В каждом образовательном учреждении должны соблюдать требования законодательства, регламентирующего работу с персональными данными. На руководителя такого заведения накладывается обязанность разработать, внедрить и обеспечить выполнение Положения о защите персональной информации. Это касается и дошкольных образовательных учреждений. Требования к составлению такого документа законодательством строго не регламентированы, но в нем должны содержаться все необходимые данные, которые позволят охватить всю деятельность ДОУ по обработке персональных данных (ПДн) персонала таких учреждений.

Основные разделы Положения

Локальный документ о защите персональных данных работников ДОУ обычно состоит из следующих разделов:

1. Общие сведения.
2. Определение понятий.
3. Действия по обработке ПДн.
4. Обеспечение доступа к персональным сведениям персонала.
5. Способы защиты ПДн.
6. Права сотрудников ДОУ в отношении ПДн.
7. Ответственность.

Общие сведения

Данный раздел должен быть посвящен целям, которые преследуются при создании этого документа. Основная цель – необходимость создания действенной системы защиты личной информации работников дошкольного учреждения от доступа посторонних лиц, незаконного использования или утери. Обязательно указывается, на основании каких законодательных актов разрабатывается данный документ:

• Конституция РФ;
• ТК РФ;
• ГК РФ;
• КоАП;
• УК РФ;
• ФЗ «Об информации, информатизации…».

ПДн относятся к конфиденциальным сведениям. Этот статус данных должен быть снят, если они обезличиваются или заканчивается срок их сбережения – 75 лет. Данное требование соблюдается, если другое не предусмотрено законодательством. Введение в действие Положения осуществляется приказом, изданным от имени заведующего ДОУ. Выполнять его обязаны все сотрудники учреждения, которые имеют доступ к личной информации работников.

Определение основных понятий

Раздел, в котором нужно ознакомить сотрудников ДОУ с основными определениями и их значением. Персональные данные работников ДОУ – сведения, используемые для выполнения трудовых отношений, относящиеся к конкретному работнику.

Данный раздел должен содержать ПДн следующего характера:

• анкетные;
• биографические;
• о семейном положении, количественном составе семьи;
• данные паспорта;
• информация об отношении к военным обязанностям работника;
• информация о зарплате;
• сведения о наличии соцльгот;
• документы, подтверждающие наличие специальности;
• домашний адрес, номер телефона;
• личное дело, трудовая книжка;
• документы о повышении квалификации, переподготовке, аттестации и иные сведения, необходимые для выполнения должностных обязанностей.

Перечисленные выше документы носят конфиденциальный характер, но их обработка является массовой, они хранятся в учреждении в одном месте, поэтому на эти сведения специальный гриф ограничения их использования не проставляется.

Действия по обработке ПДн работников ДОУ

Раздел, освещающий вопросы обработки ПДн Положения, должен раскрывать само понятие обработки. В ДОУ работодатель и уполномоченные им лица имеют право на выполнение следующих действий в отношении ПДн:

• получать;
• хранить;
• комбинировать;
• передавать;
• выполнять другие операции с ПДн, не запрещенные законом.

Для обеспечения прав и свобод сотрудника ДОУ работодатель, уполномоченные им лица во время обработки личных сведений персонала должны выполнять установленные законодательством требования, которые также следует внести в данный раздел Положения.

Должны соблюдаться заявленные цели, обеспечивающие выполнение законодательных норм; оказываться помощь субъекту ПДн в получении работы, проведении его обучения, служебного повышения; выполняться требования в плане личной безопасности персонала; контролироваться качество выполнения им своих должностных обязанностей; обеспечиваться сохранность имущества ДОУ.

Определяя объем, содержание ПДн для их обработки, работодатель обязан выполнять конституционные требования, нормы ТК РФ и федерального законодательства.

Данные личного характера, имеющие отношение к конкретному работнику, должны быть получены только от него. Можно также оговорить, что информация личного характера о сотруднике может быть получена из других, не запрещенных законом источников. В случае использования в качестве источников ПДн третьей стороны работодатель должен предварительно поставить в известность работника об этом и получить у него письменное разрешение. Также работодатель должен уведомить работника о целях, которые он преследует во время сбора его ПДн, способах и источниках получения персональных сведений. Также работнику нужно сообщить о последствиях, которые могут наступить при отказе от выдачи разрешения на получение его личной информации.

Работодателю не разрешается получать и проводить обработку ПДн сотрудника ДОУ, которые касаются его политических, религиозных и прочих убеждений, а также личной жизни. Если сведения о личной жизни сотрудника ДОУ имеют отношение к его трудовой деятельности, их можно получать и обрабатывать, но только если работник дал свое письменное согласие на эти действия.

Данные о членстве сотрудника ДОУ в каких-либо общественных организациях, профсоюзной организации работодатель не может получать и проводить их обработку. Но если есть законные основания для выполнения этих действий, сбор и обработка ПДн такого характера разрешаются.

В данном пункте Положения о защите ПДн сотрудников ДОУ важно определить круг лиц, которые могут быть допущены к сбору, обработке, хранению личных сведений персонала дошкольного учреждения. К таким лицам могут быть отнесены бухгалтер, представитель администрации, медсестра, деловод, воспитатели (этой категории работников доступны персональные сведения воспитанников детского образовательного учреждения).

Работодатель имеет право использовать ПДн работников ДОУ только для целей, которые преследовались во время получения этих данных.
Можно включить в данный пункт норму о том, что ПДн не должны использоваться в целях, которые могут принести субъекту имущественный, моральный вред, привести к проблемам с реализацией прав и свобод, предусмотренных для всех граждан конституционными нормами.

Важно внести в данный раздел Положения о защите ПДн информацию о том, что передавать сведения о гражданине работодатель может только после получения его согласия или без такового, если это предусмотрено законом.

Обязательные требования, соблюдение которых предусматривается при передаче ПДн персонала ДОУ:

1. получить письменное разрешение работника ДОУ при передаче ПДн третьей стороне (кроме законодательно оговоренных случаев или когда эти действия необходимы для устранения угрозы жизни, здоровью этого члена трудового коллектива);
2. не разглашать личную информацию сотрудника ДОУ, если он не дал своего согласия в письменном виде (если иное не предусмотрено законодательством);
3. не разглашать ПДн сотрудника в коммерческих целях, если не получено его личное письменное разрешение;
4. лица, которые получают в ДОУ личные данные сотрудника, должны быть предупреждены о том, что такие сведения могут использоваться только для целей, которые сообщаются. Работодатель должен требовать от таких лиц, чтобы они соблюдали это требование. Получатели ПДн в ДОУ должны придерживаться режима секретности во время работы с персональными сведениями. Это требование не применяется в отношении обмена ПДн сотрудников образовательного учреждения в соответствии с порядком, предусмотренным федеральным законодательством;
5. давать доступ к ПДн работодатель может исключительно лицам, которым предоставлены приказом такие полномочия в учреждении;
6. не запрашивать сведения, касающиеся здоровья сотрудника. Исключение – информация, относящаяся к решению вопроса о возможности выполнять свои рабочие функции;
7. осуществлять передачу личных сведений работника представителям трудового коллектива в порядке, предусмотренном ТК РФ. При этом необходимо соблюдать ограничения, наложенные на такую информацию в соответствии с целями выполнения определенных задач и функций представителями трудового коллектива.

Данный раздел также должен содержать информацию о том, что работодатель может передавать ПДн субъекта ему или его представителям – внешним получателям – в минимальном количестве и исключительно для выполнения определенных задач, для которых эти сведения собираются.

Если персональные данные сотрудника детского образовательного учреждения выходят за пределы этой организации, работодатель должен уведомить работника, ПДн которого нужно передать, и получить от него разрешение на выполнение таких действий. Не нужно брать такое согласие только в случаях, предусмотренных действующим законодательством, и если наступили обстоятельства, угрожающие жизни и здоровью субъекта ПДн.

Важно, чтобы работники ДОУ во время ознакомления с Положением о защите персональных данных в ДОУ были проинформированы, что во время сбора, обработки хранения их личных сведений соблюдались все необходимые меры по их защите – как хранящихся в бумажном варианте, так и в электронном (автоматизированном виде).

Работодатель также должен внести в данное Положение и соблюдать эту норму: сведения, касающиеся личной информации сотрудников ДОУ, запрещено передавать, используя телефонную или факсовую связь.

Хранить ПДн работодатель обязан в порядке, который бы исключал их потерю, незаконное применение. Принимая решения, касающиеся интересов сотрудника ДОУ, работодатель не должен руководствоваться его персональными сведениями, если они получены только путем автоматизированной обработки или по электронной почте.

Раздел доступа к персональным данным работника ДОУ

В этом разделе следует разграничить внутренний доступ к персональной информации и внешний.

Также нужно указать, какие лица в детском саду имеют право доступа к личным сведениям персонала учреждения при внутреннем обращении этих сведений. Такие сотрудники должны быть, кроме упоминания в Положении, определены приказом по ДОУ, подписанным заведующим.

Предоставление внешнего доступа к ПДн сотрудников также должно основываться, прежде всего, на определении структур (государственных и частных), которые могут быть потребителями личных сведений сотрудников дошкольного учреждения. Запрашивать ПДн сотрудников ДОУ могут следующие организации:

• налоговые;
• правоохранительные;
• статистические;
• страховые;
• военные ведомства;
• пенсионные органы;
• муниципальные управленческие органы.

Предоставление сведений личного характера персонала ДОУ надзорным и контролирующим органам возможно только в пределах их компетенции.

Важно упомянуть в Положении о защите ПДн, что при самостоятельном перечислении работником денег в какие-либо организации (страховые, кредитные, пенсионные негосударственные, благотворительные и др.) такие получатели ПДн могут иметь к ним доступ только по письменному разрешению этого сотрудника ДОУ. Если персональные сведения запрашиваются другими организациями, они должны предоставить свой запрос на официальном бланке и с копией заявления сотрудника, заверенного работником.

Защита персональных данных

В этом разделе нужно указать, что является угрозой или опасностью в случае утери ПДн. Под этим понятием нужно рассматривать единичное или множественное, реальное или возможное, активное или пассивное выражение противоправных действий, предпринятых внутренними или внешними источниками угроз с целью создания негативных событий, а также дестабилизации информации, которая защищается в ДОУ.

Необходимо указать виды рисков, которым могут подвергаться персональные данные работников ДОУ:

• стихия;
• техническая авария;
• терроризм;
• экстремальный случай;
• иные обстоятельства объективного характера;
• заинтересованные в создании угрозы или хищении лица;
• незаинтересованные лица.

В Положении о защите персональной информации в ДОУ нужно дать определение понятия «защита». Это процесс с жесткой регламентацией, динамически развивающийся, призванный предупредить нарушения, связанные с посягательством на ПДн, нарушением их доступности, целостности, конфиденциальности, достоверности. Процесс защиты должен обеспечить надежность и безопасность обрабатываемой персональной информации в работе учреждения.

Работодатель должен указать в Положении, что защиту персональных данных в ДОУ он, в соответствии с требованиями законодательства, обеспечивает за собственный счет.

Также необходимо упомянуть в Положении о внутренней защите, так как обычно утечка сведений личного характера осуществляется именно по вине персонала, которому предоставлен доступ к ПДн работников детсада. Работа сотрудников, которым предоставлен доступ к личной информации сотрудников учреждения, должна быть строго регламентирована, полномочия при обработке и хранении сведений личного характера должны быть строго разграничены между таким персоналом.

Также следует подробно расписать меры, которые должны быть соблюдены во время обработки ПДн внутри учреждения:

• ограничение и регламентация перечня работников, имеющих доступ к конфиденциальным данным;
• создание необходимых условий для работы с ПДн, исключающих бесконтрольное применение информации, которая защищается;
• избирательность и обоснованность распределения личных сведений между сотрудниками;
• знание нормативов и методической документации по защите ПДн;
• определение состава персонала, имеющего доступ к ПДн в помещение с вычислительной техникой и архивными материалами;
• соблюдение порядка, предусмотренного для уничтожения сведений;
• своевременное обнаружение нарушений доступа к ПДн;
• проведение воспитательной, разъяснительной работы с персоналом в плане предупреждения утери личной информации;
• запрет на выдачу личных дел сотрудников учреждения – обработка ПДн должна вестись в строго определенном месте, указанном в приказе.

Использование электронных носителей ПДн также должно быть строго регламентировано.

Внешняя защита ПДн должна предусматривать следующие меры:

• установленный порядок приема, ведения учета, осуществления контроля работы посторонних лиц;
• организация пропускного режима;
• обеспечение режима пропуска в помещения ДОУ;
• организация технических мер (сигнализация, охрана);
• защита ПДн при собеседованиях и др.

Права и обязанности сотрудника

Все права и обязанности сотрудника, касающиеся работы с ПДн, получения к ним доступа, должны быть описаны в этом разделе Положения. Работник ДОУ должен иметь беспрепятственный доступ и возможность снятия копий со своих ПДн. Обо всех изменениях в своих личных данных, которые касаются работы, он должен своевременно информировать работодателя.

Ответственность

Данный раздел должен описывать персональную ответственность за нарушение требований по защите ПДн. Выявленные нарушения по работе с персональной информацией являются основанием для наложения дисциплинарной, административной, материальной и уголовной ответственности в зависимости от характера нарушений и последствий, которые наступили в результате утери, хищения, незаконного распространения персональной информации.