Кто ответственный за обработку персональных данных в доу

Обновлено: 24.06.2024

Муниципальное бюджетное дошкольное образовательное учреждение

детский сад № 19

муниципального образования г. Новороссийск

О назначении ответственных за обработку персональных данных в 2016-2017 учебном году

1. Ответственность за осуществление мероприятий по защите персональных данных сотрудников МБДОУ детского сада № 19, воспитанников и их родителей (законных представителей) возлагаю на себя.

2. Назначить Администратором безопасности (с исполнением обязанностей Администратора ИСПДн) завхоза Рыбникову Н.М.

2.1. Назначить ответственных за сбор, хранение персональных данных работников

ДОУ: Брыкину Н.П. - старшую медицинскую сестру ,Рыбникову Н.М.. – завхоза

2.2 Поручить лицам ответственным за организацию обработки персональных

- осуществлять внутренний контроль за соблюдением требований законодательства

РФ при обработке персональных данных в ДОУ, в том числе требований к защите

- доводить до сведения работников ДОУ положения законодательства РФ о

персональных данных, локальных актов по вопросам обработки персональных

данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов

персональных данных или их представителей и (или) осуществлять контроль за

приемом и обработкой таких обращений и запросов.

3. В соответствии с ФЗ-152 субъект персональных данных или его представитель

имеет право на получение информации, касающейся обработки его персональных

данных на основании обращения либо при получении запроса субъекта

персональных данных или его представителя. Запрос должен содержать номер

основного документа, удостоверяющего личность субъекта персональных данных

или его представителя, сведения о дате выдачи указанного документа и выдавшем

его органе, сведения, подтверждающие участие субъекта персональных данных в

отношениях с оператором (номер договора, дата заключения договора, условное

словесное обозначение и (или) иные сведения), либо сведения, иным образом

подтверждающие факт обработки персональных данных оператором, подпись

субъекта персональных данных или его представителя. Запрос может быть

направлен в форме электронного документа и подписан электронной подписью в

соответствии с законодательством Российской Федерации.

Все обращения и запросы субъектов персональных данных подлежат обязательному

учету в Журнале учета обращений граждан (субъектов персональных данных).

Ответственным за ведение Журнала учета обращений граждан (субъектов

персональных данных) назначаются лица ответственные за организацию

обработки персональных данных

4. Рыбниковой Н.М- заключать письменные согласия принятых работников ДОУ на обработку их персональных данных и объем ПД, к которым они допускаются.

5. Рыбниковой Н.М установить режим безопасности в помещениях, в которых производится обработка персональных данных.

6. Назначить ответственных за обработку и хранение персональных данных

воспитанников ДОУ следующих воспитателей: Глибоцкую И.А., Калинину Н.В., Стяжкину Т.Н., Ростовцеву Ю.А., Чернову Е.Н., Абакумову И.А., Глибоцкую К.В., Горбаткову Е.В.

8. Контроль за исполнением настоящего приказа оставляю за собой.

Заведующая МБДОУ д/с № 19 М.Л.Румянцева

Приложение 1 к приказу
МБДОУ д/с № 19
от 01.09.2016 № 217-о/д

ПОЛОЖЕНИЕ
о разграничении прав доступа к обрабатываемым
персональным данным
муниципального бюджетного дошкольного образовательного учреждения детский сад № 19 муниципального образования г.Новороссийск

Общие положения

2. Основные понятия

2.1. В Положении используются следующие основные понятия:

• персональные данные работника — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

• персональные данные воспитанников - информация, необходимая МБДОУ д/с № 19 в связи с отношениями, возникающими между воспитанниками, его родителями (законными представителями) и МБДОУ д/с № 19;

• обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

• конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия работника (родителей (законных представителей) воспитанника) или иного законного основания;

• распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

• использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом МБДОУ д/с № 19 в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (воспитанников) либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

• блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

• уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

• обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику (обучающемуся);

3. Разграничение прав доступа при автоматизированной обработке информации

3.1. Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных в ИСПДн.

3.2. Список групп должностных лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа в ИСПДн представлен в приложении № 1.

4. Разграничение прав доступа при неавтоматизированной обработке персональных данных

4.1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных на материальных носителях.

4.2. Список лиц ответственных за неавтоматизированную обработку персональных, а так же их уровень прав доступа к персональным данным представлен в приложении № 2.

• Распространение (передача) информации, содержащей персональные данные, может быть осуществлена только с разрешения администрации школы в соответствии с Положением о порядке обработки и защиты персональных данных работников и воспитанников МБДОУ д/с № 19 и в установленном действующим законодательством порядке.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Родитель воспитанника детского сада написал заявление-отзыв, в котором он "запрещает и отзывает навсегда обработку своих персональных данных и персональных данных своих детей, а также их хранение, систематизацию, накопление, изменение, использование. ".
Каким образом будет осуществляться обработка персональных данных в данном случае?

Рассмотрев вопрос, мы пришли к следующему выводу:
В рамках существования договорного обязательства обработка персональных данных воспитанника может осуществляться без согласия его законного представителя в том объеме, в котором это необходимо для исполнения принятых на себя обязательств.

Обоснование вывода:
В соответствии со ст. 3 Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных. Таким образом, информация о детях, их родителях (законных представителях), по которой их можно персонифицировать, является персональными данными этих субъектов.
Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, дошкольная образовательная организация в силу закона является оператором персональных данных и должна соблюдать требования законодательства о персональных данных. На него, как на оператора, возлагаются обязанности принимать меры, необходимые и достаточные для обеспечения выполнения предписаний, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами*(1) (ст. 18.1 Закона N 152-ФЗ).
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных или его представителя (п. 1 ч. 1 ст. 6, ч. 6 ст. 9 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Приведенные нормы корреспондируются и с положениями ст. 7 Закона N 152-ФЗ, в силу которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Исходя из приведенных норм, дошкольная образовательная организация в целях оказания услуг вправе обрабатывать персональные данные воспитанников без согласия их законных представителей для выполнения возложенных законодательством РФ на такую организацию функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно (п. 3 ч. 2 ст. 10 Закона N 152-ФЗ).
Таким образом, в рамках заключения и исполнения договора дошкольная образовательная организация вправе обрабатывать персональные данные воспитанников без согласия на это их законных представителей, соблюдая при этом основные принципы обработки персональных данных (ст. 5 Закона N 152-ФЗ) и режим конфиденциальности (ст. 7 Закона N 152-ФЗ). Соответственно, отзыв родителем согласия на обработку персональных данных своего ребенка не препятствует оператору при наличии законных оснований продолжить такую обработку (ч. 2 ст. 9, ч. 5 ст. 21 Закона N 152-ФЗ).

27 февраля 2020 г.

-------------------------------------------------------------------------
*(1) Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ).

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

1. Настоящее Положение об обработке и защите персональных данных в образовательном учреждении (далее – Положение) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в образовательном учреждении (далее – ОУ) на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон № 152-ФЗ), Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также в соответствии с уставом ОУ и локальными актами.

2. Основной задачей ОУ в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников ОУ, обучающихся, воспитанников и их родителей (законных представителей), а также персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъектов персональных данных.

3. В настоящем Положении используются следующие термины и определения.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования и распространения персональных данных, в т. ч. их передачи.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Информационная система персональных данных – совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования средств автоматизации.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных и в отношении общедоступных персональных данных. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – действия (операции) с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), обезличивание, блокирование, уничтожение персональных данных и др.

Общедоступные персональные данные – персональные данные, на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности или к которым предоставлен доступ неограниченного круга лиц с согласия субъекта персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных или по решению руководителя ОУ, либо по решению суда или иных уполномоченных государственных органов.

Оператор – юридическое лицо (ОУ), организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

Персональные данные – любая информация, относящаяся к физическому лицу, определенному или определяемому на основании такой информации, в т. ч.: его фамилия, имя, отчество; год, месяц, дата и место рождения; адрес регистрации; семейное, социальное и имущественное положение; образование, профессия; доходы; другая информация, определяемая нормативно-правовыми актами РФ в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, настоящим Положением и локальными актами ОУ.

Работники – лица, имеющие трудовые отношения с ОУ, либо кандидаты на вакантную должность, вступившие с ОУ в отношения по поводу приема на работу.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в т. ч. обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Субъекты персональных данных ОУ (далее – субъекты) – носители персональных данных, в т. ч. работники ОУ, обучающиеся, воспитанники и их родители (законные представители), передавшие свои персональные данные ОУ на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в т. ч. передачи) и обезличивания.

Съемные носители данных – материальные объекты или устройства с определенными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных.

Типовая форма документа – документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов.

Уничтожение персональных данных – действия, в результате которых происходит безвозвратная утрата персональных данных в информационных системах персональных данных, в т. ч. уничтожение материальных носителей персональных данных.

Укрупненный перечень персональных данных – перечень персональных данных субъектов, определенных к обработке оператором в каждом структурном подразделении ОУ.

4. Персональные данные защищаются от несанкционированного доступа в соответствии с
нормативными правовыми актами РФ, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями ОУ.

5. Персональные данные относятся к категории конфиденциальной информации.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.

6. Должностные лица ОУ, в обязанности которых входит обработка персональных данных
субъектов, обеспечивают каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

7. Порядок обработки персональных данных в ОУ утверждается руководителем ОУ. Все работники ОУ должны быть ознакомлены под роспись с настоящим Положением в редакции, действующей на момент ознакомления.

II. Организация получения и обработки персональных данных

8. Получение персональных данных оператором осуществляется в соответствии с нормативными
правовыми актами РФ в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, настоящим Положением, локальными актами ОУ в случае согласия субъектов на обработку их персональных данных.

9. Оператор персональных данных не вправе требовать от субъекта предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и частной жизни.

10. Без согласия субъектов осуществляется обработка общедоступных персональных данных
или данных, содержащих только фамилии, имена и отчества.

11. Обработка и использование персональных данных осуществляется в целях, указанных
в соглашениях с субъектами, а также в случаях, предусмотренных нормативными правовыми актами РФ и локальными нормативными актами, принятыми в рамках компетенции ОУ в соответствии с законодательством РФ.

12. В случае увольнения или отчисления субъекта оператор обязан незамедлительно прекратить
обработку персональных данных и уничтожить соответствующие персональные данные в срок,
не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством РФ либо договором с субъектом.

13. Правила обработки и использования персональных данных устанавливаются отдельными
регламентами и инструкциями оператора.

14. Персональные данные хранятся в бумажном и (или) электронном виде централизованно
или в соответствующих структурных подразделениях ОУ с соблюдением предусмотренных
нормативными правовыми актами РФ мер по защите персональных данных.

15. Право на обработку персональных данных предоставляется работникам ОУ, определенным
укрупненным перечнем персональных данных, используемых работниками структурных подразделений и (или) должностными лицами ОУ, а также распорядительными документами
и иными письменными указаниями оператора.

16. Осуществлять обработку и хранение конфиденциальных данных, не внесенных в укрупненный перечень персональных данных, используемых работниками структурных подразделений
и (или) должностными лицами ОУ, запрещается.

17. Работники структурных подразделений и (или) должностные лица ОУ, проводящие сбор
персональных данных на основании укрупненного перечня, обязаны сохранять их конфиденциальность.

18. Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности путем фиксации их на отдельных материальных (бумажном или электронном) носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

19. При фиксации персональных данных на материальных носителях не допускается размещение на одном материальном носителе персональных данных, цели обработки, которых заведомо не совместимы.

Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, используются отдельные материальные носители для каждой категории.

20. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т. ч. работники ОУ или лица, осуществляющие такую обработку по договору с ОУ), информируются руководителями:

о факте обработки ими персональных данных;

о категориях обрабатываемых персональных данных;

об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными актами ОУ.

21. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

типовая форма документа содержит сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; наименование ОУ; адрес ОУ; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых ОУ способов обработки персональных данных;

при необходимости получения письменного согласия на обработку персональных данных типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации;

типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.

22. При ведении журналов (классные журналы, журналы регистрации, журналы посещений и др.), содержащих персональные данные субъектов, следует учитывать, во-первых, что необходимость их ведения предусмотрена федеральными законами и локальными актами ОУ, содержащими сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способах фиксации и составе информации, запрашиваемой у субъектов персональных данных, перечне лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журналов, сроках обработки персональных данных, и, во-вторых, что копирование содержащейся в них информации не допускается.

23. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).

24. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

25. Если персональные данные субъекта можно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него необходимо получить письменное согласие. ОУ должно сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение.

III. Меры по обеспечению безопасности персональных данных при их обработке

26. При обработке персональных данных в отношении каждой категории персональных данных определяются места хранения, а также устанавливается перечень лиц, осуществляющих их обработку либо имеющих к ним доступ (как с использованием средств автоматизации, так и без них).

27. Оператором обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

28. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности ОУ.

29. Порядок конкретных мероприятий по защите персональных данных с использованием или без использования ЭВМ определяется приказами руководителя ОУ и иными локальными нормативными актами.

IV. Права, обязанности и ответственность субъекта персональных данных и оператора при обработке персональных данных

30. В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Законом № 152-ФЗ за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

на получение сведений об операторе, о месте его нахождения, наличии у него персональных данных, относящихся к нему (т. е. субъекту персональных данных), а также на ознакомление с такими данными;

требование от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

получение при обращении или запросе информации, касающейся обработки его персональных данных.

31. Оператор обязан:

безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных;

вносить в персональные данные субъекта необходимые изменения;

уничтожать или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

уведомлять субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах;

в случае выявления неправомерной обработки персональных данных, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора;

в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;

уведомлять субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

уведомить субъекта персональных данных об уничтожении его персональных данных.

32. Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством РФ.

33. Ответственность за соблюдение требований законодательства РФ при обработке и использовании персональных данных возлагается на руководителей структурных подразделений и конкретных должностных лиц, обрабатывающих персональные данные, в приказе об утверждении настоящего Положения и в других соответствующих приказах.

V. Заключительные положения

34. Изменения в Положение вносятся согласно установленному в ОУ порядку.

Право ходатайствовать о внесении изменений в Положение имеет руководитель и заместители

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Основные обязательные документы:

Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ).

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

для должностных лиц — от 20 000 до 40 000 руб.
для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

для должностных лиц — от 40 000 до 100 000 руб.
для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

для должностных лиц — от 300 до 500 руб.;
для юридических лиц — от 3 000 до 5 000 руб.

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
Проверьте порядок получения персональных данных от каждого субъекта.
Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

1.2. Основная цель настоящего Положения — установление единого порядка защиты персональных данных воспитанников и их законных представителей Учреждения для обеспечения защиты их прав и свобод при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных воспитанников и их законных представителей, а также ведения личного дела воспитанника в соответствии с законодательством РФ.

1.4. В настоящем Положении использованы следующие термины и определения:

— воспитанник — лицо дошкольного возраста, посещающее Учреждение;

— законный представитель — лицо (физическое или юридическое), которое в силу закона выступает в Учреждении в защиту личных прав и законных интересов воспитанников Учреждения;

— представитель руководителя — работник, назначенный приказом руководителя ответственным за сбор, обработку, хранение и передачу персональных данных воспитанников и их законных представителей;

— персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно — телекоммуникационных сетях или предоставление доступа к персональным данным каким — либо иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

— защита персональных данных — деятельность по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно — технических мер конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу;

— конфиденциальная информация — это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

1.5. Воспитанники при поступлении в Учреждение должны быть ознакомлены под расписку с настоящим Положением.

1.6. Настоящее Положение утверждается заведующим Учреждения и действует до принятия нового.

2. Сбор персональных данных воспитанников и их законных представителей

2.1. К персональным данным воспитанников и их законных представителей относятся:

— сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность;

— информация, содержащаяся в личном деле воспитанника;

— информация, содержащаяся в личном деле воспитанника, лишенного родительского попечения;

— информация о состоянии здоровья;

— документ о месте проживания;

— иные сведения, необходимые для определения отношений воспитания.

— сведения о фамилии, имени, отчестве, дате рождения, месте жительства воспитанника;

— фамилии, имени, отчестве родителей (законных представителей) воспитанника.

2.2. Иные персональные данные воспитанника, необходимые в связи с отношениями обучения и воспитания, руководитель может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления воспитанникам гарантий и компенсаций, установленных действующим законодательством:

— документы о составе семьи;

— документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний и т. п.);

— документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т. п.).

— документы, подтверждающие место работы родителей (законных представителей) воспитанников.

2.3. В случаях, когда руководитель может получить необходимые персональные данные воспитанника только у третьего лица, он должен уведомить об этом одного из родителей (законного представителя) заранее и получить от него письменное согласие.

2.4. Администрация обязана сообщить одному из родителей (законному представителю) о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа одного из родителей (законного представителя) дать письменное согласие на их получение.

2.5. Персональные данные воспитанника являются конфиденциальной информацией и не могут быть использованы руководителем или любым иным лицом в личных целях.

2.6. При определении объема и содержания персональных данных воспитанника руководитель руководствуется Конституцией Российской Федерации, федеральными законами и настоящим Положением.

3. Хранение, обработка и передача персональных данных воспитанников и их законных представителей

3.1. Обработка персональных данных воспитанников и их законных представителей осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в целях воспитания и обучения обучающегося, обеспечения его личной безопасности, контроля качества образования, пользования льготами, предусмотренными законодательством Российской Федерации и локальными актами Учреждения.

3.2. Право доступа к персональным данным воспитанников и их законных представителей имеют:

— работники управления образованием (при наличии соответствующих полномочий, установленных приказом управления образования;

— главный бухгалтер Учреждения;

— заместитель заведующего по УВР;

— воспитатели (к персональным данным воспитанников и родителей (законных представителей) своей группы);

— педагоги (педагог – психолог, учитель – логопед);

— инспектор по охране прав детства.

3.3. Руководитель осуществляет прием воспитанников в Учреждение.

Руководитель Учреждения может передавать персональные данные воспитанников и их законных представителей третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья воспитанников, а также в случаях, установленных федеральными законами.

— принимает или оформляет вновь личные дела воспитанников и вносит в него необходимые данные;

— предоставляет свободный доступ родителям (законным представителям) к персональным данным воспитанников на основании письменного заявления.

— к заявлению прилагается:

родителем; копия документа, удостоверяющего личность;
законным представителем; копия удостоверения опекуна (попечителя);

— не имеет право получать информацию о воспитаннике родитель, лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.

3.5. Главный бухгалтер:

— имеет право доступа к персональным данным воспитанника в случае, когда исполнение им своих трудовых обязанностей или трудовых обязанностей работников бухгалтерии по отношению к воспитаннику (предоставление льгот, установленных законодательством) зависит от знания персональных данных воспитанника.

3.6. При передаче персональных данных воспитанника руководитель, делопроизводитель, медсестра, главный бухгалтер, бухгалтер, заместитель заведующего по УВР, воспитатели, педагоги Учреждения обязаны:

— предупредить лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

— потребовать от этих лиц письменное подтверждение соблюдения этого условия.

3.7. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных воспитанников, определяются трудовыми договорами, должностными инструкциями и приказом по Учреждению.

3.8. Все сведения о передаче персональных данных воспитанников регистрируются в журнале учета передачи персональных данных воспитанников, их законных представителей и работников Учреждения в целях контроля правомерности использования данной информации лицами, ее получившими.

4. Обязанности работников администрации, имеющих доступ к персональным данным воспитанников и их законных представителей

4.1. Работники администрации, имеющие доступ к персональным данным воспитанников и их законных представителей, обязаны:

— не сообщать персональные данные воспитанника третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется;

— использовать персональные данные воспитанников, полученные только с письменного согласия одного из родителей (законного представителя);

— обеспечить защиту персональных данных воспитанника от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации;

— ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись;

— соблюдать требование конфиденциальности персональных данных воспитанников;

— исключать или исправлять по письменному требованию одного из родителей (законного представителя) воспитанника его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства;

— ограничивать персональные данные воспитанника при передаче уполномоченным работникам правоохранительных органов или работникам управления образованием только той информацией, которая необходима для выполнения указанными лицами их функций;

— запрашивать информацию о состоянии здоровья воспитанника только у родителей (законных представителей);

— обеспечить воспитаннику или одному из его родителей (законному представителю) свободный доступ к персональным данным воспитанника, включая право на получение копий любой записи, содержащей его персональные данные.

— предоставить по требованию одного из родителей (законного представителя) воспитанника полную информацию о его персональных данных и обработке этих данных.

4.2. Лица, имеющие доступ к персональным данным воспитанника, не вправе:

— получать и обрабатывать персональные данные воспитанников и их законных представителей о его религиозных и иных убеждениях, семейной и личной жизни;

— предоставлять персональные данные воспитанника в коммерческих целях.

4.3. При принятии решений, затрагивающих интересы воспитанника, администрации запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5. Права и обязанности воспитанников и их законных представителей

5.1. В целях обеспечения защиты персональных данных, хранящихся у администрации, воспитанники и их законные представители имеют право на:

— требование об извещении администрацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные воспитанника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжалование в суд любых неправомерных действий или бездействия администрации при обработке и защите персональных данных воспитанника;

— возмещение убытков и/или компенсацию морального вреда в судебном порядке.

5.2. Родитель (законный представитель) обязан сообщать администрации сведения, которые могут повлиять на принимаемые администрацией решения в отношении воспитанника.

6. Хранение персональных данных воспитанников и их законных представителей

6.1. Персональные данные должны храниться в сейфе на бумажных и электронных носителях с ограниченным доступом:

— документы, поступившие от родителя (законного представителя);

— сведения о воспитаннике, поступившие от третьих лиц с письменного согласия родителя (законного представителя);

— иная информация, которая касается отношений обучения и воспитания воспитанника.

7. Ответственность администрации и ее сотрудников

7.1. Защита прав воспитанников, установленных законодательством Российской Федерации и настоящим Положением, осуществляется судом в целях пресечения неправомерного использования персональных данных воспитанников, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.

7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных воспитанников, привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Читайте также: