• Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

• Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера"

• Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

• Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

• Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

Планирование мероприятий и документы по защите персональных данных

• Политика МАОУ "Кичменгско-Городецкая средняя школа"  в отношении обработки персональных данных сотрудников учреждения, а также обучающихся и (или) родителей (законных представителей)
• Приказ от 14.12.18 № 314 "О работе с персональными данными работников и обучающихся"   
• Положение   об обработке персональных данных работников, обучающихся и их родителей (законных представителей) МАОУ «Кичменгско-Городецкая средняя школа»
• Согласие на обработку персональных данных работников МАОУ "Кичменгско-Городецкая средняя школа"
• Согласие на обработку персональных данных обучающихся  МАОУ "Кичменгско-Городецкая средняя школа"
• Форма разъяснения субъекту персональных данных юридических последствий отказа предоставления персональных данных

Права и обязанности работников, связанные с обработкой и защитой их персональных данных

В соответствии с п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки и защиты персональных данных, а также их права и обязанности в этой области. Работники в соответствии со ст. 89 ТК РФ имеют право:

– на полную информацию о своих персональных данных и обработке этих данных;

– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

– определение своих представителей для защиты персональных данных;

– доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

– требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

– обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.

Ответственность за нарушение требований по защите персональных данных

В соответствии со ст. 24 лица, виновные в нарушении требований этого федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность Закона № 152-ФЗ

Неисполнение требований Закона № 152-ФЗ операторами баз данных может повлечь:

- гражданские иски со стороны работников;

- репутационные риски;

- приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона № 152-ФЗ;

- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

- привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного кодекса РФ и Кодекса РФ об административных правонарушениях.

В соответствии со ст. 90 ТК РФ, устанавливающей ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника, виновные в этом лица привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами.

Так, к работнику, отвечающему за хранение персональных данных в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ (замечание, выговор, увольнение).

Работодатель может расторгнуть трудовой договор по своей инициативе по подп. "в" п. 6 ч. 1 ст. 81 ТК РФ при разглашении работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в т. ч. в случае разглашения персональных данных другого работника.

Помимо этого работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены к материальной и уголовной ответственности.