Перечень документов школы содержащих конфиденциальную информацию

Обновлено: 05.07.2024

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

ГАРАНТ:

О персональных данных см. Федеральный закон от 27 июля 2006 г. N 152-ФЗ

Информация об изменениях:

Указом Президента РФ от 13 июля 2015 г. N 357 пункт 2 изложен в новой редакции

2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов" и от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

ГАРАНТ:

Решением Верховного Суда РФ от 17 марта 2021 г. N АКПИ20-1041 пункт 6 признан не противоречащим действующему законодательству

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Информация об изменениях:

Указом Президента РФ от 13 июля 2015 г. N 357 Перечень дополнен пунктом 7

7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве".

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

4. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)

Как еще может называться данный документ:

Согласие на распространение персональных данных

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

Согласие на обработку персональных данных
Согласие пользователя

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

Правила рассмотрения запросов субъектов персональных данных или их представителей

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

Поручение обработки персональных данных
Договор на обработку персональных данных
Договор обработки персональных данных
Дополнительное соглашение на поручение обработки персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

Перечень информационных систем персональных данных

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

Приказ об определении границ контролируемой зоны и требований к ее безопасности

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Перечень нормативных документов, регламентирующих обработку персональных данных:

Документы школы:

Согласие законного представителя на обработку персональных данных подопечного
Согласие на обработку персональных данных сотрудника
Соглашение о неразглашении информации, содержащей персональные данные

Приказы о введении режима обработки персональных данных в ГБОУ СОШ № 591 :

О введении режима обработки персональных данных в ГБОУ СОШ № 591
О назначении ответственных за обработку персональных данных в ГБОУ СОШ № 591
О назначении ответственного за обеспечение функционирования и безопасность криптосредств, в случае их использования для безопасности персональных данных при их обработке в ИСПД в ГБОУ СОШ № 591
О введении в действие Политики информационной безопасности в ГБОУ СОШ № 591
О внедрении в управление деятельность ОУ электронного журнала в ГБОУ СОШ № 591
О создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию в ГБОУ СОШ № 591
Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ГБОУ СОШ № 591
О назначении комиссии по определению уровня защищенности персональных данных при их обработке в ИСПД в ГБОУ СОШ № 591
Об электронном журнале обращений пользователей ИСПДн в ГБОУ СОШ № 591
Об организации режима обеспечения безопасности помещений, предназначенных для обработки конфиденциальной информации в ГБОУ СОШ № 591

Положения об использовании и обработке персональных данных:

Положение о защите, хранении, обработке и передаче персональных данных обучающихся, воспитанников в ГБОУ СОШ № 591
Положение об обработке и защите персональных данных в ГБОУ СОШ № 591
Положение о разграничении прав доступа к обрабатываемым персональным данным в ГБОУ СОШ № 591
Положение об особенностях и правилах обработки персональных данных, осуществляемой без использования средств автоматизации в ГБОУ СОШ № 591
Положение о порядке доступа работников в помещения, в которых ведется обработка персональных данных в ГБОУ СОШ № 591
Положение об электронном журнале обращений пользователей ИСПДн
Правила обработки персональных данных
Правила рассмотрения запросов субъектов персональных данных или их представителей
Правила работы с обезличенными персональными данными
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

Инструкции об использовании и обработке персональных данных:

В трудовой договор часто включают фразу о том, что работник не вправе разглашать охраняемую законом тайну (государственную, служебную, коммерческую и иную), ставшую ему известной в связи с исполнением трудовых обязанностей. Разберемся, о какой тайне идет речь и как юридически правильно сформулировать это условие.

Не путайте термины

Понятия государственной, служебной и коммерческой тайны к школам не применимы.

Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 06.03.1997 № 188

Государственная тайна – это сведения о военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности государства. Служебная тайна – это служебные сведения, доступ к которым ограничен органами государственной власти. Иными словами, указанные виды тайн касаются только работников органов государственной власти.

В школе обрабатывается несколько категорий конфиденциальной информации:

К персональным данным относится любая информация, на основании которой можно понять, о каком человеке идет речь: фамилия, имя, отчество, паспортные данные, место регистрации, место жительства и т. д.

У работников согласие на обработку персональных данных тоже нужно взять. Сделать это можно при приеме на работу либо позже.

Для защиты персональных данных в школе:

– назначьте ответственного за организацию обработки данных; – определите места хранения документов с данными; – составьте список лиц, которые работают с данными, и проведите их обучение

Медицинское заключение и медицинские справки, например – справка-допуск после перенесенного заболевания, могут содержать сведения о здоровье, к которым относится в том числе диагноз.

Чтобы не нарушить требования законодательства о защите персональных данных, включите в перечень данных, на обработку которых берете согласие, диагноз и длительность заболевания. В некоторых формах справок, чтобы не передавались данные о здоровье, можно указывать не сам диагноз, а его шифр (см., например, форму медицинского заключения, утвержденную приказом Департамента здравоохранения города Москвы от 01.04.2013 № 297 ).

3. Информация о факте усыновления (удочерения) ребенка ( ст. 139 СК РФ ).

5. Сведения о финансовой деятельности организации.

Например – информация о финансовых операциях, которую содержат формы федерального статистического наблюдения.

Запрет не касается информации:

1) об объеме образовательной деятельности за счет бюджетных ассигнований и за плату от физических (юридических) лиц; 2) о поступлении финансовых и материальных средств и об их расходовании по итогам финансового года.

Эту информацию школа обязана публиковать на официальном сайте согласно приказу Рособрнадзора от 29.05.2014 № 785 .

Чтобы регламентировать работу с конфиденциальной информацией, составьте перечень такой информации и ознакомьте с ним работников под подпись.

Учредитель вправе дать указания, какую информацию в образовательных организациях следует считать конфиденциальной (см., например, Перечень сведений конфиденциального характера, подлежащих защите, утвержденный приказом управления образованием администрации Анжеро-Судженского городского округа от 30.04.2014 № 380). Если указаний нет, составьте перечень самостоятельно.

Помните об ответственности

80 тысяч рублей – штраф, который предусмотрен за разглашение тайны усыновления

разглашенные сведения согласно действующему законодательству относятся к информации, охраняемой законом;
сведения, относящиеся к персональным данным, были получены работником в связи с исполнением трудовых обязанностей;
работник обязался соблюдать правила обработки персональных данных.

Лица, совершившие правонарушение в области персональных данных, могут быть также привлечены к административной и уголовной ответственности.

Статья 155 УК РФ устанавливает меры уголовной ответственности за нарушение тайны усыновления (удочерения). Виновного могут:

оштрафовать на сумму до 80 тысяч рублей;
оштрафовать на сумму заработной платы или иного дохода за период до шести месяцев;
привлечь к обязательным работам на срок до 360 часов;
привлечь к исправительным работам на срок до одного года;
арестовать на срок до четырех месяцев;
лишить права занимать определенные должности на срок до трех лет.

Работника нельзя привлечь к ответственности, если:

1) он не расписывался в неразглашении охраняемой законом информации; 2) в школе нет локальных актов о защите такой информации.

Пример переченя сведений конфиденциального характера в образовательной организации

Перечень конфиденциальной информации на предприятии — это список закрытых от посторонних сведений. В их число, как правило, входят коммерческая информация, персональные и профессиональные данные (последние два вида определены федеральными законами).

Какие сведения входят

тайна судопроизводства и следствия;
персональные данные;
служебная, профессиональная и коммерческая тайна;
известия об изобретении (до публикации);
материалы из личных дел осужденных.

Как утвердить перечень

Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.

1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:

планируемых сделках и контрагентах;
маркетинговых исследованиях, анализы рыночной конъюнктуры;
научно-технических и технологических решениях;
производственных секретах (ноу-хау);
механизмах ценообразования;
хозяйственной деятельности;
бухгалтерской отчетности.

2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.

Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:

Коммерческая тайна призвана повысить доходы и (или) сократить расходы, обеспечивать прибыль ее владельцу как раз вследствие сокрытия от третьих лиц — значит, ее необходимо охранять от конкурентов.
Ст. 9 закона №149-ФЗ в п. 2, 4, 9 регламентирует обязательность соблюдения конфиденциальности информации, доступ к которой ограничен законодательно.

определяются и систематизируются данные, требующие защиты от неправомерного использования;
устанавливается порядок ограничения доступа, взаимодействия и надзора;
учитываются лица или должности, получившие допуск;
устанавливаются требования к сотрудникам и контрагентам, получившим допуск в ходе выполнения должностных обязанностей или по соглашению;
документы, составляющие коммерческую тайну, грифуются.

Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.

Кто имеет доступ

Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.

Ответственность за нарушение

Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:

Читайте также: