Работа с персональными данными
- Что такое персональные данные
- Зачем собирают персональные данные в ДОУ (ДОО)
- Хранение персональных данных в детском саду
- Как долго хранятся данные
- Как подготовиться к проверке персональных данных в ДОУ (ДОО)
Рассказываем какие данные относятся к персональным в дошкольных учреждениях, как их собирать и хранить, чтобы пройти проверку Роскомнадзора.
Что такое персональные данные
К персональным данным относится информация, которая содержит личные сведения о человеке. Например, ФИО, адрес и семейное положение. Персональные данные встречаются практически во всей документации ДОО (ДОУ). Данные собирают у детей, родителей, сотрудников и подрядчиков.
Детский сад обязан использовать персональные данные в соответствии с законом. Для этого нужно знать классификацию данных. Они бывают четырех видов:
1. Общие данные
Например, ФИО и дата рождения ребенка. К ним же относятся паспортные и контактные данные. Для использования этой информации не всегда требуется согласие владельца. В ДОУ (ДОО) общие данные встречаются в заявлениях на зачисление детей в садик, и в договорах найма сотрудников.
2. Специальные данные
Находятся в закрытом доступе и их можно узнать только лично у человека. Например, состояние здоровья, национальность и адрес. Такие данные встречаются в анкетах, опросниках и медицинских картах. Их можно использовать только после письменного согласия их владельца. Согласие могут давать только лица старше 14 лет, поэтому за детей согласие подписывают родители.
3. Обезличенные данные
Это информация, по которой невозможно понять к кому именно она относится. Такие данные используют в детских садах для заполнения отчетности и статистики. Например, какое количество детей посещает группу, сколько сотрудников работает в штате и сколько детей выпускается в текущем году. Эти данные можно обрабатывать без письменного согласия их владельца.
4. Биометрические данные
Это физиологические или биологические данные, с помощью которых можно установить личность. Например, отпечатки пальцев, цвет глаз или генетическая информация. В ДОУ( ДОО) эти данные не используют.
Собирая персональные данные, нужно учитывать вид этих данных и при необходимости брать согласие на их обработку от родителей и сотрудников.
Воспитатели часто спрашивают, можно ли без разрешения публиковать фото воспитанников на сайте ДОУ (ДОО). Все зависит от того, какое фото вы хотите опубликовать. Есть это коллективная съемка, разрешение не нужно. Если ребенок один на фото, нужно получить согласие. Не подписывайте имя и фамилию ребенка, чтобы его нельзя было однозначно идентифицировать.
Зачем собирают персональные данные в ДОУ (ДОО)
Собирать данные можно только с определенной целью. В детских садах выделяют три ключевые цели:
- Для проведения воспитательной и образовательной работы. Например, чтобы зачислить ребенка в группу или на дополнительные занятия.
- Для оформления нового сотрудника в штат.
- Для заключения гражданско-правовых договоров с подрядчиками. Например, с мастерами, которые будут делать ремонт в помещениях.
Могут быть и другие цели. Чтобы их выяснить, нужно проанализировать направления деятельности детского сада. Все цели сбора должны быть указаны в локальном акте - политике обработки персональных данных. По закону №152-ФЗ для каждой цели обработки персональных данных нужно получать отдельное письменное согласие. Например, подписать согласие для оказания медицинской помощи, согласие для занятий ребенка с логопедом и отдельное согласие для публикации фото и видео с участием ребенка.
Хранение персональных данных в детском саду
Где хранить данные
Персональные данные нужно хранить в надежном месте, к которому не получат доступ посторонние. Но где именно? Закон не разъясняет. Есть основные правила, которые важно соблюдать:
- Документы для разных целей нужно хранить отдельно друг от друга. Место хранения персональных данных в детском саду должно быть указано и утверждено в приказе.
- Документы в бумажном виде обычно хранят в сейфе или металлическом шкафу, который закрывается на ключ. Получить к ним доступ может ограниченный круг сотрудников.
- Документы в электронном виде хранят в закрытых папках в локальной сети. Чтобы обеспечить сохранность данных, на компьютерах должна быть установлена дополнительная защита. Например, антивирусные программы и кодирование.
Как долго хранятся данные
Хранить персональные данные можно, пока не достигнута цель их сбора. Например, данные собирали для оформления ребенка в сад, а он через 3 месяца перешел в другой детский сад. Значит, его персональные данные нужно уничтожить в течение 30 дней. Если информацию нельзя уничтожить, ее нужно обезличить. Например, заменить имя и фамилию на запись “ребенок А”.
Иногда срок хранения данных указывают в согласии на обработку персональных данных. Тогда данные нужно уничтожить как только истечет этот срок.
Как подготовиться к проверке персональных данных в ДОУ (ДОО)
Работу детских садов с персональными данными проверяют и контролируют сотрудники Роскомнадзора. Проверки бывают документарные и выездные. При документарной проверке детский сад получает письмо с просьбой предоставить копии документов. А при выездной сотрудники Роскомнадзора лично приезжают в детский сад.
Выездные проверки длятся 20-60 дней. Проверяющий несколько раз приезжает в ДОУ(ДОО), осматривает места хранения данных и проверяет документы - приказы, договора и согласия. После проверки он составляет акт.
Чтобы проверка Роскомнадзора прошла без проблем и в акте не появились нарушения, к ней следует подготовиться. За подготовку детского сада к проверке отвечает сотрудник, назначенный ответственным за обработку персональных данных в ДОУ(ДОО). Пользоваться услугами сторонних организаций запрещено.
Сотрудник должен:
1) Проверить, было ли отправлено в Роскомнадзор уведомление о начале работы с персональными данными.
2) Проверить наличие всех согласий и их актуальность. Например, если сотрудник уже уволен, то его данные должны быть уничтожены.
3) Создать комплект документов по защите персональных данных. Он состоит из регламента по защите и обработке персональных данных в информационной системе и регламент неавтоматизированной обработки персональных данных.
4) Разместить политику обработки персональных данных на сайте учреждения и в печатном виде на доске информации.
5) Ознакомить работников ДОУ с созданными документами и заполнить журнал прохождения инструктажа по информационной безопасности. Перед проверкой Роскомнадзора рекомендуем напомнить сотрудникам основные правила работы с персональными данными. Например, что нельзя оставлять договора на столе без присмотра.
6) Попросить сотрудников и родителей заполнить письменное согласие на использование их персональных данных.
7) Наладить контакт с проверяющим. Показать документы, которые он попросит, и помещения, где обрабатываются персональные данные. Показать свою готовность исправить небольшие недочеты.
8) Не переживать из-за большого количества устных претензий проверяющего - важны только те нарушения, которые он укажет в акте по итогам проверки.
За нарушения в работе с персональными данными детскому саду грозит штраф до 75 тысяч рублей. Если руководство не согласно с результатами проверки, их можно обжаловать в досудебном или судебном порядке.
Что такое персональные данные
К персональным данным относится информация, которая содержит личные сведения о человеке. Например, ФИО, адрес и семейное положение. Персональные данные встречаются практически во всей документации ДОО (ДОУ). Данные собирают у детей, родителей, сотрудников и подрядчиков.
Детский сад обязан использовать персональные данные в соответствии с законом. Для этого нужно знать классификацию данных. Они бывают четырех видов:
1. Общие данные
Например, ФИО и дата рождения ребенка. К ним же относятся паспортные и контактные данные. Для использования этой информации не всегда требуется согласие владельца. В ДОУ (ДОО) общие данные встречаются в заявлениях на зачисление детей в садик, и в договорах найма сотрудников.
2. Специальные данные
Находятся в закрытом доступе и их можно узнать только лично у человека. Например, состояние здоровья, национальность и адрес. Такие данные встречаются в анкетах, опросниках и медицинских картах. Их можно использовать только после письменного согласия их владельца. Согласие могут давать только лица старше 14 лет, поэтому за детей согласие подписывают родители.
3. Обезличенные данные
Это информация, по которой невозможно понять к кому именно она относится. Такие данные используют в детских садах для заполнения отчетности и статистики. Например, какое количество детей посещает группу, сколько сотрудников работает в штате и сколько детей выпускается в текущем году. Эти данные можно обрабатывать без письменного согласия их владельца.
4. Биометрические данные
Это физиологические или биологические данные, с помощью которых можно установить личность. Например, отпечатки пальцев, цвет глаз или генетическая информация. В ДОУ( ДОО) эти данные не используют.
Собирая персональные данные, нужно учитывать вид этих данных и при необходимости брать согласие на их обработку от родителей и сотрудников.
Воспитатели часто спрашивают, можно ли без разрешения публиковать фото воспитанников на сайте ДОУ (ДОО). Все зависит от того, какое фото вы хотите опубликовать. Есть это коллективная съемка, разрешение не нужно. Если ребенок один на фото, нужно получить согласие. Не подписывайте имя и фамилию ребенка, чтобы его нельзя было однозначно идентифицировать.
Зачем собирают персональные данные в ДОУ (ДОО)
Собирать данные можно только с определенной целью. В детских садах выделяют три ключевые цели:
- Для проведения воспитательной и образовательной работы. Например, чтобы зачислить ребенка в группу или на дополнительные занятия.
- Для оформления нового сотрудника в штат.
- Для заключения гражданско-правовых договоров с подрядчиками. Например, с мастерами, которые будут делать ремонт в помещениях.
Могут быть и другие цели. Чтобы их выяснить, нужно проанализировать направления деятельности детского сада. Все цели сбора должны быть указаны в локальном акте - политике обработки персональных данных. По закону №152-ФЗ для каждой цели обработки персональных данных нужно получать отдельное письменное согласие. Например, подписать согласие для оказания медицинской помощи, согласие для занятий ребенка с логопедом и отдельное согласие для публикации фото и видео с участием ребенка.
Хранение персональных данных в детском саду
Где хранить данные
Персональные данные нужно хранить в надежном месте, к которому не получат доступ посторонние. Но где именно? Закон не разъясняет. Есть основные правила, которые важно соблюдать:
- Документы для разных целей нужно хранить отдельно друг от друга. Место хранения персональных данных в детском саду должно быть указано и утверждено в приказе.
- Документы в бумажном виде обычно хранят в сейфе или металлическом шкафу, который закрывается на ключ. Получить к ним доступ может ограниченный круг сотрудников.
- Документы в электронном виде хранят в закрытых папках в локальной сети. Чтобы обеспечить сохранность данных, на компьютерах должна быть установлена дополнительная защита. Например, антивирусные программы и кодирование.
Как долго хранятся данные
Хранить персональные данные можно, пока не достигнута цель их сбора. Например, данные собирали для оформления ребенка в сад, а он через 3 месяца перешел в другой детский сад. Значит, его персональные данные нужно уничтожить в течение 30 дней. Если информацию нельзя уничтожить, ее нужно обезличить. Например, заменить имя и фамилию на запись “ребенок А”.
Иногда срок хранения данных указывают в согласии на обработку персональных данных. Тогда данные нужно уничтожить как только истечет этот срок.
Как подготовиться к проверке персональных данных в ДОУ (ДОО)
Работу детских садов с персональными данными проверяют и контролируют сотрудники Роскомнадзора. Проверки бывают документарные и выездные. При документарной проверке детский сад получает письмо с просьбой предоставить копии документов. А при выездной сотрудники Роскомнадзора лично приезжают в детский сад.
Выездные проверки длятся 20-60 дней. Проверяющий несколько раз приезжает в ДОУ(ДОО), осматривает места хранения данных и проверяет документы - приказы, договора и согласия. После проверки он составляет акт.
Чтобы проверка Роскомнадзора прошла без проблем и в акте не появились нарушения, к ней следует подготовиться. За подготовку детского сада к проверке отвечает сотрудник, назначенный ответственным за обработку персональных данных в ДОУ(ДОО). Пользоваться услугами сторонних организаций запрещено.
Сотрудник должен:
1) Проверить, было ли отправлено в Роскомнадзор уведомление о начале работы с персональными данными.
2) Проверить наличие всех согласий и их актуальность. Например, если сотрудник уже уволен, то его данные должны быть уничтожены.
3) Создать комплект документов по защите персональных данных. Он состоит из регламента по защите и обработке персональных данных в информационной системе и регламент неавтоматизированной обработки персональных данных.
4) Разместить политику обработки персональных данных на сайте учреждения и в печатном виде на доске информации.
5) Ознакомить работников ДОУ с созданными документами и заполнить журнал прохождения инструктажа по информационной безопасности. Перед проверкой Роскомнадзора рекомендуем напомнить сотрудникам основные правила работы с персональными данными. Например, что нельзя оставлять договора на столе без присмотра.
6) Попросить сотрудников и родителей заполнить письменное согласие на использование их персональных данных.
7) Наладить контакт с проверяющим. Показать документы, которые он попросит, и помещения, где обрабатываются персональные данные. Показать свою готовность исправить небольшие недочеты.
8) Не переживать из-за большого количества устных претензий проверяющего - важны только те нарушения, которые он укажет в акте по итогам проверки.
За нарушения в работе с персональными данными детскому саду грозит штраф до 75 тысяч рублей. Если руководство не согласно с результатами проверки, их можно обжаловать в досудебном или судебном порядке.
Политика обработки ПДн.pdf
Положение об обработке ПДн работников.pdf
Положение об организации обработки и защиты персональных данных восп-ов и их родителей.rar
Приложение-№32.pdf
Типовая-форма-согласия-на-передачу-своих-персональных-данных.pdf
Типовая форма согласия на обработку ПДн.pdf
Типовая-форма-согласия-на-получение-персональных-данных.pdf
Типовая-форма-согласия-на-публикацию-на-официальном-сайте.pdf