Политика конфиденциальности
1. Политика обработки персональных данных в детском саду
1. Общие положения
1.1. Настоящая политика обработки персональных данных МБДОУ Саянский детский сад «Волшебный град» (далее – Политика) определяет цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в МБДОУ Саянский детский сад «Волшебный град» (далее – Детский сад).
1.2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Детском саду, разрабатываются с учетом положений Политики.
1.3. Действие Политики распространяется на персональные данные, которые Детский сад обрабатывает с использованием и без использования средств автоматизации.
1.4. В Политике используются следующие понятия:
- персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон);
- оператор персональных данных (оператор) – Детский сад – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными с использованием и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Детский сад как оператор персональных данных обязана:
1.5.1. Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.
1.5.2. Обеспечить субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.
1.5.3. Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.
1.5.4. Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.
1.5.5. Прекратить обработку и уничтожить или обезличить персональные данные либо обеспечить прекращение обработки и уничтожение или обезличивание персональных данных при достижении цели их обработки.
1.5.6. Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между Детским садом и субъектом персональных данных.
1.5.7. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами.
1.6. Детский сад вправе:
1.6.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством о персональных данных.
1.6.2. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством.
1.6.3. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.
1.6.4. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Детского сада, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом.
1.7. Работники, родители воспитанников, иные субъекты персональных данных (далее – субъекты персональных данных) обязаны:
1.7.1. В случаях, предусмотренных законодательством, предоставлять Детскому саду достоверные персональные данные.
1.7.2. При изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Детскому саду.
1.8. Субъекты персональных данных вправе:
1.8.1. Получать информацию, касающуюся обработки своих персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.
1.8.2. Требовать от Детского сада уточнить персональные данные, блокировать их или уничтожить, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.8.3. Дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения.
1.8.4. Обжаловать действия или бездействие Детского сада в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
2. Правовые основания обработки персональных данных
2.1. Правовыми основаниями обработки персональных данных в Детском саду являются устав и нормативные правовые акты, для исполнения которых и в соответствии с которыми Детский сад осуществляет обработку персональных данных, в том числе:
- Трудовой кодекс, иные нормативные правовые акты, содержащие нормы трудового права;
- Бюджетный кодекс;
- Налоговый кодекс;
- Гражданский кодекс;
- Семейный кодекс;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты;
- социальное, пенсионное и страховое законодательство Российской Федерации;
- законодательство в сфере безопасности, в том числе антитеррористической защищенности.
2.2. Правовыми основаниями обработки персональных данных в Детском саду также являются договоры с физическими лицами, заявления (согласия, доверенности) родителей (законных представителей) воспитанников, согласия на обработку персональных данных.
3. Цели обработки персональных данных, их категории и перечень, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных
1. Цель обработки: организация образовательной деятельности по образовательным дошкольного образования, дополнительным общеобразовательным программам |
||||
Категории |
Персональные данные |
Специальные данные |
||
Перечень данных |
|
Сведения о состоянии здоровья |
||
Категории субъектов |
Обучающиеся, их родители (законные представители) |
|||
Способы обработки |
Без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение срока реализации образовательной программы |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
2. Цель обработки: выполнения функций и полномочий работодателя в трудовых отношениях, в том числе обязанностей по охране труда |
||||
Категории данных |
Персональные данные |
Специальные |
Биометрические |
|
Перечень данных |
|
Сведения о состоянии здоровья |
Изображение на фото и видеозаписи, полученных с камер наблюдения |
|
Категории субъектов |
Работники, кандидаты на работу (соискатели) |
|||
Способы обработки |
Без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение срока действия трудового договора. Для кандидатов – в течение срока, необходимого для рассмотрения кандидатуры и заключения трудового договора |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел – 50 лет |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
3. Цель обработки: реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является Детский сад |
||||
Категории данных |
Персональные данные |
|||
Перечень данных |
|
|||
Категории субъектов |
Контрагенты, партнеры, стороны договора |
|||
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение срока, необходимого для исполнения заключенного договора |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
4. Цель обработки: обеспечение безопасности |
||||
Категории данных |
Персональные данные |
|||
Перечень данных |
|
|||
Категории субъектов |
Посетители Детского сада |
|||
Способы обработки |
Без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение периода нахождения посетителя на территории Детского сада |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе минимум 30 дней в отношении записей камер видеонаблюдения |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
4. Условия обработки персональных данных
4.1. Детский сад осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных в соответствии с законодательством о персональных данных и локальными нормативными актами Детского сада.
4.2. Все персональные данные Детский сад получает от субъекта персональных данных, а в случаях, когда субъект персональных данных несовершеннолетний, – от его родителей (законных представителей).
4.3. Получение о обработку персональных данных, разрешенных субъектом персональных данных для распространения, Детский сад осуществляет с соблюдением запретов и условий, предусмотренных Законом.
4.4. Детский сад обрабатывает персональные данные:
- без использования средств автоматизации;
- с использованием средств автоматизации в программах и информационных системах: СБИС,ЕИС.
Хранение персональных данных:
4.5.1. Детский сад хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.
4.5.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.
4.5.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в таком порядке и на условиях, чтобы исключить неправомерный или случайный доступ к ним, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия в отношении персональных данных.
4.6. Лица, ответственные за обработку персональных данных в Детском саду, прекращают их обрабатывать в следующих случаях:
- достигнуты цели обработки персональных данных;
- истек срок действия согласия на обработку персональных данных;
- отозвано согласие на обработку персональных данных;
- обработка персональных данных неправомерна.
4.7. Передача персональных данных:
4.7.1. Детский сад обеспечивает конфиденциальность персональных данных.
4.7.2. Детский сад передает персональные данные третьим лицам в следующих случаях:
- субъект персональных данных дал согласие на передачу своих данных;
- передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.
4.7.3. Детский сад не осуществляет трансграничную передачу персональных данных.
5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
5.1. В случае предоставления субъектом персональных данных, его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Детский сад актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта персональных данных.
5.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.
5.3. Уничтожение документов (носителей), содержащих персональные данные, производится в соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных, в том числе путем измельчения шредере, стирания или форматирования электронного носителя.
5.7. По запросу субъекта персональных данных или его законного представителя Детский сад сообщает ему информацию об обработке персональных данных субъекта в сроки и в порядке, установленном Законом.
2. ПОЛОЖЕНИЕ об обработке персональных данных работников МБДОУ Саянский детский сад «Волшебный град»
1. Общие положения
1.1. Настоящее положение об обработке персональных данных работников МБДОУ Саянский детский сад «Волшебный град» (далее – Положение) разработано в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными федеральными и региональными нормативными актами в сфере защиты персональных данных, политикой обработки персональных данных МБДОУ Саянский детский сад «Волшебный град».
1.2. Положение определяет порядок работы с персональными данными в МБДОУ Саянский детский сад «Волшебный град» (далее – Детский сад) соискателей на вакантные должности, работников, в том числе бывших, их родственников, а также гарантии конфиденциальности личной информации, которую соискатели и работники предоставляют Детскому саду.
1.3. Целью Положения является защита персональных данных соискателей, работников и их родственников от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
2. Цели обработки персональных данных, их категории и перечень, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных
1. Цель обработки: организация трудоустройства кандидатов на работу (соискателей) |
||||
Категории данных |
Персональные данные |
Специальные данные |
||
Перечень данных |
|
Сведения о состоянии здоровья |
||
Категории субъектов |
Кандидаты на работу (соискатели) |
|||
Способы обработки |
Без средств автоматизации |
|||
Сроки обработки |
В течение срока, необходимого для рассмотрения кандидатуры соискателя и заключения трудового договора |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе для анкеты (резюме) соискателя – 30 дней |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
2. Цель обработки: выполнения функций и полномочий работодателя в трудовых отношениях, в том числе обязанностей по охране труда |
||||
Категории данных |
Персональные данные |
Специальные |
Биометрические |
|
Перечень данных |
|
Сведения о состоянии здоровья |
Изображение на фото и видеозаписи, полученных с камер наблюдения |
|
Категории субъектов |
Работники, их родственники |
|||
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение срока действия трудового договора |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел – 50 лет |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
3. Цель обработки: реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является Детский сад |
||||
Категории данных |
Персональные данные |
|||
Перечень данных |
|
|||
Категории субъектов |
Контрагенты, партнеры, стороны договора |
|||
Способы обработки |
Автоматизированная обработка и без средств автоматизации, в том числе:
|
|||
Сроки обработки |
В течение срока, необходимого для исполнения заключенного договора |
|||
Сроки хранения |
В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные |
|||
Порядок уничтожения |
В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных |
|||
3. Сбор, обработка и хранение персональных данных
3.1. Сбор персональных данных соискателей осуществляет должностное лицо Детского сада, которому поручен подбор кадров, в том числе из общедоступной информации о соискателях в интернете.
3.2. Сбор персональных данных работников осуществляет работник, назначенный директором, у самих работников. Если персональные данные работника можно получить только у третьих лиц, Детский сад уведомляет об этом работника и берет у него письменное согласие на получение данных.
3.3. Сбор персональных данных родственников работника осуществляется со слов работника и из документов, которые предоставил работник.
3.4. Обработка персональных данных соискателей ведется исключительно в целях определения возможности их трудоустройства.
3.5. Обработка персональных данных работников ведется исключительно в целях обеспечения соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности и сохранности имущества, контроля количества и качества выполняемой ими работы.
3.6. Обработка персональных данных родственников работников ведется исключительно в целях обеспечения соблюдения законодательства РФ, реализации прав работников, предусмотренных трудовым законодательством и иными актами, содержащими нормы трудового права.
3.7. Сбор и обработка персональных данных, которые относятся к специальной категории (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни) возможны только с согласия субъекта персональных данных либо в случаях, установленных законодательством о персональных данных.
3.8. Сбор и обработка персональных данных родственников работников, которые относятся к специальной категории (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), не допускаются.
3.9. Сбор и обработка персональных данных соискателей, работников и их родственников о членстве в общественных объединениях или профсоюзной деятельности не допускаются, за исключением случаев, предусмотренных федеральными законами.
3.10. Личные дела работников хранятся в бумажном виде в папках в отделе кадров, в специально отведенной секции сейфов, медицинские книжки работников хранятся в медицинском кабинете в сейфе, обеспечивающего защиту от несанкционированного доступа.
3.11. Документы, содержащие личную информацию о работнике, кроме указанных в пункте 3.10 Положения, хранятся в бумажном виде в отделе кадров и в электронном виде в информационных системах: «СБИС».
3.12. Документы соискателя, который не был трудоустроен, уничтожаются в течение 30 дней с момента принятия решения об отказе в трудоустройстве.
3.13. Документы, содержащие персональные данные работников и родственников работников, подлежат хранению и уничтожению в сроки и в порядке, предусмотренные номенклатурой дел и архивным законодательством РФ.
3.14. Работники вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса или иного федерального закона.
3.15. Персональные данные оценочного характера работник вправе дополнить заявлением, выражающим его собственную точку зрения.
3. 16. По требованию работника Детский сад обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4. Доступ к персональным данным
4.1. Доступ к персональным данным соискателя, работников и их родственников имеет заведующий в полном объеме.
4.2. Перечень работников, допущенных к обработке персональных данных соискателей, работников и их родственников, утверждается приказом заведующего.
5. Передача персональных данных
5.1. Работники Детского сада, имеющие доступ к персональным данным соискателей, работников и их родственников, при передаче этих данных должны соблюдать следующие требования:
5.1.1. Не передавать и не распространять персональные данные без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо:
- для предупреждения угрозы жизни и здоровью субъекта персональных данных, если получить такое согласие невозможно;
- для статистических или исследовательских целей (при обезличивании);
- в случаях, напрямую предусмотренных федеральными законами.
5.1.2. Передавать без согласия субъекта персональных данных информацию в государственные и негосударственные функциональные структуры, в том числе в налоговые инспекции, фонд медицинского страхования, социальный фонд, правоохранительные органы, страховые агентства, военкоматы, медицинские организации, контрольно-надзорные органы при наличии оснований, предусмотренных в федеральных законах, или мотивированного запроса от данных структур, если это допускается законодательством РФ.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
5.1.3. Передавать персональные данные представителям работников и соискателей в порядке, установленном Трудовым кодексом, ограничивая эту информацию только теми персональными данными, которые необходимы для выполнения функций представителя, подтвержденных документально.
6. Меры обеспечения безопасности персональных данных
6.1. К основным мерам обеспечения безопасности персональных данных в Детском саду относятся:
6.1.1. Назначение ответственного за организацию обработки персональных данных, в обязанности которого входит в том числе организация обработки персональных данных, обучение и инструктаж работников, внутренний контроль за соблюдением в Детском саду требований законодательства к защите персональных данных.
6.1.2. Издание политики обработки персональных данных и локальных актов по вопросам обработки персональных данных.
6.1.3. Ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, политикой обработки персональных данных и локальными актами Детского сада по вопросам обработки персональных данных.
6.1.4. Определение угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработка мер по защите таких персональных данных.
6.1.5. Учет материальных носителей персональных данных.
6.1.6. Проведение мероприятий при обнаружении несанкционированного доступа к персональным данным, обрабатываемым с использованием средств автоматизации, в том числе восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.
6.1.7. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.
6.1.8. Внутренний контроль соответствия обработки персональных данных требованиям законодательства.
6.1.9. Публикация политики обработки персональных данных и локальных актов по вопросам обработки персональных данных на официальном сайте Детского сада.
6.1.10. Организация уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в соответствии с законодательством о персональных данных.
6.1.11. Обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
7. Ответственность
7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных соискателей на вакантные должности, работников, в том числе бывших, и их родственников, привлекаются к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности в случаях, установленных законодательством РФ.
7.2. Моральный вред, причиненный соискателям на вакантные должности, работникам, в том числе бывшим, и их родственникам вследствие нарушения их прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, подлежит возмещению в порядке и на условиях, предусмотренных законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда.
3. ПОЛОЖЕНИЕ об обработке персональных данных воспитанников МБДОУ Саянский детский сад «Волшебный град» и третьих лиц.
1. Общие положения
1.1. Настоящее положение об обработке персональных данных воспитанников МБДОУ Саянский детский сад «Волшебный град» и третьих лиц (далее – Положение) разработано в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными федеральными и региональными нормативными актами в сфере защиты персональных данных, политикой обработки персональных данных МБДОУ Саянский детский сад «Волшебный град».
1.2. Положение определяет порядок работы с персональными данными в МБДОУ Саянский детский сад «Волшебный град» (далее – Детский сад) воспитанников, их родителей (законных представителей) и иных третьих лиц, а также гарантии конфиденциальности личной информации, которую родители (законные представители) воспитанников и третьи лица предоставляют Детскому саду.
1.3. Целью Положения является защита персональных данных воспитанников, родителей (законных представителей) и третьих лиц от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
2. Цели обработки персональных данных, их категории и перечень, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных
1. Цель обработки: организация образовательной деятельности по образовательным программам дошкольного образования, дополнительным общеобразовательным программам
Категории данных Персональные данные Специальные данные
Перечень данных • фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография, видео);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения, образующиеся в процессе реализации образовательной программы;
• иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров, исполнения норм законодательства в сфере образования Сведения о состоянии здоровья
Категории субъектов Обучающиеся (воспитанники), их родители (законные представители)
Способы обработки Без средств автоматизации, в том числе:
• получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и документы Детского сада.
Сроки обработки В течение срока реализации образовательной программы
Сроки хранения В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные
Порядок уничтожения В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
2. Цель обработки: реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является Детский сад
Категории данных Персональные данные
Перечень данных • фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и (или) фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• номер банковской карты;
• иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров
Категории субъектов Контрагенты, партнеры, стороны договора
Способы обработки Без средств автоматизации, в том числе:
• получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и документы Детского сада
Сроки обработки В течение срока, необходимого для исполнения заключенного договора
Сроки хранения В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные
Порядок уничтожения В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
3. Цель обработки: обеспечение безопасности
Категории данных Персональные данные
Перечень данных • фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и (или) фактического проживания;
• контактные данные
Категории субъектов Посетители Детского сада
Способы обработки Без средств автоматизации, в том числе:
• получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и документы Детского сада
Сроки обработки В течение периода нахождения посетителя на территории Детского сада
Сроки хранения В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе минимум 30 дней в отношении записей камер видеонаблюдения
Порядок уничтожения В соответствии с Порядком уничтожения и обезличивания персональных данных Детского сада в зависимости от типа носителя персональных данных
3. Условия обработки персональных данных
3.1. Сбор персональных данных воспитанников, родителей (законных представителей) Детский сад осуществляет во время приема документов на обучение.
3.2. Сбор данных физических лиц по договорам Детский сад осуществляет при оформлении договоров.
3.3. Сбор данных третьих лиц, указанных в заявлениях (согласиях, доверенностях и т. п.) родителей (законных представителей) воспитанников, Детский сад осуществляет при оформлении или приеме документов.
3.4. Детский сад получает персональные данные лично у субъекта персональных данных или его представителя. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных и получить их письменное согласие.
3.5. Детский сад не вправе обрабатывать персональные данные воспитанников, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, биометрические персональные данные несовершеннолетних, за исключением случаев, установленных законодательством РФ.
3.6. Обработка персональных данных воспитанников ведется исключительно в целях реализации их прав на получение образования в рамках осваиваемых образовательных программ.
3.7. Обработка персональных данных родителей (законных представителей) воспитанников ведется исключительно в целях реализации прав родителей (законных представителей) при реализации прав воспитанников на получение образования в рамках осваиваемых образовательных программ.
3.8. Обработка персональных данных физических лиц по договорам ведется исключительно в целях исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является такое физическое лицо, а также для заключения договора по инициативе физического лица или договора, по которому физическое лицо будет выгодоприобретателем или поручителем.
3.9. Обработка персональных данных третьих лиц, указанных в заявлениях (согласиях, доверенностях и т. п.) родителей (законных представителей) воспитанников, ведется исключительно в целях реализации прав родителей (законных представителей) при реализации прав воспитанников на получение образования.
4. Доступ к персональным данным
4.1. Доступ к персональным данным воспитанников, родителей (законных представителей) и третьих лиц имеет заведующий Детского сада в полном объеме.
4.2. Перечень лиц, допущенных к обработке персональных данных, утверждается приказом заведующего детского сада.
5. Передача персональных данных
5.1. Работники Детского сада, имеющие доступ к персональным данным воспитанников, родителей (законных представителей) и третьих лиц, обязаны не передавать персональные данные без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, если получить такое согласие невозможно, для статистических или исследовательских целей (при обезличивании), а также в других случаях, предусмотренных федеральными законами.
5.2. Родители (законные представители) воспитанников и третьи лица не должны передавать персональные данные, ставшие им известными от субъекта персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами;
5.3. Родители (законные представители) воспитанников и третьи лица обязаны использовать персональные данные, ставшие им известными от субъекта персональных данных, лишь в целях, для которых они сообщены.
6. Меры обеспечения безопасности персональных данных
6.1. К основным мерам обеспечения безопасности персональных данных в Детском саду относятся:
6.1.1. Назначение ответственного за организацию обработки персональных данных, в обязанности которого входит в том числе организация обработки персональных данных, обучение и инструктаж работников, внутренний контроль за соблюдением в Детском саду требований законодательства к защите персональных данных.
6.1.2. Издание политики обработки персональных данных и локальных актов по вопросам обработки персональных данных.
6.1.3. Ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, политикой обработки персональных данных и локальными актами Детского сада по вопросам обработки персональных данных.
6.1.4. Определение угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработка мер по защите таких персональных данных.
6.1.5. Учет материальных носителей персональных данных.
6.1.6. Проведение мероприятий при обнаружении несанкционированного доступа к персональным данным, обрабатываемым с использованием средств автоматизации, в том числе восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.
6.1.7. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.
6.1.8. Внутренний контроль соответствия обработки персональных данных требованиям законодательства.
6.1.9. Публикация политики обработки персональных данных и локальных актов по вопросам обработки персональных данных на официальном сайте Детского сада.
6.1.10. Организация уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в соответствии с законодательством о персональных данных.
6.1.11. Обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
7. Ответственность
7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных соискателей на вакантные должности, работников, в том числе бывших, и их родственников, привлекаются к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности в случаях, установленных законодательством РФ.
7.2. Моральный вред, причиненный соискателям на вакантные должности, работникам, в том числе бывшим, и их родственникам вследствие нарушения их прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, подлежит возмещению в порядке и на условиях, предусмотренных законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда.