Заклад дошкільної освіти(ясла-садок) комбінованого типу №272 "Гномик"
Запорізької міської ради
Весь контент доступний за ліцензією Creative Commons Attribution 4.0 International license, якщо не зазначене інше
Положення про порядок обробки та захист персональних даних
працівників, здобувачів освіти та їх батьків або осіб, що їх замінюють,
в закладі дошкільної освіти № 272
1. Загальні положення
1.1. Це Положення про порядок обробки та захисту персональних даних осіб в закладі дошкільної освіти (яслах-садку) комбінованого типу№272 «Гномик» Запорізької міської ради (далі – ЗДО №272 та далі - Порядок) встановлює загальні вимоги до організаційних та технічних заходів обробки і захисту персональних даних у ЗДО №272. Цим Порядком визначено загальні вимоги до обробки та захисту персональних даних в ЗДО №272, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться в картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-УІ (далі- Закон № 2297) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14. 1.3. Положення є обов’язковим для виконання працівниками, які мають доступ до персональних даних та/або обробляють персональні дані.
1.4. Усі терміни у Положенні визначаються відповідно до Закону № 2297, при цьому згідно із термінологією Закону № 2297 ЗДО №272 вважається володільцем персональних даних.
1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується чи може бути конкретно ідентифікована.
1.6. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у т.ч. з використанням інформаційних (автоматизованих) систем.
1.7. Персональні дані обробляються в відділі організаційної та кадрової роботи, об’єднаній централізованій бухгалтерії, ПВО, централізованих бухгалтеріях ДОН, закладі освіти.
1.8. Персональні дані обробляються на паперових носіях та в автоматизованих системах.
1.9. Володільцем персональних даних є ЗДО №272 в межах його повноважень.
1.10. Третіми особами у контексті Закону № 2297 є:
-державні органи, яким персональні дані передаються відповідно до законодавства
-будь-які особи, за винятком працівника департаменту як володільця персональних даних та Уповноваженого Верховної Ради України з прав людини, яким департаментом може здійснюватися передача персональних даних.
2. Мета обробки персональних даних
2.1. Обробка персональних даних осіб проводиться з метою забезпечення реалізації державної політики в галузі освіти на території міста Запоріжжя, в межах повноважень і способом, передбаченими законодавством України, нормативно-правовими актами тощо.
2.2. Обробка персональних даних є необхідною для виконання обов’язків.
3. Склад персональних даних, що обробляються у ЗДО №272.
3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, специфіки діяльності, потреб управлінської діяльності: прізвище, ім’я, по батькові:, дата і місце народження; паспортні дані; номер ідентифікаційного коду (номер облікової картки платника податків); відомості з військового квитка (приписного свідоцтва): відомості про родинний стан, членів родини в обсязі, необхідному для реалізації повноважень; відомості про місце реєстрації та фактичне проживання, номери телефонів, адресу особистої електронної пошти; тощо. Склад персональних даних визначається відповідно до вимог чинного законодавства, що регулює діяльність ЗДО №272 щодо правового, організаційного, матеріально-технічного та іншого забезпечення його діяльності, підготовки аналітичних, інформаційних та інших матеріалів, а також у сфері звернень громадян, запитів на інформацію тощо.
3.2. У ЗДО не обробляються відомості про расове, національне або етнічне походження, політичні, світоглядні переконання, членство в різних партіях, відомості про статеве життя.
4. Обов’язки працівників ЗДО №272, які обробляють персональні дані:
4.1. Мають бути обізнані з вимогами Закону № 2297 та інших нормативно-правових актів у сфері захисту персональних даних.
4.2. Працівники зобов’язані:
4.2.1. Використовувати персональні дані лише відповідно до професійних чи службових або трудових обов’язків, запобігати втраті даних або їх неправомірному використанню;
4.2.2. Не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків (крім випадків, передбачених законом), при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;
4.2.3. Терміново повідомляти відповідальну особу у разі:
- втрати або неумисного знищення носіїв інформації з персональними даними;
- втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
- якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам, за винятком системного адміністратора;
- виявлення спроби несанкціонованого доступу до персональних даних.
4.2.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику або іншому працівнику, визначеному керівництвом, носії інформації, що містять персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
5. Збирання та оновлення персональних даних
5.1. Збирання персональних даних є складовою процесу обробки таких персональних даних, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
5.2. Обробка (у т. ч. збирання) персональних даних, зазначених у пункті 3.1 цього Положення, провадиться на підставі пункту 5 частини першої статті 11 Закону №2297 - для виконання передбаченого законом обов’язків.
5.3. Персональні дані мають оновлюватися в міру потреби, визначеної метою їх обробки.
6. Зберігання та знищення персональних даних
6.1. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
6.2. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
6.3. Знищення персональних даних проводиться у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7. Використання персональних даних працівниками ЗДО №272
7.1. Під використанням персональних даних згідно зі статтею 10 Закону №2297 розуміються будь-які дії, як володільця персональних даних щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.
7.2. Доступ до персональних даних мають всі працівники, відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.
7.3. Працівники, які працюють з персональними даними осіб, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових чи службових обов’язків, за встановленою формою.
7.4. Право на доступ до персональних даних та їх обробку надасться працівникам лише після надання зобов’язання про нерозголошення персональних даних.
7.5. На працівників, у посадових інструкціях яких передбачено відповідну функцію, покладено обов’язок щодо отримання зобов’язань.
7.6. Зобов’язання про нерозголошення персональних даних реєструють у Журналі реєстрації зобов’язань про нерозголошення персональних даних.
7.7. За Журналом реєстрації зобов’язань про нерозголошення персональних даних працівників ведеться облік фактів надання та і позбавлення працівників права доступу до персональних даних та їх обробки.
7.8. Датою надання права доступу до персональних даних та їх обробки вважається дата надання зобов’язання.
7.9. Датою позбавлення права доступу до персональних даних та їх обробки вважається дата звільнення працівника або дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.
7.10. Після реєстрації зобов’язання формують в окрему справу «Зобов’язання працівників ЗДО №272 щодо нерозголошення персональних даних». Цю справу та Журнал реєстрації зобов’язань про нерозголошення персональних даних включають до номенклатури справ 7.11. Відповідальним за забезпечення збереженості справи та Журналу, зазначених у пункті 7.10, є директор.
7.12. Працівникам, які працюють з персональними даними, забороняється залишати документи з персональними даними на робочих столах без нагляду.
8. Передання персональних даних третім особам та надання третім особам до персональних даних
8.1. Порядок доступу третіх осіб до персональних даних визначається відповідно до вимог закону.
9. Захист персональних даних при їх обробці
9.1. Захист персональних даних в Автоматизованій системі.
9.1.1. Право доступу до Автоматизованої системи надається працівникам, в посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.
9.1.2. Працівники допускаються до обробки персональних даних в Автоматизованій системі лише після їх ідентифікації (логін, пароль).
9.1.3. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
9.1.4. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи.
9.2. Захист персональних даних у формі картотек,
9.2.1. Керівники, в яких здійснюється обробка персональних даних, забезпечують захист персональних даних на паперових носіях від несанкціонованого доступу.
9.2.2. До роботи з персональними даними на паперових носіях допускають лише працівників, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних.
9.2.3. Двері у приміщення, де зберігаються паперові носії, що містять персональні дані, обладнують замками.
9.2.4. Паперові носії з персональними даними зберігають у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).
10. Облік операцій, пов’язаних з обробкою персональних даних та доступом до них
10.1. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) обробляються у спосіб, що унеможливлює несанкціонований доступ до них сторонніх осіб. У випадках, коли обробка персональних даних здійснюється за допомогою Автоматизованої системи, вказана інформація фіксується в автоматичному режимі.