MynnqrnolbHoe 6p.cxcerHoe ftpe)t(AeHhe AonolHr.rrelbHoro o6poroBoHnt Aotr,t AercrBo h loHoluecrBo ffi W KN#'",;sP EPXAAIO rerrod^S l-.A. CeprheHKo sNnO/ NONOXEH14E 06 o6po6orre u 3qu+hre nepcoHonbHbrx AoHHbtx r. MraaepoBo 1. Общие положения 1.1. Настоящее Положение об обработке и защите персональных данных в муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества (далее МБУ ДО ДДиЮ) регламентирует порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц (работников учреждения МБУ ДО ДДиЮ) и обучающихся, необходимых для осуществления деятельности МБУ ДО ДДиЮ и разработано в соответствие с Конституцией РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27.06.2006 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России и Роскомнадзора. 1.2. Персональные данные работника являются конфиденциальной информацией. 2. Цель и задачи 2.1.Целью данного Положения является защита персональных данных работников МБУ ДО ДДиЮ от несанкционированного доступа, неправомерного их использования или утраты. 2.2.Обеспечение в соответствии с законодательством Российской Федерации защиты, обработки, хранения и передачи персональных данных работников и обучающихся, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных, защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 2.3.Настоящее Положение утверждается и вводится в действие приказом директора МБУ ДО ДДиЮ и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников. 3. Понятие и состав персональных данных 3.1. Персональные данные работника – любая информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. 3.2. К персональным данным работника относятся: фамилия, имя, отчество; год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника; данные о семейном, социальном и имущественном положении; данные об образовании работника, наличии специальных знаний или подготовки; данные о профессии, специальности работника; сведения о доходах работника; данные медицинского характера, в случаях, предусмотренных законодательством; данные о членах семьи работника; данные о месте жительства, почтовый и электронный адрес, телефон работника, а также членов его семьи; данные, содержащиеся в трудовой книжке работника и его личном деле, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на налоговый учет; данные, содержащиеся в документах воинского учета (при их наличии); иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ. 3.3. Документы, указанные в п. 3.2. настоящего Положения, являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится. 3.4. На основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» и постановления Правительства РФ от 15.09.2008г. № 687 определить категорию ПДн, обрабатываемых в ИСПДн в электронном и в бумажном виде к классу 3 (К 3). 4. Порядок обработки и получения персональных данных. 4.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. 4.2. Получение персональных данных осуществляется в соответствии с нормативноправовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Роскомнадзора, Положением об обработке и защите персональных данных в МБУ ДО ДДиЮ города Миллерово и приказами директора ДДиЮ на основе письменного согласия субъектов на обработку их персональных данных. 4.2. Работодатель ДДиЮ (Оператор) не вправе требовать от субъекта персональных данных представления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и его частной жизни. 4.3. Без согласия субъектов персональных данных осуществляется обработка общедоступных персональных данных (содержащих только фамилию, имя и отчество), обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации. 4.4. Обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных, а также в случаях, предусмотренных нормативными правовыми актами Российской Федерации. 4.5. Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 4.6. В случае увольнения, отчисления субъекта персональных данных из МБУ ДО ДДиЮ и иного достижения целей обработки персональных данных, зафиксированных в письменном согласии, оператор МБУ ДО ДДиЮ обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 5 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено Федеральными Законами. 4.7. Персональные данные могут храниться в бумажном и электронном виде с соблюдением предусмотренных нормативными правовыми актами Российской Федерации мер по защите персональных данных. 4.8. Внутренний доступ (доступ внутри учреждения): К обработке, передаче и хранению персональных данных работников МБУ ДО ДДиЮ могут иметь доступ уполномоченные сотрудники учреждения на основании соответствующего приказа по МБУ ДО ДДиЮ и данного Положения, а также директор учреждения, заместитель директора, сам работник, (носитель данных), работники бухгалтерии, сотрудники компьютерных отделов. Внешний доступ: К числу массовых потребителей персональных данных вне учреждения можно отнести государственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, военкоматы, органы социального страхования, пенсионные фонды, подразделения муниципальных органов управления; - надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции; - организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, кредитные учреждения, банки), могут получить доступ к персональным данным работника только в случае его письменного разрешения; - другие организации. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке учреждения, Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом директора МБУ ДО ДДиЮ. 4.9. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативными правовыми актами Российской Федерации, нормативными и распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также приказами оператора МБУ ДО ДДиЮ. 5. Угроза утраты персональных данных 5.1. Угроза или опасность утраты персональных данных - единичное или комплексное, реальное проявление злоумышленных действий внешних или внутренних источников угрозы, оказывающих дестабилизирующее воздействие на защищаемую информацию. 5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. 5.3. Защита персональных данных представляет собой предупреждение нарушения доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечение безопасности информации в процессе управленческой и производственной деятельности учреждения. 5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем (оператором) за счет его средств в порядке, установленном Федеральным законом. 5.5. Внутренняя защита: 5.5.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами учреждения; 5.5.2. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер: 5.6. o ограничение и регламентация состава работников, обязанности которых требуют конфиденциальных знаний; функциональные o рациональное размещение рабочих мест работников при котором исключалось бы бесконтрольное использование защищаемой информации; o знание работником требований нормативно – методических документов по защите информации и сохранении тайны; o наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; o организация порядка уничтожения информации; o своевременное выявление нарушения требований разрешительной системы доступа работниками учреждения; o воспитательная и разъяснительная работа с работниками учреждения по предупреждению утраты ценных сведений при работе с конфиденциальными документами. Личные дела могут выдаваться на рабочие места только директору, заместителю директора, уполномоченным работникам в исключительных случаях (например, при подготовке материалов для аттестации работника). Внешняя защита: 5.6.1. Для защиты конфиденциальной информации создаются условия и препятствия для постороннего лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, и др. 5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к учреждению МБУ ДО ДДиЮ, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе уполномоченного персонала. 5.6.3. Для обеспечения внешней защиты персональных данных работников необходимо соблюдать ряд мер: o порядок приема, учета и контроля деятельности посетителей; o пропускной режим учреждения (в исключительных случаях – угроза работникам и обучающимся); o технические средства охраны, сигнализации; o требования к защите информации при интервьюировании и собеседованиях. 5.7. Уполномоченные лица, связанные с получением, обработкой и защитой персональных данных и лица, имеющие доступ к ПД обязаны подписать обязательство о неразглашении персональных данных работников учреждения МБУ ДО ДДиЮ. 6. Права субъекта персональных данных. В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеет право: 6.1. Получить сведения об операторе (МБУ ДО ДДиЮ), о месте нахождения, о наличии у оператора (МБУ ДО ДДиЮ) персональных данных, относящихся к соответствующему субъекту персональных данных, а также для ознакомления с такими персональными данными и с их обработкой. 6.2. Требовать от работодателя уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также на принятие предусмотренных законом мер по защите своих прав. 6.3. Получить при обращении информацию, касающуюся обработки его персональных данных. 6.4. Обжаловать действия или без действия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 6.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 6.6. Бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные. 6.7. Определить своих представителей для защиты своих персональных данных. 6.8. Подачи заявления в письменной форме при отказе оператора исключить или исправить персональные данные о своем несогласии с соответствующим обоснованием такого несогласия. 6.9. Дополнения персональных данных оценочного характера заявлением, выражающим его собственную точку зрения. 6.10. Требовать извещения оператором, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. 7. Обязанность оператора МБУ ДО ДДИЮ (работодателя) при сборе персональных данных. 7.1. Оператор обязан безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных. 7.2. Оператор обязан внести в персональные данные необходимые изменения, уничтожить или блокировать соответствующие персональные данные по представлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. 7.3. Оператор обязан уведомить о внесенных изменениях в персональные данные и принятых мерах субъекта персональных данных или его законного представителя, которым персональные данные этого субъекта были переданы. 7.4. В случае выявления неправомерных действий с персональными данными в срок, не превышающий 5 рабочих дней с момента такого выявления, работодатель обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий 5 рабочих дней с момента выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных обязан уведомить субъекта (работника) персональных данных или его законного представителя. 7.5. В случае отзыва субъектом персональных данных согласия на обработку, своих персональных данных, работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 5 рабочих дней с момента поступления указанного отзыва, если иное не предусмотрено соглашением между работодателем и субъектом персональных данных. Об уничтожении персональных данных работодатель обязан уведомить субъекта персональных данных. 7.6. Оператор МБУ ДО ДДиЮ не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. 8. Ответственность оператора. 8.1. Оператор МБУ ДО ДДиЮ (работодатель), а также уполномоченные за обработку, хранение и уничтожение персональных данных лица, виновные в нарушении требований Трудового кодекса Российской Федерации, Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. 8.2. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на уполномоченных лиц МБУ ДО ДДиЮ приказом оператора (директора МБУ ДО ДДиЮ). Ведущий уполномоченный по защите информации Л.В. Васильченкова С Положением об обработке и защите персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества ознакомлена, копию получила, приняла к руководству и исполнению. __________________________________________________________________ должность, Ф.И.О. дата «______» ________ 20 г. подпись Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества УТВЕРЖДАЮ Директор МБУ ДО ДДиЮ ________________ Г.А. Сергиенко приказ № ___ от «____»_________ 2020 Должностной регламент лиц, имеющих доступ и осуществляющих обработку персональных данных. 1. Общие положения 1.1. Должностной регламент лиц, имеющих доступ и осуществляющих обработку персональных данных в муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества (далее МБУ ДО ДДиЮ), обязателен для всех работников, осуществляющих обработку и допущенных к персональным данным, устанавливает требования по обеспечению получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц и обучающихся, необходимых для осуществления деятельности МБУ ДО ДДиЮ. 1.2. Должностной регламент лиц, имеющих доступ и осуществляющих обработку персональных данных в МБУ ДО ДДиЮ разработан на основании Трудового кодекса Российской Федерации, Федерального закона от 27.06.2006 № 152-ФЗ “О персональных данных”, постановлений Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без исполнения средств автоматизации». 2. Действия при обработке персональных данных. Должностные лица, имеющие доступ и осуществляющие обработку персональных данных (далее – уполномоченные лица), обязаны: 2.1. Осуществлять обработку персональных данных исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обучения и обеспечения сохранности имущества. 2.2. Получать все персональные данные непосредственно у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то должностные лица обязаны уведомить субъекта персональных данных об этом заранее, получить от него письменное согласие, сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 2.3. Не допускать получения и обработки персональных данных о политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, должностные лица вправе получать и обрабатывать данные о частной жизни лица только с его письменного согласия. 2.4. Не допускать получения и обработки персональных данных о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом или иными Федеральными законами. 2.5. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью. 2.6. Предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. 2.7. Соблюдать режим секретности (конфиденциальности) при получении и обработке персональных данных. 2.8. Разрешать доступ к персональным данным только специально уполномоченным лицам, которые имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций. 2.9. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности обучения или выполнения трудовой функции. 2.10. При фиксации персональных данных на материальных носителях не допускать фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. 2.11. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных использовать отдельный материальный носитель. 2.12. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принять меры по обеспечению раздельной обработки персональных данных, исключающее одновременное копирование иных персональных данных, не подлежащих распространению и использованию. 2.13. Не формировать, и не хранить без согласования с лицом, ответственным за защиту персональных данных, базы данных (карточки, файловые архивы и т. п.), содержащие персональные данные. 2.14. Не передавать персональные данные по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан. 2.15. Ответы на запросы граждан и организаций давать в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках. 3. Действия при обращении субъектов персональных данных и лиц, допущенных к персональным данным. В целях обеспечения доступа субъекта персональных данных к своим персональным данным уполномоченные лица обязаны: 3.1. Предоставлять субъекту персональных данных полную информацию о его персональных данных, хранящихся у ответственного уполномоченного лица, и обработке этих данных. 3.2. Регистрировать обращения субъектов персональных данных о предоставлении полной информации об их персональных данных, хранящихся у ответственного уполномоченного лица, и обработке этих данных в журнал учета обращений субъектов персональных данных по прилагаемой форме (приложение 1). Хранение журнала исключает несанкционированный доступ к нему. 3.3. Предоставлять субъекту персональных данных свободный бесплатный доступ к своим персональным данным, в том числе выдавать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом. 3.4. Регистрировать факт ознакомления субъекта персональных данных с его персональными данными, а также уполномоченных лиц, допущенных к персональным данным в журнале по ознакомлению с персональными данными по прилагаемой форме (приложение 2). 3.5. Исключать или исправлять неверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства, в порядке, предусмотренном настоящим Регламентом. 4. Действия при хранении персональных данных на съемных и материальных носителях. При хранении материальных носителей персональных данных уполномоченное лицо обязано: 4.1. Соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. 4.2. Обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, а также раздельное хранение съемных носителей с персональными данными с носителями открытой информации на рабочих столах. 4.3. Осуществлять учет и выдачу съемных носителей персональных данных с фиксацией в журнале учета съемных носителей по прилагаемой форме (приложение3). 4.4. Незамедлительно сообщать уполномоченному лицу, ответственному за защиту персональных данных в МБУ ДО ДДиЮ, об обнаружении фактов несанкционированного доступа к персональным данным. 4.5. Принять меры для незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 4.6. Не допускать воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование. 4.7. Не оставлять материальные носители с персональными данными без присмотра в незапертом помещении и не представлять их на хранение другим лицам. 4.8. После подготовки и передачи документов в соответствии с приказом директора МБУ ДО ДДиЮ (оператора) файлы черновиков и вариантов документа переносить на маркированные носители, предназначенные для хранения персональных данных. 4.9. Уничтожение съемных носителей персональных данных, пришедших в негодность, или отслуживших установленный срок, осуществлять по акту по прилагаемой форме (приложение 4) уполномоченной комиссией. 4.10. Немедленно ставить в известность оператора (директора МБУ ДО ДДиЮ) о фактах утраты съемных носителей, содержащих персональные данные, либо о разглашении содержащихся в них сведений. На утраченные носители составлять акт, соответствующие отметки вносить в журнал учета съемных носителей персональных данных. 5. Действия при ведении и использование типовых форм и журналов учета. При использовании и ведении типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должностное лицо обязано: 5.1. Использовать только типовую форму или связанные с ней документы (инструкция по ее заполнению, карточки, и журналы), которые: o должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес МБУ ДО ДДиЮ, фамилию, имя, отчество, и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых МБУ ДО ДДиЮ способов обработки персональных данных; o должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; o должны исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы. 5.2. Получать согласие субъекта персональных данных на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости, в виде отметки в специальном поле типовой формы документа. 5.3. Использовать журналы (реестры, книги), необходимость которых предусмотрена локальным актом МБУ ДО ДДиЮ, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно и по должности), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию МБУ ДО ДДиЮ, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных. 5.4. Не допускать копирования содержащихся в таких журналах (реестрах, книгах) информации. 5.5. Заносить персональные данные каждого субъекта персональных данных в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию МБУ ДО ДДиЮ. 6. Действия при уничтожении или уточнении персональных данных. 6.1. В случае достижения цели обработки уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производить способом, исключающим обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе, (удаление, вымарывание) с составлением акта по прилагаемой форме (приложение 5). 6.2. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточнением персональных данных. 6.3. Известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях. 7. Ответственность оператора. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Ведущий уполномоченный по защите информации Л.В. Васильченкова. С Должностным регламентом лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества города Миллерово ознакомлена, копию получила, приняла к руководству и исполнению. _______________________________________________________________________ (наименование должности, ФИО) «_____»____________ 20 г ___________________ подпись Приложение 1 к должностному регламенту лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества, утвержденному приказом директора МБУ ДО ДДиЮ от «____» __________ 20 ___г. Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества ЖУРНАЛ учета обращений субъектов персональных данных №, п/п Дата поступления запроса Ф.И.О. адрес субъекта персональных данных Исполнитель Дата ответа способ отправки Примечание Приложение 2 К должностному регламенту лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества, утвержденному приказом директора МБУ ДО ДДиЮ от «______» ___________ 20____ г. ЖУРНАЛ по ознакомлению с персональными данными № п/п Дата поступления запроса Название организаци и дата и номер поступившег о документа Ф.И.О. субъекта ПД Исполнитель Дата и способ отправки Примечание Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества УТВЕРЖДАЮ Директор МБУ ДО ДДиЮ _________________ Г.А. Сергиенко приказ № ______ от «_____»_________ 2020г Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества 1. Общие положения 1.1. Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества, обязательна для всех уполномоченных лиц МБУ ДО ДДиЮ и устанавливает требования по обеспечению конфиденциальности документов, содержащих персональные данные, и разработана на основании Трудового кодекса Российской Федерации, Федерального закона от 27.06.2006 № 152-ФЗ “О персональных данных”, постановлений Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без исполнения средств автоматизации». 1.2. Персональными данными является любая информация, относящаяся к определенному на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, социальное, имущественное положение, образование, профессия, доходы, другая информация. 1.3. Конфиденциальность персональных данных предусматривает обязательное согласие субъекта персональных данных или наличие иного законного основания на их обработку. 1.4. Согласие субъекта персональных данных не требуется на обработку персональных данных: в целях исполнения обращения, запроса субъекта персональных данных, трудового или иного договора с ним; адресных данных, необходимых для доставки почтовых отправлений организациями почтовой связи; данных, включающих в себя только фамилии, имена и отчества; в целях однократного пропуска на территорию или в иных аналогичных целях; персональных данных, обрабатываемых без использования средств автоматизации. 2. Основные требования и мероприятия по обеспечению безопасности при обработке и хранении персональных данных в информационных системах. 2.1. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. 2.2. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. 2.3. Информационные системы классифицируются МБУ ДО ДДиЮ, осуществляющей обработку персональных данных, а также определяющей цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства в порядке, предусмотренном приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных». 2.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. 2.5. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 2.6. Безопасность персональных данных при их обработке в информационной системе обеспечивают уполномоченные лица и лица, имеющие доступ к ПД МБУ ДО ДДиЮ, определенные приказом директора МБУ ДО ДДиЮ. 2.7. При обработке персональных данных в информационной системе должно быть обеспечено: проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и передачи их лицам, не имеющим права доступа к такой информации; своевременное обнаружение фактов несанкционированного доступа к персональным данным; недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате, которого может быть нарушено их функционирование; возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; постоянный контроль обеспечения уровня защищенности персональных данных. 2.8. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; учет лиц, допущенных к работе с персональными данными в информационной системе; контроль соблюдения условий использования средств защиты информации, предусмотренный эксплуатационной и технической документацией; 2.9. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе в МБУ ДО ДДиЮ приказом директора МБУ ДО ДДиЮ назначаются уполномоченные лица (работники), ответственные за обеспечение безопасности персональных данных. 2.10. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании, приказа утвержденного директором МБУ ДО ДДиЮ. 2.11. Запросы пользователей информационной системы на получение персональных данных, допущенных к персональным данным лиц, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими уполномоченными лицами (работниками) МБУ ДО ДДиЮ. 2.12. При обнаружении нарушений порядка предоставления персональных данных предоставление персональных данных пользователям информационной системы незамедлительно приостанавливается приказом директора МБУ ДО ДДИЮ до выявления причин нарушений и устранения этих причин. 2.13. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков. 3. Основные требования и мероприятия по обеспечению безопасности при обработке и хранении персональных данных без использования средств автоматизации. 3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). 3.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 3.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы руководителем соответствующего структурного подразделения о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами МБУ ДО ДДиЮ. 3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее-типовая форма), соблюдаются следующие условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес МБУ ДО ДДиЮ, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых МБУ ДО ДДиЮ способов обработки персональных данных; типовая форма предусматривает поле, в котором субъект персональных данных поставит отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; типовая форма исключат объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. 3.5. Журнал (реестр, книга), содержащий персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию МБУ ДО ДДиЮ или в иных аналогичных целях, соблюдает следующие условия: журнал (реестр, книга) предусмотрен актом МБУ ДО ДДиЮ, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способ фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно и по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию МБУ ДО ДДиЮ без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию МБУ ДО ДДиЮ. 3.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 3.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 3.8. Правила, предусмотренные пунктами 3.6 и 3.7 и 10 настоящей Инструкции, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. 3.9. Уточнение персональных данных, при осуществлении их обработки без использования средств автоматизации, производится путем обновления или изменения данных на материальном носителе. Если, это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 3.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 3.11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 3.12. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются приказом директора МБУ ДО ДДиЮ. 4. Должностные обязанности лиц, обрабатывающих персональные данные и допущенных к ним. 4.1. Сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных. 4.2. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении. 4.3. Сотрудникам, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не связано со служебной необходимостью. 4.4. После подготовки и передачи документов в соответствии с резолюцией директора МБУ ДО ДДиЮ файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных. 4.5. Без согласования с лицом, ответственным за защиту персональных данных в МБУ ДО ДДиЮ, формирование и хранение баз данных (карточек, файловых архивов и др.) содержащих, конфиденциальные данные запрещается. 4.6. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан. 4.7. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках. 5. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и утилизации. 5.1. Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер. Учет и выдачу съемных носителей персональных данных осуществляют уполномоченные сотрудники, на которых возложены функции хранения носителей персональных данных. Сотрудники МБУ ДО ДДиЮ получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнал учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета. 5.2. Запрещается: хранить съемные носители с персональными данными вместе с носителями открытой информации на рабочих столах либо оставлять их без присмотра или представлять на хранение другим лицам; выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д. 5.3. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном, для документов служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения уполномоченного лица. 5.4. О фактах потери съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений немедленно ставится в известность ответственный уполномоченный. На утраченные носители составляется акт. Соответствующие отметки вносятся в журнал учета съемных носителей персональных данных. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется соответствующий акт. 6. Ответственность оператора. 6.1. Уполномоченные сотрудники, осуществляющие обработку и хранение конфиденциальных данных в МБУ ДО ДДиЮ, несут ответственность за обеспечение их сохранности и безопасности. 6.2. Лица, виновные в нарушении норм, регулирующих обработку и хранение конфиденциальных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством и ведомственными нормативными актами. Ведущий уполномоченный по защите информации Л.В. Васильченкова. С Должностным регламентом лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества ознакомлена, копию получила, приняла к руководству и исполнению. _______________________________________________________________________ (наименование должности, ФИО,) «_____»____________ 20 г ___________________ подпись Приложение 3 Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества УТВЕРЖДАЮ Директор МБУ ДО ДДиЮ ____________ Г. А. Сергиенко Приказ № ____ «____»____________20____г. ЖУРНАЛ Учета съемных носителей персональных данных Начат Окончен «____»____________20 ____ г «_____»___________20 ____ г На _____ листах ____________________________________________________________________________________ Ф.И.О. ответственного за обработку и хранение № П/П Метка съемного носителя (учетный №) Фамилия исполнителя (получил, вернул, передал) подпись Дата записи информации Подпись исполнителя № и дата отправки адресату или распоряжение о передаче № и дата утраты, неисправность, заполнение подлежащим хранению данными Приложение 4 к должностному регламенту лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества, утвержденному приказом директора от «_____»________20 г. Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества УТВЕРЖДАЮ Директор МБУ ДО ДДиЮ ________________ Г.А. Сергиенко приказ № _____ от «_____»_________ 20 ____г. АКТ уничтожения съемных носителей персональных данных Комиссия, наделенная полномочиями приказом директора МБУ ДО ДДиЮ от «_____» ___________ 20 ____ г. № _____, в составе: ____________________________________________________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ (должности, ФИО) провела отбор съемных носителей персональных данных, не подлежащих дальнейшему хранению: № п/п Дата Учетный номер съемного носителя Пояснения Всего съемных носителей___________________________________________________________ (цифрами и прописью) На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.). Перечисленные съемные носители уничтожены путем ____________________________________________________________________________________________________________________ (разрезания, демонтажа и т.п.) ____________________________________________________________________________________________________________________ Измельчены и сданы для уничтожения предприятию по утилизации вторичного сырья. ____________________________________________________________________________________________________________________ (наименование предприятия, дата) Председатель комиссии __________________________________________________________________________________________ (подпись) (дата) Члены комиссии: ___________________ _____________ ________________________________________________________ (подпись) (дата) ___________________ _____________ _______________________________________________________ (подпись) (дата) _______________________________________________________________________________________ (подпись) (дата) Приложение 5 к должностному регламенту лиц, имеющих доступ и осуществляющих обработку персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества, утвержденному приказом директора от «_____»_________20 г. Муниципальное бюджетное учреждение дополнительного образования Дом детства и юношества УТВЕРЖДАЮ Директор МБУ ДО ДДиЮ _____________ Г.А. Сергиенко приказ № _______ от «______»__________ 20 ____г АКТ уничтожения персональных данных Комиссия, наделенная полномочиями приказом директора МБУ ДО ДДиЮ от «___» ______20____ г. №______ в составе: _____________________________________________________________________________________________ (должности, ФИО) _____________________________________________________________________________________________ (должности, ФИО) _____________________________________________________________________________________________ (должности, ФИО) составили настоящий акт о том, что «____»__________ 20______г. по случаю достижения цели _____________________________________________________________________________________________ (цель обработки) обработки произведено уничтожение конфиденциальной информации, не подлежащей дальнейшему хранению: № Заголовок документа, Дата Количество Сроки Пояснения п/п дела или групповой документа, документов хранения и заголовок документов дела или (дел, томов, номера статей крайние частей) по перечню даты дел Итого___________________________________________ дел/документов за ______________ годы Уничтожение произведено в присутствии всех членов комиссии путем _____________________. Председатель комиссии:___________________________________________________________________ (ФИО, подпись, дата) Члены комиссии: ____________________________________________________________________ (ФИО, подпись, дата) ___________________________________________________________________ (ФИО, подпись, дата) ___________________________________________________________________ (ФИО, подпись, дата) Приложения к Положению об обработке и защите персональных данных в Муниципальном бюджетном учреждении дополнительного образования Доме детства и юношества. Приложение 1 Согласие работника на получение его персональных данных у третьей стороны Директору МБУ ДО ДДиЮ от (ФИО, должность работника) (год рождения) проживающий по адресу: паспорт: выдан: Письменное согласие работника на получение его персональных данных у третьей стороны Я, в соответствии со ст. 86 ТК РФ , получение моих персональных данных, (согласен, не согласен) а именно: у (Ф.И.О. физического лица или наименование организации, у которых получается информация) О целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение предупрежден. «____» ______________20___г. (подпись) (Ф.И.О. работника) Примечание: 1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника. 2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров. 3. Перечень персональных данных уточняется исходя из целей получения согласия. Приложение 2 Перечень должностей сотрудников, имеющих доступ к персональным данным работников МБУ ДО ДДиЮ и которым они необходимы в связи с исполнением трудовых обязанностей. 1. Директор МБУ ДО ДДиЮ – Сергиенко Г.А. 2. Заместитель директора МБУ ДО ДДиЮ – Сур Т.Д. 3. Бухгалтер по начислению заработной платы сотрудникам МБУ ДО ДДиЮ – Пимченко К.А. 4. Экономист – Любимова И.А. 5. Начальник отдела кадров МУ УО – Синькевич Л.А. 6. Секретарь МБУ ДО ДДиЮ – Казмерова И.А. 7. Ведущий уполномоченный по обработке ПД – Васильченкова Л.В. 8. методист – Заикина Г.Н. 9. Дежурный бюро пропусков - зам.директора по АХЧ Демченко В.М. Приложение 3 Обязательство о соблюдении режима конфиденциальности персональных данных работника МБУ ДО ДДиЮ Я,, работая по должности (профессии) в МБУ ДО ДДиЮ Обязуюсь: 1. Не разглашать, не раскрывать публично, а также соблюдать установленный Положением о защите персональных данных работника МБУ ДО ДДиЮ порядок передачи третьим лицам сведений, составляющих персональные данные работников, которые мне будут доверены или станут, известны по работе. Выполнять относящиеся ко мне требования Положения о защите персональных данных работника, приказов, распоряжений, инструкций и других локальных нормативных актов по обеспечению конфиденциальности персональных данных работников и соблюдению правил их обработки. 2. В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные работника, немедленно сообщить руководителю МБУ ДО ДДиЮ 3. В случае моего увольнения, все носители, содержащие персональные данные работников (документы, копии документов, дискеты, диски, магнитные ленты, распечатки на принтерах, черновики, кино, аудио материалы и пр.), которые находились в моем распоряжении в связи с выполнением мною трудовых обязанностей во время работы у работодателя, передать руководителю МБУ ДО ДДиЮ или другому сотруднику по указанию руководителя учреждения. 4. Сообщить руководителю об утрате или недостаче документов или иных носителей, содержащих персональные данные работников (удостоверений, пропусков и т.п.); ключей от хранилищ, и о других фактах, которые могут привести к разглашению персональных данных работников, а также о причинах и условиях возможной утечки сведений. Я ознакомлен под роспись: с Положением о защите персональных данных работника МБУ ДО ДДиЮ. Мне известно, что нарушение мною обязанностей по защите персональных данных работников может повлечь дисциплинарную, гражданско-правовую, уголовную и иную ответственность в соответствии с законодательством РФ. "____" ______________20___г. (подпись) (Ф.И.О. работника) Приложение 4 Письменное согласие работника на передачу его персональных данных третьей стороне Директору МБУ ДО ДДиЮ от (ФИО, должность работника) (год рождения) проживающий по адресу: паспорт: выдан: Я, в соответствии со ст. 86 ТК РФ передачу моих персональных данных, (согласен, не согласен) а именно: фамилия, имя, отчество; паспортные данные; год, месяц, дата и место рождения; домашний адрес и телефон; семейное, социальное, имущественное положение; образование; профессия; сведения о трудовом и общем стаже; доходы, полученные мной в данном учреждении; сведения о воинском учете; для обработки в целях следующим лицам (указываются Ф.И.О. физического лица или наименование организации, которым сообщаются данные) Согласие на передачу персональных данных третьей стороне действительно в течение всего срока действия трудового договора. Подтверждаю, что ознакомлен с Положением о защите персональных данных работника в МБУ ДО ДДиЮ, права и обязанности в области защиты персональных данных мне разъяснены, а также право работодателя обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия, в соответствии с законодательством РФ. Подтверждаю, что отзыв согласия производится в письменном виде в соответствии с действующим законодательством. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя. "____" ______________20___г. (подпись) (Ф.И.О. работника) Примечание: 1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника. 2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров. 3. Перечень персональных данных не является исчерпывающим, и уточняется, исходя из целей получения согласия. Приложение 5 Письменное согласие работника на передачу его персональных данных в коммерческих целях Директору МБУ ДО ДДиЮ от (ФИО, должность работника) (год рождения) проживающий по адресу: паспорт: выдан: Я, в соответствии со ст. 86 ТК РФ передачу моих персональных данных, (согласен, не согласен) а именно: в коммерческих целях:_____________________________________________________________ следующим лицам (указываются Ф.И.О. физического лица или наименование организации, которым сообщаются данные) "____" ______________20___г. (подпись) (Ф.И.О. работника) Примечание: 1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника. 2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров. 3. Перечень персональных данных уточняется исходя из целей получения согласия. Приложение 6 Акт приема – передачи документов (иных материальных носителей), содержащих персональные данные работника Во исполнение договора на оказание услуг № от «___»______ 20___года, заключенного между МБУ ДО ДДиЮ и, (наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные работника) _________________________________, в лице (Ф.И.О., должность работника "НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ", осуществляющего передачу персональных данных работника) передает, а (наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные работника) в лице (Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные работника) получает документы (Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные работника) (иные материальные носители), содержащие персональные данные работника на срок __________ и в целях: (указать цель использования) Перечень документов (иных материальных носителей), содержащих персональные данные работника № п/п Наименование документа Кол-во Всего Полученные персональные данные работника могут быть использованы лишь в целях, для которых они сообщены. Незаконное использование предоставленных персональных данных путем их разглашения, уничтожения и другими способами, установленными федеральными законами, может повлечь соответствующую гражданско-правовую, материальную, дисциплинарную, административноправовую и уголовную ответственность. Передал (Ф.И.О., должность работника "НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ", осуществляющего передачу персональных данных работника) Принял (Ф.И.О., должность, представителя организации – приемщика документов (иных материальных носителей), содержащих персональные данные работника) Приложение 7 Директору МБУ ДО ДДиЮ Сергиенко Г.А. от _________________________________________ (Ф.И.О. ) Отзыв согласия на обработку персональных данных «____» _____________ 20____ г. Настоящим во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. Я, гражданин РФ – _________________________________________________________________________ (Ф.И.О.) паспорт №_________________серия_____________________ кем выдан __________________________________________________________________________________ дата выдачи «____» ______________ 20____г., адрес регистрации: ____________________________________________________________________ отзываю у оператора МБУ ДО ДДиЮ (место нахождения: 346130 г. Миллерово, улица Ленина, 22) свое согласие на обработку моих персональных данных в целях содействия в трудоустройстве. Прошу прекратить обработку моих персональных данных в срок, не превышающий пяти рабочих дней с даты поступления настоящего отзыва. ______________________________________________________________________________________ (Ф.И.О. полностью, подпись)