хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение персональных данных.
3.5. Автоматизированная обработка персональных данных - обработка персональных данных
с помощью средств вычислительной техники.
3.6. Распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
3.7. Предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
3.8. Блокирование персональных данных - временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения персональных
данных).
3.9. Уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных.
3.10. Обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.
3.11. Конфиденциальность персональных данных - обязательное для соблюдения оператором,
получившим доступ к персональным данным, требование не допускать их распространения без
согласия субъекта персональных данных или при наличии иного законного основания.
3.12. Информационная система персональных данных - совокупность содержащихся в базах
данных персональных данных и обесценивающих их обработку информационных технологий и
технических средств.
4. Цели сбора персональных данных
4.1. Сбор персональных данных соискателей на вакантные должности осуществляется
исключительно в целях трудоустройства.
4.2. Сбор персональных данных работников осуществляется исключительно в целях обеспечения
соблюдения трудового законодательства Российской Федерации, содействия работникам в
трудоустройстве, налогообложения, получении образований и продвижении по службе,
обеспечения личной безопасности работников, контроля количества и качества выполняемой
работы и обеспечения сохранности имущества.
4.3. Сбор персональных данных родственников работников осуществляется исключительно в
целях обеспечения соблюдения трудового законодательства Российской Федерации.
4.4. Сбор персональных данных обучающихся осуществляется исключительно в целях
реализации прав на получение образования в рамках осваиваемых ими образовательных
программ с согласия их родителей (законных представителей),
4.5. Сбор персональных данных родителей (законных представителей) обучающихся
осуществляется исключительно в целях реализации прав родителей (законных представителей)
обучающихся при реализации Учреждением прав детей па получение образования в рамках
осваиваемых ими образовательных программ с согласия их родителей (законных
представителей).
4.6. Сбор персональных данных третьих лиц, указанных в заявлениях (согласиях, доверенностях
и т.п.) родителей (законных, представителей) несовершеннолетних обучающихся,
осуществляется исключительно в целях реализации прав родителей, (законных представителей)
с согласия третьих лиц.
4.7. Сбору подлежат только те персональные данные, которые отвечают целям их обработки.
4.8. Сбор персональных данных должен ограничиваться достижением конкретных, заранее
определенных и законных целей. Не допускается сбор персональных данных, несовместимых с
целями сбора персональных данных.
1

5. Правовые основания обработки персональных данных
5.1. Правовым основанием для обработки персональных данных Учреждением является
совокупность нормативно-правовых актов, регулирующих отношения, связанные с
деятельностью Учреждения, в соответствии с которыми Учреждение осуществляет обработку
персональных данных, в том числе:
1. Конституция Российской Федерации.
2. Трудовой Кодекс Российской Федерации.
3. Нормативно-правовые акты, содержащие нормы трудового права.
4. Налоговый кодекс Российской Федерации.
5. Бюджетный кодекс Российской Федерации.
6. Гражданский кодекс Российской Федерации.
7. Семейный кодекс РФ.
8. Закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации».
5.2. Правовым основанием для обработки персональных данных также являются:
1. Уставные документы Учреждения.
2. Трудовые договоры с работниками.
3. Договора между Учреждением и родителями (законными представителями).
4. Заявления работников, родителей (законных представителей) несовершенно летних
обучающихся, третьих лип.
5. Согласия на обработку персональных данных работников, родителей (законных
представителей) несовершеннолетних обучающихся, третьих лиц.
6. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным
целям обработки. Обрабатываемые персональные данные не могут быть избыточными по
отношению к заявленным целям их обработки.
6.2. Категории субъектов персональных данных:
1. Соискатели на вакантные должности.
2. Работники Учреждения (бывшие работники Учреждения).
3. Родственники работников Учреждения.
4. Обучающиеся.
5. Родители (законные представители) несовершеннолетних обучающихся.
6. Третьи лица (лица, указанные в заявлениях, согласиях, доверенностях родителей
(законных представителей) несовершеннолетних обучающихся).
6.3. Состав персональных данных соискателей на вакантные должности:
1. Фамилия, имя, отчество (при наличии).
2. Дата и место рождения.
3. Информация об образовании, квалификации, наличии специальных знаний, специальной
подготовки, аттестации.
4. Материалы собеседования.
6.4. Персональные данные соискателей на вакантные должности содержатся в документах,
которые предоставили соискатели.
6.5. Состав персональных данных работников:
1. Фамилия, имя, отчество (при наличии).
2. Анкетные и биографические данные.
3. Информация об образовании, квалификации, наличии специальных знаний, специальной
подготовки, аттестации.
4. Паспортные данные.
5. Сведения о трудовом стаже.
6. Сведения о предыдущем месте работы работника.
7. Сведения о воинском учете.
8. Данные документа об обязательном пенсионном страховании.
2

9. Данные документа о присвоении ИНН.
10. Наличие судимости.
11. Сведения о составе семьи.
12. Сведения о заключении/расторжении брака, рождении детей.
13. Сведения о состоянии здоровья, о прохождении медицинских осмотров.
14. Содержание трудового договора.
15. Сведения о заработной плате.
16. Сведения о социальных льготах.
17. Состав декларируемых сведений о наличии материальных ценностей.
18. Содержание декларации, подаваемой в налоговую инспекцию.
6.6. В состав документов, содержащих персональные данные работника, входит документация,
образующаяся в процессе трудовой деятельности и содержащая персональные данные
работников.
6.6.1. Документы, содержащие сведения, необходимые для заключения, изменения или
прекращения трудового договора с работником:
1. Паспорт.
2. Документы об образовании, квалификации, наличии
специальных
знаний,
специальной подготовки, аттестации.
3. Медицинское заключение
об
отсутствии
противопоказаний
для
занятия
конкретным видом деятельности в образовательном учреждении.
4. Страховое свидетельство государственного пенсионного страхования.
5. Свидетельство о постановке на учет в налоговом органе.
6. Справка об отсутствии судимости.
7. Документы воинского учета.
8. Трудовая книжка работника.
6.6.2. Документы, содержащие сведения, необходимые для предоставления работнику
гарантий и компенсаций, установленных действующим законодательством:
1. Документы о составе семьи.
2. Документы о рождении детей.
3. Документы о месте работы/учебы членов семьи.
4. Документы о состоянии здоровья (справка об инвалидности, ИПРА, справка о
беременности, личная медицинская книжка, прививочный сертификат, паспорт здоровья
и т.п.).
5. Документы о состоянии здоровья членов семьи (справка об инвалидности. ИПРА и т.п.).
6. Документы, подтверждающие право на дополнительные гарантии и компенсации по
определенным основаниям, предусмотренным законодательством Российской Федерации
(донорстве, нахождении в зоне воздействия радиации в связи с аварией па Чернобыльской
АЭС и т.п.).
6.6.3. Документы, сопутствующие трудовой деятельности работника:
1. Личная карточка работника.
2. Трудовой договор и дополнительные соглашения к нему.
3. Приказы по личному составу.
4. Документа по оплате труда.
5. Документы по аттестации работников.
6. Табели учета рабочего времени.
7. Документы, содержащие материалы по служебным расследованиям.
8. График отпусков.
9. Листки временной нетрудоспособности.
10. Справочно-информационный комплекс данных (справки, выписки и т.п.).
6.7. Персональные данные работников содержатся в их личных карточках работников, в виде
копий документов, и базах данных информационных систем.
6.8. Состав персональных данных родственников работников:
1. Сведения и информация, предоставленные работником в личной карточке.
3

2. Сведения и информация, которые предоставляет родственник работника.
6.8.1. Персональные данные родственников работников содержатся в личных карточках
работников и базах данных информационных систем.
6.9. Состав персональных данных обучающегося:
1. Фамилия, имя, отчество (при наличии).
2. Дата и место рождения.
3. Адрес.
4. Сведения о состоянии здоровья.
6.10. Документы, содержащие персональные данные обучающегося:
1. Свидетельство о рождении.
2. Справка о регистрации по месту жительства.
3. Документы о состоянии здоровья ребенка (медицинская карта ребенка, прививочный
сертификат, медицинский полис, заключение ПМПК, ИПРА и т.п.).
4. Страховое свидетельство государственного пенсионного страхования.
6.11. Персональные данные обучающихся содержатся в их личных делах в виде копий
документов.
6.12. Состав персональных данных родителей (законных представителей) обучающихся:
1. Фамилия, имя, отчество (при наличии).
2. Паспортные данные.
3. Номер телефона.
4. Сведения, подтверждающие право на льготы, гарантии и компенсации, но основаниям,
предусмотренным законодательством.
6.13. Документы, содержащие персональные данные родителей (законных представителей)
обучающихся:
1. Паспорт.
2. Документы, подтверждающие право на льготы, гарантии и компенсации по основаниям,
предусмотренным законодательством (страховое свидетельство государственною
пенсионного страхования, документы о рождении детей и т.п.).
6.14. Персональные данные родителей (законных представителей) обучающихся содержатся в
личных делах обучающихся в виде копий документов.
6.15. Состав персональных данных третьих лиц:
1. Фамилия, имя, отчество (при наличии).
2. Номер телефона.
3. Паспортные данные.
6.16. Документы, содержащие персональные данные третьих лиц:
1. Паспорт.
6.17. Персональные данные третьих лиц содержатся в личных делах обучающихся, в документах,
которые подписали (представили) родители (законные представители) обучающихся.
6.18. Биометрические персональные данные Учреждение не обрабатывает.
6.19. Специальные категории персональных данных Учреждение не обрабатывает.
6.20. Учреждение обрабатывает персональные данные в объеме, необходимом:
1. Для осуществления воспитательно-образовательной деятельности при реализации
основных и дополнительных образовательных программ дошкольного образования, для
присмотра н ухода за детьми, обеспечения охраны жизни и укрепления здоровья
обучающихся, организации питания, создания благоприятных условий для
разностороннего развития личности, обеспечения отдыха и оздоровления обучающихся (в
соответствии с договором между Учреждением и родителями (законными
представителями)).
2. Для выполнения функций и полномочий работодателя в рамках трудовых отношений с
работниками (в соответствии с трудовым договором).
3. Для выполнения функций и полномочий экономического субъекта при осуществлении
бухгалтерского и налогового учета, бюджетного учета.
4

7. Порядок и условия обработки персональных данных
7.1.
Учреждение осуществляет сбор, запись, систематизацию, накопление, храпение,
уточнение (обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ). обезличивание, блокирование, удаление, уничтожение персональных
данных.
7.2. Сбор персональных данных
7.2.1. Все персональные данные работника получают у него лично с его письменного
согласия.
7.2.2. Все персональные данные обучающихся, их родителей (законных представителей), а
также персональные данные третьих лиц, указанных в заявлениях (согласиях,
доверенностях и т.п.) родителей (законных представителей) несовершеннолетних
обучающихся получают у родителей (законных представителей) обучающихся лично
при наличии согласия.
7.2.3. Согласие оформляется в письменной форме в двух экземплярах, один из которых
предоставляется субъектам персональных данных, второй хранится в Учреждении.
Учреждение обязано сообщить субъектам персональных данных о целях,
предполагаемых источниках и способах получения, а также о характере подлежащих
сбору персональных данных и последствиях отказа дать письменное согласие на их
получение.
7.3. Создание персональных данных
Документы, содержащие персональные данные, создаются путем:
• копирования оригиналов документов;
• внесения сведений в учетные формы (на бумажных и электронных носителях);
• получения оригиналов необходимых документов.
7.4. Обработка персональных данных:
7.4.1. Учреждение обрабатывает персональные данные в случаях:
• согласия субъекта персональных данных на обработку его персональных данных;
• когда обработка персональных данных необходима для осуществления и выполнения
Учреждением возложенных законодательством Российской Федерации функций,
полномочий и обязанностей;
• когда осуществляется обработка общедоступных персональных данных, доступ к
которым субъект персональных данных предоставил неограниченному кругу лиц.
7.4.2. Учреждение обрабатывает персональные данные:
• без использования средств автоматизации;
• с использованием средств автоматизации в информационных системах: «КонтурПерсонал», «Контур-Экстерн», «АИС Зачисление в образовательное учреждение», «АИС
Парус».
7.4.3. Учреждение обрабатывает персональные данные в сроки:
• которые необходимы для достижения целей обработки персональных данных;
• действия согласия субъекта персональных данных;
• которые определены законодательством для обработки отдельных видов персональных
данных.
7.4.4. Условием обработки персональных данных является письменное согласие субъекта
персональных данных.
7.4.5. Субъект персональных данных принимает решение о предоставлении персональных
данных и даст согласие на их обработку свободно, своей волей и в своем интересе. Согласие на
обработку персональных данных должно быть конкретным, информированным и сознательным.
7.4.6. Письменное согласие должно включать в себя, в частности:
1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи указанного документа
и выдавшем его органе;
2. наименование и адрес Учреждения, получающего согласие;
5

3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие;
5. перечень действий с персональными данными, на совершение которых дается согласие,
общее описание используемых Учреждением способов обработки персональных данных;
6. срок, в течение которого действует согласие, а также способ его отзыва;
7. подпись субъекта персональных данных.
7.4.7. Обязанность предоставить доказательство получения согласия субъекта персональных
данных на обработку его персональных данных возлагается на Учреждение.
7.4.8. Согласие на обработку персональных данных может быть отозвано субъектом
персональных данных.
7.4.9. Согласия субъекта персональных данных на обработку его персональных данных не
требуется в следующих случаях:
1. Обработка персональных данных осуществляется на основании федерального закона,
устанавливающего ее цель, условия получения персональных данных и круг лиц,
персональные данные которых подлежат обработке, а также определяющего полномочия
оператора.
2. Обработка персональных данных осуществляется в целях исполнения трудового договора
между работником и работодателем.
3. Обработка персональных данных необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта персональных данных, если получение его согласия
при данных обстоятельствах невозможно.
4. Обработка персональных данных осуществляется для статистических или иных научных
целей при условии обязательного обезличивания персональных данных.
5. Осуществляется обработка персональных данных, подлежащих опубликованию в
соответствии с федеральными законами.
7.5. Передача персональных данных
Работники, имеющие доступ к персональным данным субъектов персональных данных, при
передаче этих данных должны соблюдать следующие требования.
7.5.1. Не передавать и не распространять персональные данные без письменного согласия
субъектов персональных данных, за исключением случаев, когда это необходимо:
• для предупреждения угрозы их жизни и здоровью, если получить такое согласие
невозможно;
• статистических или исследовательских целей (при обезличивании);
• в случаях, напрямую предусмотренных федеральными законами.
7.5.2. Без согласия субъекта персональных данных передавать информацию в
правоохранительные органы, налоговые инспекции, органы статистики, фонды медицинского и
социального страхования, территориальные отделения пенсионных фондов, военкоматы,
медицинские организации, подразделения муниципальных органов управления, контрольнонадзорные органы.
7.5.3. Предупредить лиц, получающих персональные данные субъекта персональных данных, о
том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и
требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие
персональные данные субъекта персональных данных, обязаны соблюдать режим секретности
(конфиденциальности). Руководитель Учреждения и уполномоченные им лица вправе требовать
подтверждения исполнения этого правила.
7.5.4. При передаче персональных данных субъектов персональных данных третьим лицам
информация предоставляется в минимальных объемах и только в целях выполнения задач,
соответствующих объективной причине сбора этих данных.
7.5.5. Все сведения о передаче персональных данных субъекта персональных данных
регистрируются в соответствующих журналах в целях контроля правомерности использования
данной информации лицами, ее получившими. В журнале фиксируются сведения о лице,
направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их
предоставлении, а также отмечается, какая именно информация была передана.
6

7.6. Хранение персональных данных.
7.6.1. Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели обработки
персональных данных, если срок хранения персональных данных не установлен федеральным
законом.
7.6.2. Все меры конфиденциальности при организации хранения персональных данных
распространяются как на бумажные, так и на электронные (автоматизированные) носители
информации.
7.6.3. Документы, содержащие персональные данные в виде бумажных носителей хранятся в
специально отведенных для этого местах, оборудованных надежными дверями и замками.
Документы с персональными данными, содержащиеся на электронных носителях информации,
хранятся в персональных компьютерах уполномоченных лиц. Помещения, в которых хранятся
персональные данные, в рабочее время при отсутствии в них работников должны быть закрыты.
Проведение уборки помещений, в которых хранятся персональные данные, должно
производиться в присутствии соответствующих работников.
7.6.4. Ответственность за организацию хранения документов, содержащих персональные
данные, несет руководитель Учреждения, который приказом возлагает ответственность по их
хранению и других уполномоченных лиц.
7.6.5. Документы, содержащие персональные данные, подлежат хранению и уничтожению в
сроки и в порядке, предусмотренные номенклатурой дел и архивным законодательством
Российской Федерации.
7.7. Зашита персональных данных
6.7.1. Обеспечение безопасности персональных данных достигается:
• определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных и съемных электронных носителей информации;
• обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе
персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
7.7.2. Мероприятия по защите персональных данных подразумевают внутреннюю и внешнюю
их защиту.
7.7.3. Внутренняя защита включает следующие организационно-технические мероприятия:
1. Назначение ответственных лиц за организацию обработки персональных данных.
Ответственный осуществляет организацию обработки персональных данных, обучение и
инструктаж, внутренний контроль за соблюдением Учреждением и его работниками
требований к защите персональных данных.
7

2. Издание локальных актов, регламентирующих порядок обработки персональных данных,
направленных на предотвращение и выявление нарушений законодательства Российской
Федерации, устранение последствий таких нарушений.
3. Регламентация доступа посторонних лиц к документам, содержащих сведения о
персональных данных, как на бумажных, так и на электронных носителях информация, а
также к персональным компьютерам специалистов, ответственных за организацию
работы с персональными данными.
4. Регламентация доступа и состава работников, имеющих доступ к документам,
содержащим сведения о персональных данных в связи с выполнением своих должностных
обязанностей.
5. Контроль воздействия посторонними лицами на технические средства обработки
документов, содержащих сведения о персональных данных, в результате которого может
быть нарушено их функционирование.
6. Использование средств защиты информации, содержащейся в персональных
компьютерах специалистов, ответственных за организацию работы с персональными
данными (защита персональных компьютеров паролями доступа, ограничение
использования сети Интернет, использование надежных антивирусных программ и т.д.).
7. Рациональное размещение рабочих мест работников, исключающее бесконтрольное
использование защищаемой информации.
8. Соблюдение требований по технической защите помещений, в которых обрабатываются
и хранятся документы, содержащие сведения о персональных данных.
9. Регламентация выдачи документов.
10. Регламентация порядка уничтожения конфиденциальной информации.
11. Запрет передачи сведений конфиденциального характера по телефону или факсу.
12. Проведение разъяснительной работы по предупреждению утраты персональных данных
при работе с конфиденциальными документами.
7.7.4. Для защиты конфиденциальной информации от внешнего воздействия создаются
целенаправленные неблагоприятные условия и труднопреодолимые препятствия для
посторонних лиц, пытающихся совершить несанкционированный доступ и овладение
информацией. Целью и результатом несанкционированного доступа к информационным
ресурсам, может быть, не только овладение ценными сведениями и их использование, но и их
видоизменение, уничтожение, подмена, фальсификация содержания реквизитов документа и т.д.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к
деятельности Учреждения и работники, не имеющие права доступа к сведениям
конфиденциального характера. Посторонние лица не должны знать распределение функций,
рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и
рабочих материалов специалистов, ответственных за организацию работы с персональными
данными и других должностных лиц, имеющих доступ к персональным данным в связи с
осуществлением своих должностных обязанностей.
7.7.5. Внешняя защита включает следующие организационно-технические мероприятия:
1. Охрана территории, зданий, помещений Учреждения.
2. Учет и контроль деятельности посетителей.
3. Наличие технических средств охраны.
7.8. Прекращение обработки персональных данных:
Уполномоченные лица, ответственные за обработку персональных данных, прекращают их
обрабатывать:
• при достижении целей обработки персональных данных;
• но истечении срока действия согласия;
• при отзыве субъектом персональных данных своего согласия на обработку персональных
данных, при отсутствии правовых оснований для продолжения обработки без согласия;
• при выявлении неправомерной обработки персональных данных.
7.9. Уничтожение персональных данных
7.9.1. Персональные данные подлежат уничтожению по достижении целей обработки или в
8

случае утраты необходимости в их достижении, а также в случае отзыва субъектом персональных
данных согласия на их обработку,
7.9.2. Документы, содержащие персональные данные, подлежат уничтожению специально
созданной комиссией, в соответствии с законодательством Российской Федерации.
7.9.3. Уничтожение документов, содержащих персональные данные, производится путем
измельчения. Для уничтожения может быть использован уничтожитель бумаг.
7.9.4. Персональные данные на электронных носителях уничтожаются путем их удаления с
персонального компьютера или форматирования носителя.
7.10. Право доступа к персональным данным.
7.10.1. Право доступа к документам, содержащим сведения о персональных данных, имеют
специально уполномоченные лица. Перечень работников, имеющих доступ к персональным
данным работников, утверждается руководителем Учреждения.
7.10.2. Уполномоченные лица, имеющие доступ к персональным данным других работников и
обучающихся и их родителей (законных представителей), а также третьих лиц, обязаны
подписать соглашение о неразглашении персональных данных.
7.10.3. Уполномоченные лица имеют право получать только те персональные данные, которые
необходимы для выполнения конкретных функций в соответствии с должностной инструкцией
указанных лиц.
7.10.4. Запрещается обработка персональных данных в присутствии лиц, не имеющих права
доступа к ним.
7.10.5. Уполномоченные липа, в функции которых входит обработка персональных данных,
обязаны:
• обеспечить каждому субъекту персональных данных возможность ознакомления с
документами и материалами, непосредственно затрагивающими его права и свободы;
• обеспечить субъекту персональных данных свободный бесплатный доступ к своим
персональным данным, включая право на получение копии любой записи, содержащей
такие персональные данные;
• предоставить по требованию субъекта персональных данных полную информацию об
обработке, хранении и защите его персональных данных.
7.10.6. К числу массовых потребителей персональных данных вне Учреждения относятся
государственные и негосударственные функциональные структуры. К их числу относятся:
• правоохранительные органы;
• налоговые инспекции;
• органы статистики;
• фонды медицинского и социального страхования;
• территориальные отделения пенсионных фондов;
• военные комиссариаты;
• подразделения муниципальных органов управления;
• контрольно-надзорные органы.
8. Права субъекта персональных данных
в области защиты его персональных данных
8.1. Право субъекта персональных данных на доступ к его персональным данным.
8.1.1. Субъект персональных данных имеет право на получение информации, касающейся
обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Учреждением;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Учреждением способы обработки персональных данных;
• наименование и место нахождения Учреждения, сведения о лицах (за исключением
работников), которые имеют доступ к персональным данным или которым могут быть
раскрыты персональные данные на основании договора с Учреждением или на основании
федерального закона;
9

•

обрабатываемые персональные данные, относящиеся к этому субъекту персональных
данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных
законодательством;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Учреждения, если обработка поручена или будет
поручена такому лицу;
• иные сведения, предусмотренные законодательством Российской Федерации.
8.1.2. Право субъекта персональных данных на доступ к его персональным данным может быть
ограничено в соответствии с действующим законодательством Российской Федерации.
8.1.3. Субъект персональных данных вправе требовать от Учреждения уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные данные
являются неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки, а также принимать предусмотренные законом
меры по защите своих прав.
8.1.4. Сведения должны быть предоставлены субъекту персональных данных в доступной форме
и в них не должны содержаться персональные данные, относящиеся к другим субъектам
персональных данных, за исключением случаев, если имеются законные основания для
раскрытия таких персональных данных.
8.1.5. Сведения предоставляются при обращении субъекта персональных данных, либо при
получении запроса субъекта персональных данных. Запрос должен содержать номер основного
документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи
указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с Учреждением (номер договора, дата заключения договора,
условное словесное обозначение и (или) иные сведения), либо сведения, иным образом
подтверждающие факт обработки персональных данных, подпись субъекта персональных
данных. Запрос может быть направлен в форме электронного документа и подписан электронной
подписью в соответствии с законодательством Российской Федерации.
8.1.6. В случае если персональные данные были предоставлены для ознакомления субъекту
персональных данных по его запросу, он вправе обратиться повторно или направить повторный
запрос в целях получения сведений и ознакомления с такими персональными данными не ранее
чем через тридцать дней после первоначального обращения или направления первоначального
запроса, если более короткий срок не установлен законодательством Российской Федерации.
8.1.7. Субъект персональных данных вправе обратиться повторно или направить повторный
запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми
персональными данными до истечения срока в случае, если такие сведения и (или)
обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном
объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен
содержать обоснование направления повторного запроса.
8.1.8. Учреждение вправе отказать субъекту персональных данных в выполнении повторного
запроса, не соответствующего условиям законодательства. Такой отказ должен быть
мотивированным. Обязанность представления доказательств обоснованности отказа в
выполнении повторного запроса лежит на Учреждении.
8.1.9. Все сведения об обращении субъекта персональных данных регистрируются в «Журнале
учета обращений субъектов персональных данных о выполнении их законных прав в области
защиты персональных данных». В журнале фиксируются сведения о лице, направившем запрос,
краткое содержание сообщения, цель получения информации, дата передачи либо отказа в
предоставлении информации.
8.2. Право на обжалование действий или бездействия Учреждения.
8.2.1. Если субъект персональных данных считает, что Учреждение осуществляет обработку его
10

персональных данных с нарушением требований законодательства Российской Федерации или
иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие
Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в
судебном порядке.
8.2.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов,
в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Контактная информация
9.1. Ответственным за организацию обработки и обеспечения безопасности персональных
данных в У назначается заместитель заведующего.
9.2. Уполномоченным органом по защите прав субъектов персональных данных является
федеральная служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор), управление по защите прав субъектов персональных данных.
Контакты Управления Роскомнадзора по Уральскому федеральному округу:
Наименование полное: «Управление Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций по Уральскому федеральному округу».
Наименование сокращенное: «Управление Роскомнадзора по Уральскому федеральному
округу».
адрес: проспект Ленина, д. 39, а/я 337, Екатеринбург, 620000
телефон: (343) 227-24-40
факс: (343) 227-24-52.
е-mail: rsockanc66@rkn.gov.ru
10. Обязанности Учреждения при работе с персональными данными
10.1. Обязанности Учреждения при сборе персональных данных
10.1.1. При сборе персональных данных Учреждение обязано предоставить субъекту
персональных данных по его просьбе информацию, указанную в п. 8.1.1.
10.1.2. Если предоставление персональных данных является обязательным в соответствии с
федеральным законом, Учреждение обязано разъяснить субъекту персональных данных
юридические последствия отказа предоставить его персональные данные.
10.1.3. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети «Интернет», Учреждение обязана обеспечить запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение
персональных данных работника с использованием баз данных, находящихся на территории
Российской Федерации, за исключением случаев, предусмотренных законодательством
Российской Федерации.
10.2. Меры, направленные на обеспечение выполнения Учреждением обязанностей,
предусмотренных действующих законодательством
10.2.1. Учреждение обязано принимать меры, необходимые и достаточные для обеспечения
выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»
и принятыми в соответствии с ним нормативными правовыми актами. Учреждение
самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных указанным Федеральным законом и принятыми в
соответствии с ним нормативными правовыми актами, если иное не предусмотрено данным
Федеральным законом или другими федеральными законами. К таким мерам могут, в частности,
относиться:
• назначение Учреждением ответственного лица за организацию обработки персональных
данных;
• издание Учреждением документов, определяющих политику Учреждения в отношении
обработки персональных данных, локальных актов по вопросам обработки персональных
данных, а также локальных актов, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской Федерации,
устранение последствий таких нарушений;
11

•

применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных
законодательству Российской Федерации, требованиям к защите персональных данных,
политике Учреждения в отношении обработки персональных данных, локальным актам
работодателя;
• оценка вреда, который может быть причинен субъекту персональных данных в случае
нарушения законодательства Российской Федерации, соотношение указанного вреда и
принимаемых Учреждением мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку персональных
данных, с положениями законодательства Российской Федерации о персональных
данных, в том числе требованиями к защите персональных данных, документами,
определяющими политику Учреждения в отношении обработки персональных, данных,
локальными актами по вопросам обработки персональных данных, и (или) обучение
указанных работников.
10.2.2. Учреждение обязано опубликовать или иным образом обеспечить неограниченный доступ
к документу, определяющему его политику в отношении обработки персональных данных, к
сведениям о реализуемых требованиях к защите персональных данных. При сборе персональных
данных с использованием информационно-телекоммуникационных сетей Учреждение обязано
опубликовать в соответствующей информационно-телекоммуникационной сети документ,
определяющий его политику в отношении обработки персональных данных, и сведения о
реализуемых требованиях к защите персональных данных, а также обеспечить возможность
доступа к указанному документу с использованием средств соответствующей информационнотелекоммуникационной сети.
10.3. Меры по обеспечению безопасности персональных данных при их обработке
10.3.1. Учреждение при обработке персональных данных работника обязано принимать
необходимые правовые, организационные и технические меры или обеспечивать их принятие для
зашиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных
данных, а также от иных неправомерных действий в отношении персональных данных.
10.3.2. Обеспечение безопасности персональных данных достигается, в частности:
• определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оттенки соответствия
средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных и съемных электронных носителей информации;
• обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе
персональных данных;
12

•

контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
10.4. Обязанности Учреждения при обращении к нему субъекта персональных данных
либо при получении запроса субъекта персональных данных
10.4.1. Учреждение обязано сообщить в порядке, предусмотренном законодательством
Российской Федерации, субъекту персональных данных информацию о наличии персональных
данных, а также предоставить возможность ознакомления с этими персональными данными при
обращении его в течение тридцати дней с даты получения запроса субъекта персональных
данных.
10.4.2. В случае отказа в предоставлении информации о наличии персональных данных о
соответствующем субъекте персональных данных или персональных данных субъекту
персональных данных при его обращении либо при получении запроса субъекта персональных
данных Учреждение обязано дать в письменной форме мотивированный ответ, содержащий
ссылку на соответствующее положение Федерального закона «О персональных данных» или
иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий
тридцати дней со дня обращения субъекта персональных данных либо с даты получения запроса.
10.4.3. Учреждение обязано предоставить безвозмездно субъекту персональных данных
возможность ознакомления с его персональными данными. В срок, не превышающий семи
рабочих дней со дня предоставления субъектом сведений, подтверждающих, что персональные
данные являются неполными, неточными или неактуальными, Учреждение обязано внести в них
необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления
субъектом сведений, подтверждающих, что такие персональные данные являются незаконно
полученными или не являются необходимыми для заявленной цели обработки. Учреждение
обязано уничтожить такие персональные данные. Учреждение обязано уведомить субъекта
персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры
для уведомления третьих лиц, которым персональные данные этого субъекту были переданы.
10.5. Обязанности Учреждения по устранению нарушений законодательства, допущенных
при обработке персональных данных, по уточнению, блокированию и уничтожению
персональных данных.
10.5.1. В случае выявления неправомерной обработки персональных данных при обращении
субъекта персональных данных либо по запросу субъекта персональных данных Учреждение
обязано осуществить блокирование неправомерно обрабатываемых персональных данных,
относящихся к этому субъекту, или обеспечить их блокирование (если обработка персональных
данных осуществляется другим лицом, действующим по поручению Учреждения) с момента
такого обращения или получения указанного запроса на период проверки. В случае выявления
неточных персональных данных при обращении субъекта персональных данных либо по его
запросу Учреждение обязано осуществить блокирование персональных данных, относящихся к
этому субъекту, или обеспечить их блокирование (если обработка персональных данных
осуществляется другим лицом, действующим но поручению Учреждения) с момента такого
обращения или получения указанного запроса на период проверки, если блокирование
персональных данных не нарушает права и законные интересы субъекта персональных данных
или третьих лиц.
10.5.2. В случае подтверждения факта неточности персональных данных Учреждение на
основании сведений, представленных субъектом персональных данных или иных необходимых
документов обязано уточнить персональные данные либо обеспечить их уточнение (если
обработка персональных данных осуществляется другим лицом, действующим по поручению
Учреждения) в течение семи рабочих дней со дня представления таких сведений и снять
блокирование персональных данных.
10.5.3. В случае выявления неправомерной обработки персональных данных, осуществляемой
Учреждением или лицом, действующим по поручению Учреждения, Учреждение в срок, не
превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную
обработку персональных данных или обеспечить прекращение неправомерной обработки
персональных данных лицом, действующим по его поручению. В случае если обеспечить
13

правомерность обработки персональных данных невозможно, Учреждение в срок, не
превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных
данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об
устранении допущенных нарушений или об уничтожении персональных данных Учреждение
обязано уведомить субъекта персональных данных, а в случае, если обращение субъекта
персональных данных либо запрос уполномоченного органа по защите прав субъектов
персональных данных были направлены уполномоченным органом по защите прав субъектов
персональных данных, также указанный орган.
10.5.4. В случае достижения цели обработки персональных данных Учреждение обязано
прекратить обработку персональных данных или обеспечить ее прекращение (если обработка
персональных данных осуществляется другим липом, действующим по поручению Учреждения)
и уничтожить персональные данные или обеспечить их уничтожение (если обработка
персональных данных осуществляется другим лицом, действующим по поручению Учреждения)
в срок, не превышающий тридцати дней с даты достижения цели обработки персональных
данных, если иное не предусмотрено соглашением между Учреждением и субъектом
персональных данных либо если Учреждение не вправе осуществлять обработку персональных
данных без согласия субъекта персональных данных на основаниях, предусмотренных
законодательством Российской Федерации.
10.5.5. В случае отзыва субъектом персональных данных согласия на обработку его
персональных данных Учреждение обязано прекратить их обработку или обеспечить
прекращение такой обработки (если обработка персональных данных осуществляется другим
лицом, действующим по поручению Учреждения) и в случае, если сохранение персональных
данных более не требуется для целей обработки персональных данных, уничтожить
персональные данные или обеспечить их уничтожение (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Учреждения) в срок, не
превышающий тридцати дней с даты поступления указанного отзыва, если иное не
предусмотрено соглашением между Учреждением и субъектом персональных данных, либо если
Учреждение не вправе осуществлять обработку персональных данных без согласия субъекта
персональных данных на основаниях, предусмотренных законодательством Российской
Федерации.
10.5.6. В случае отсутствия возможности уничтожения персональных данных в течение
указанного срока, Учреждение осуществляет блокирование таких персональных данных или
обеспечивает их блокирование (если обработка персональных данных осуществляется другим
лицом, действующим по поручению Учреждения) и обеспечивает уничтожение персональных
данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными
законами.
11. Ответственность Учреждения и уполномоченных им лиц,
осуществляющих работу с персональными данными
11.1. Защита прав субъектов персональных данных, установленных законодательством
Российской Федерации, осуществляется судом в целях пресечения неправомерного
использования персональных данных, восстановления нарушенных прав и возмещения
причиненного ущерба, в том числе морального вреда.
11.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения
их прав, нарушения правил обработки персональных данных, а также несоблюдения требований
к защите персональных данных, подлежит возмещению в порядке и на условиях,
предусмотренных законодательством Российской Федерации. Возмещение морального вреда
осуществляется независимо от возмещения имущественного вреда и понесенных субъектом
персональных данных убытков.
11.3. Лица, виновные в нарушении норм, устанавливающих порядок получения, сбора,
обработки, передачи, хранения и защиты персональных данных, привлекаются к
дисциплинарной и материальной ответственности, а в случаях, установленных
законодательством Российской Федерации, - к гражданско-правовой, административной и
14

уголовной ответственности в порядке, установленном законодательством Российской
Федерации.
11.4. Трудовым кодексом Российской Федерации предусмотрено право работодателя на
расторжение трудового договора по своей инициативе при разглашении работником охраняемой
законом тайны, ставшей известной ему в связи с исполнением им своих трудовых обязанностей.

15