Утверждено приказом
КГБПОУ «ВБМК»
от 24 августа 2015 года № 178-О
ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
КГБПОУ «ВБМК»
г.Владивосток 2015
Общие положения
Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных», уставом вуза и определяет порядок обработки и защиты персональных данных работников колледжа и обучающихся.
сведения о:
анкетных и биографических данных;
образовании;
трудовом и общем стаже;
составе семьи;
паспортных данных;
воинском учете;
заработной плате работника;
социальных льготах;
специальности;
занимаемой должности;
наличии судимостей;
адресе места жительства, домашнем телефоне;
месте работы или учебы членов семьи и родственников;
характере взаимоотношений в семье;
содержании трудового договора;
составе декларируемых сведений о наличии материальных ценностей;
содержании декларации, подаваемой в налоговую инспекцию;
подлинниках и копиях приказов по личному составу;
личных делах и трудовых книжках работников;
делах, содержащих материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;
копиях отчетов, направляемых в органы статистики.
2.2. Обучающихся
- документы, предъявляемые в приемной комиссии при заполнении заявления для участия в вступительных испытаниях (паспорт или документ, удостоверяющий личность; документы воинского учета; документ об образовании; свидетельство ЕГЭ);
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательстве (об инвалидности, и т.п.);
- медицинская справка;
- договор о внебюджетном обучении (для договорных обучающихся);
- квитанции об оплате по договору.
Перечень персональных данных обучающихся представлен в приложении 2.
К основным принципам обработки персональных данных можно отнести:
а) принцип законности целей и способов обработки персональных данных;
б) принцип соответствия объема и характера обрабатываемых персональных данных, способов их обработки и целям обработки персональных данных;
в) принцип достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным при их сборе целям;
г) принцип недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
д) принцип защиты персональных данных от неправомерного доступа и их использования или утраты.
При обработке персональных данных должны соблюдаться, согласно положения статьи 86 Трудового кодекса РФ, следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет право основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работником, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Персональные данные работника содержатся в основном документе персонального учета работников – в личной карточке работника, которая заполняется работником отдела кадров после издания приказа о его приеме на работу и хранится в специально оборудованном шкафу.
Персональные данные обучающихся содержатся в основном документе персонального учета обучающихся – в личной карточке обучающихся, которая заполняется работниками учебной части после издания приказа о его зачислении на учебу и хранится в специально оборудованном шкафу.
Для уничтожения данных на бумажных носителях в подразделениях, работающих с персональными данными работников и студентов, должна быть установлена офисная техника «Уничтожение документов».
Документы, содержащие информацию о персональных данных работников и студентов, хранятся на бумажном и электронном носителе в отделе кадров колледжа, планово-экономическом отделе, расчетном отделе. Доступ к такой информации без получения специального разрешения имеют директор колледжа, юрисконсульт, главный бухгалтер, работники
бухгалтерии, работники отдела кадров, заместители директора и заведующие отделений в соответствии со своими должностными обязанностями. Иные работники колледжа могут иметь доступ к персональным данным работников и студентов, если они получили разрешение ректора в виде визы на служебной записке, обосновывающей необходимость ознакомления и использования персональных данных конкретного работника.
Для работников АСУ право доступа к данным в процессе настройки вычислительной техники и разработки информационных систем оговаривается в должностных инструкциях и закрепляется дополнительным трудовым соглашением.
Со сторонними работниками, сопровождающими работу информационных систем, следует заключать договора о неразглашении персональных данных работников и студентов.
Согласно положения «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007г. №781 , под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Работа по обеспечению безопасности персональных данных при их обработке в информационных системах являются необъемлемой частью работ по созданию информационных систем.
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений (с помощью систем сигнализации), в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения в этих помещениях посторонних лиц.
При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) организация учета лиц, допущенных к работе с персональными данными в информационной системе на основании служебных записок и дополнительных трудовых соглашений (учет возложить на начальника управления кадров);
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании пункта 5 данного положения.
Контроль за организацией доступа к персональным данным возложить на начальника управления кадров, главного бухгалтера, начальника планово-финансового управления, деканов факультетов и директоров институтов.
При обнаружении нарушений порядка предоставления персональных данных начальник управления кадров незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
Для обеспечения безопасности персональных данных информационные системы, предназначенные для хранения и обработки персональных данных, должны располагаться на сервере управления кадров, управления бухгалтерского учета и финансового контроля и планово-финансового управления. Обслуживание сервера возлагается на работников АСУ под руководством начальника АСУ.
В статье 88 ТК РФ содержаться правила, которые должны соблюдаться при передаче персональных данных, так и конкретные процедуры и способы взаимодействия работников и студентов колледжа и работников отдела кадров, а также иных подразделений колледжа по передаче информации, содержащей персональные данные работников и обучающихся:
Эти права установлены статьей 89 Трудовым кодексом РФ. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
Трудовой кодекс РФ не содержит в главе 14 «Защита персональных данных работника» норм об обязанностях работника в этой сфере, однако подпунктом 8 статьи 86 Трудового кодекса РФ предусмотрено, что работники, студенты и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников и студентов, а также об их правах и обязанностях в этой области. Работник и студент должен быть заранее предупрежден о необходимости предоставления достоверных сведений и о возможности ответственности в случае нарушения своей обязанности.
Правовой основой для установления обязанности работника и студентов по предоставлению достоверной информации о своих персональных данных служит положение статьи 8 ТК РФ, устанавливающий полномочия работодателя по принятию локальных нормативных актов, содержащих нормы трудового права.
10. Порядок передачи информации о работнике и студенте.
Работники отдела кадров колледжа, бухгалтерии, планово-экономического отдела и учебной части, ответственные за работу с персональными данными, должны четко знать случаи, при которых они могут передать информацию о работнике и студенте запрашивающим лицам. К таким случаям, как правило, относят запросы о получении информации о работниках и обучающихся колледжа, направленные различными государственными органами.
Наиболее вероятно, что подобные запросы поступают из судебных или правоохранительных органов.
На основании части 2 статьи 57 Гражданского процессуального кодекса Российской Федерации (ГПК РФ) суд вправе выдать работнику и студенту запрос для получения доказательства или направить запрос самостоятельно:
Статья 57. Представление и истребование доказательств
1. Доказательства представляются сторонами и другими лицами, участвующими в деле. Суд вправе предложить им представить дополнительные доказательства. В случае, если представление необходимых доказательств для этих лиц затруднительно, суд по их ходатайству оказывает содействие в собирании и истребовании доказательств.
2. В ходатайстве об истребовании доказательства должно быть обозначено доказательство, а также указано, какие обстоятельства, имеющие значение для правильного рассмотрения и разрешения дела, могут быть подтверждены или опровергнуты этим доказательством, указаны причины, препятствующие получению доказательства, и место нахождения доказательства. Суд выдает стороне запрос для получения доказательства или запрашивает доказательство непосредственно. Лицо, у которого находится истребуемое судом доказательство, направляет его в суд или передает на руки лицу, имеющему соответствующий запрос, для представления в суд.
3. Должностные лица или граждане, не имеющие возможности представить истребуемое доказательство вообще или в установленный судом срок, должны известить об этом суд в течение пяти дней со дня получения запроса с указанием причин. В случае неизвещения суда, а также в случае невыполнения требования суда о представлении доказательства по причинам, признанным судом неуважительными, на виновных должностных лиц или на граждан, не являющихся лицами, участвующими в деле, налагается штраф - на должностных лиц в размере до десяти установленных федеральным законом минимальных размеров оплаты труда, на граждан - до пяти установленных федеральным законом минимальных размеров оплаты труда.
4. Наложение штрафа не освобождает соответствующих должностных лиц и граждан, владеющих истребуемым доказательством, от обязанности представления его суду.
При этом следует учитывать то обстоятельство, что виновным должностным лицом (вне зависимости от того, на кого возложены в университете обязанности по работе со сведениями, составляющими персональные данные) будет признан директор колледжа, поэтому, несмотря на незначительный размер штрафа, судебный запрос должен быть исполнен в срок и в полном объеме.
В ситуациях, когда предоставление сведений о персональных данных работника и студента может потребоваться при ведении расследования по уголовным делам. Статья 21 Уголовно-процессуального кодекса Российской Федерации (УПК РФ) предусмотрено, что запросы прокурора, следователя, органа дознания и дознавателя, предъявленные в пределах их полномочий, установленных УПК РФ, обязательны для исполнения всеми учреждениями, предприятиями, организациями, должностными лицами и гражданами.
Статья 21. Обязанность осуществления уголовного преследования
1. Уголовное преследование от имени государства по уголовным делам публичного и частно-публичного обвинения осуществляют прокурор, а также следователь и дознаватель.
2. В каждом случае обнаружения признаков преступления прокурор, следователь, орган дознания и дознаватель принимают предусмотренные настоящим Кодексом меры по установлению события преступления, изобличению лица или лиц, виновных в совершении преступления.
3. Следователь, а также с согласия прокурора дознаватель в случаях, предусмотренных частью четвертой статьи 20 настоящего Кодекса, уполномочены осуществлять уголовное преследование по уголовным делам независимо от волеизъявления потерпевшего.
4. Требования, поручения и запросы прокурора, следователя, органа дознания и дознавателя, предъявленные в пределах их полномочий, установленных настоящим Кодексом, обязательны для исполнения всеми учреждениями, предприятиями, организациями, должностными лицами и гражданами.
11. Ответственность за нарушение законодательства об охране персональных данных.
Ответственность за нарушение законодательства об охране персональных данных может быть дисциплинарной, административной и уголовной.
К дисциплинарной ответственности может быть привлечен работник управления кадров, бухгалтерии, иного подразделения, использующего в своей работе персональные данные.
В подпункте «в» пункта 6 статьи 81 Трудового кодекса РФ предусматривается, что «разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника».
К административной ответственности могут быть привлечены как работники управления кадров и иных подразделений, так и ректор университета и организация в целом на основании статей 2.4. КоАП РФ и 13.11. КоАП РФ.
Административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.
Примечание. Под должностным лицом в настоящем Кодексе следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации. Совершившие административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководители и другие работники иных организаций, а также лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как должностные лица, если законом не установлено иное.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
Уголовная ответственность за нарушение неприкосновенности частной жизни предусмотрена статьей 137 УК РФ. В качестве наказания за это преступление предусмотрено наложение штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательные работы на срок от ста двадцати до ста восьмидесяти часов, либо исправительные работы на срок до одного года, либо арест на срок до четырех месяцев.
Если же преступление совершено с использованием служебного положения, то наказанием может быть штраф в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, лишение права занимать определенные должности или заниматься определенной деятельность на срок от двух до пяти лет, либо арест на срок от четырех до шести месяцев (часть 2 статьи 137 УК РФ).
Приложение 1
Персональные данные
Работников (сведения о)
Приложение 2
Персональные данные
СТУДЕНТОВ
ДОПОЛНИТЕЛЬНЫЕ ДАННЫЕ ДЛЯ ДОГОВОРНЫХ СТУДЕНТОВ: