Коммунарка детский сад Труляля

Положение о защите персональных данных клиентов

 

 

 

                                                                            ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

20 января 2021 года                                                                                                                                                                      Москва

 

О работе с персональными данными воспитанников и их родителей  (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с ИП Громова Е.С.

 

  1. Общие положения

1.1. Положение о работе с персональными данными воспитанников и их родителей  (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с ИП Громова Е.С. (далее – Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом от 27 июля 2006 г. N 149-ФЗ  «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", нормативно-правовыми актами, действующими на территории РФ, и Правилами внутреннего трудового распорядка.

1.2. Настоящее Положение отражает политику обработки  персональных данных в ИП Громова Е.С. (далее – Оператор) и определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными воспитанников и их родителей  (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с Оператором (далее – субъекты персональных данных), а также определяет гарантии конфиденциальности сведений, предоставленных субъектами персональных данных Оператору.

1.3.   Цель обработки персональных данных: обеспечение наиболее полного исполнения Оператором своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также иными нормативно-правовыми актами Российской Федерации в области образования, а также обеспечение защиты прав субъектов персональных данных при их обработке.

1.4. Настоящее Положение вступает в силу с даты его утверждения и действует бессрочно, до замены его новым Положением. Все изменения, дополнения вносятся путем издания соответствующего Приказа руководителя Оператора.

1.5. Оператор размещает текст данного Положения в свободном доступе либо на стенде в клубе, либо на сайте клуба в сети Интернет, для того чтобы все субъекты персональных данных могли в любое время ознакомиться с настоящим Положением.

1.6. Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов.

1.7. Для целей настоящего Положения используются следующие основные понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное положение, а также другая информация, необходимая Оператору в связи с договорными отношениями;

 - обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных сотрудников;

 - конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

  - распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов каким-либо иным способом;

 - использование персональных данных - действия (операции) с персональными данными, совершаемые ответственным за работу с персональными данными лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов, либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

 - блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;

 - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов или в результате которых уничтожаются материальные носители персональных данных субъектов;

 - обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;

 - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 - информация - сведения (сообщения, данные) независимо от формы их представления.

 - документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

- субъект персональных данных – физическое лицо, являющееся потребителем услуг ИП Громова Е.С.. В рамках настоящего положения субъектами персональных данных признаются воспитанники, их родители (законные представители), а также физические лица, состоящие в иных договорных отношениях с Оператором.

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается ИП Громова Е.С..

 

  1. Состав персональных данных субъектов

В состав персональных данных субъектов, в том числе входят:

 

- Фамилия, имя, отчество

- Пол

- Дата и место рождения

- Паспортные данные

- Адрес электронной почты

- Номер телефона (домашний, мобильный)

- Адрес регистрации

- Адрес места жительства

- Сведения о состоянии здоровья, находящиеся в медицинской карте воспитанника

- Социальное положение

- Жилищные условия

- Документы при установлении опеки

- Сведения о гражданстве

- Сведения о составе семьи

- Сведения о социальных льготах

- Фотоизображения, а также видеоматериалы с личным участием

 

В ИП Громова Е.С. могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, содержащие данные о субъектах:

 

-  Договоры оказания услуг, Приложения к договорам оказания услуг;

- Копии документов, удостоверяющих личность, а также иных документов, предоставляемых субъектом и содержащих персональные данные;

-  Данные по оплатам товаров/услуг, содержащие платежные и иные реквизиты субъекта, иные бухгалтерские документы;

- Письменные заявки и заявления субъектов персональных данных;

- Письменные претензии субъектов персональных данных.

 

  1. Принципы обработки персональных данных субъекта

Обработка персональных данных Оператором должна осуществляться на основе принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

- уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;

- личной ответственности сотрудников Оператора за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

- наличие четкой разрешительной системы доступа сотрудников Оператора к документам и базам данных, содержащим персональные данные.

 

  1. Права и обязанности Оператора

Оператор при обработке персональных данных субъекта персональных данных обязан соблюдать следующие общие требования:

- обработка персональных данных субъекта может осуществляться исключительно в целях оказания законных услуг субъектам;

- персональные данные субъекта следует получать у него самого. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

- сотрудники Оператора должны сообщить субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение;

- Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Оператор вправе обрабатывать указанные персональные данные субъекта только с его письменного согласия.

- Оператор не вправе производить обработку данных о судимости субъекта персональных данных.

- при наличии надлежащим образом оформленного запроса предоставлять субъекту доступ к его персональным данным.

- хранение и защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном законодательством;

- в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта, либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных на период проверки.

- в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

- в случае достижения цели обработки персональных данных Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган;

- в случае отзыва субъектом согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено договором между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.

- Оператор имеет право отстаивать свои интересы в суде.

- Оператор имеет право предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (правоохранительные органы и др.).

- Оператор имеет право отказать в предоставлении персональных данных в случаях, предусмотренных законом.

 

  1. Права и обязанности субъектов персональных данных

 

- Субъект персональных данных обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах, заключенных между субъектом персональных данных и Оператором.

- Субъект персональных данных обязан  без неоправданной задержки сообщать сотрудникам Оператора об изменении своих персональных данных.

- Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, его реквизитов.

- Субъект персональных данных имеет право на доступ к информации о самом себе. Сведения о наличии персональных данных должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

- Субъект персональных данных имеет право на определение форм и способов обработки персональных данных.

- Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных.

- Субъект персональных данных имеет право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.

- Субъект персональных данных имеет право требовать изменения, уточнения, уничтожения информации о самом себе.

- Субъект персональных данных имеет право обжаловать неправомерные действия или бездействия по обработке персональных данных в уполномоченном органе по защите прав субъектов персональных данных и требовать соответствующей компенсации в суде.

- Субъект персональных данных имеет право определять представителей для защиты своих персональных данных.

- Субъект персональных данных имеет право требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них.

 

  1. Получение и обработка персональных данных субъектов

 

Все персональные данные субъекта следует получать у него самого после предоставления им письменного согласия. Письменное согласие включает в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие субъекта;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

 

Форма согласия субъекта на обработку его персональных данных представлена в Приложении 3 к настоящему Положению, а также является неотъемлемой частью Договора на оказание услуг.

 

Согласие не требуется, если

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); а также по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

- подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

- способы обработки персональных данных, применяемые Оператором;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если персональные данные о субъекте возможно получить только у третьей стороны, то субъекту должна быть предоставлена следующая информация:

- наименование (фамилия, имя, отчество) и адрес Организации;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных.

 

  1. Хранение персональных данных субъектов

 

Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

Персональные данные субъектов обрабатываются и хранятся в ИП Громова Е.С. на бумажных носителях. Персональные данные субъектов могут храниться в электронном виде: в локальной компьютерной сети Оператора, в электронных папках и файлах, информационных системах, если это необходимо Оператору для надлежащего исполнения обязательств по Договору оказания услуг. В этом случае в Согласии на обработку персональных данных, которое подписывает субъект персональных данных, должно быть это прописано.

Вся информация, относящаяся к персональным данным субъектов, хранится в папках в специально отведенном месте, обеспечивающем защиту от несанкционированного доступа.

Хранение персональных данных субъекта может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

Сроки хранения персональных данных:

Сроки хранения гражданско-правовых договоров, содержащих персональные данные субъектов, а также сопутствующих их заключению, исполнению документов соответствует срокам хранения, установленным для хранения договоров и соглашений, определенных Приказом Минкультуры от 25.08.2010 № 558, - 5 лет с даты прекращения действия договорных отношений субъекта персональных данных и Оператора.

В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

По истечении срока хранения персональные данные должны быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве РФ.

Доступ к персональным данным субъекта имеет ИП Громова Е.С.. Другие сотрудники Оператора имеют ограниченный доступ к персональным данным субъектов и только, если он необходим им для выполнения своих должностных обязательств.

 

  1. Использование персональных данных субъектов

Персональные данные субъекта используются для целей, связанных с выполнением Оператором своих обязательств по Договору оказания услуг.

При принятии решений, затрагивающих интересы субъекта, Оператор не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы субъекта, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных субъекта невозможно достоверно установить какой-либо факт, Оператор предлагает субъекту представить письменные разъяснения.

 

  1. Передача персональных данных субъектов

 

К передаче персональных данных субъекта могут иметь доступ только ИП Громова Е.С. лично и сотрудники, допущенные к работе с персональными данными субъектов.

При передаче персональных данных субъекта Оператор должен соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без его письменного согласия;

- предупредить лиц, получающих персональные данные субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

- информация, относящаяся к персональным данным субъекта, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

- в случае если лицо, обратившееся с запросом в виде письменного заявления на имя руководителя, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным субъекта, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с таким запросом, выдается уведомление об отказе в выдаче информации; само заявление и копия уведомления об отказе подшивается в архив, к документам, составляющим персональные данные субъектов.

- все запросы о предоставлении персональных данных субъектов подшиваются в архив, к документам, составляющим персональные данные субъектов. Туда же подшиваются внутренние документы, где фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

- Оператор не может распространять персональные данные субъекта, в том числе в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов в целях продвижения услуг на рынке путем осуществления прямых контактов с потенциальными клиентами с помощью средств связи допускается только с предварительного согласия субъекта.

Форма заявления о согласии субъекта на распространение персональных данных представлена в Приложении 4 к настоящему Положению.

 

  1. Блокирование и уничтожение персональных данных

Блокирование информации, содержащей персональные данные субъекта, производится в случае:

- если персональные данные являются неполными, устаревшими, недостоверными

- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае подтверждения факта недостоверности персональных данных Оператор на основании документов, представленных субъектом, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязан уточнить персональные данные и снять их блокирование.

В случае выявления неправомерных действий с персональными данными Оператор обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с момента выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Оператор обязан уничтожить персональные данные субъекта в случае:

- достижения цели обработки персональных данных

- отзыва субъектом согласия на обработку своих персональных данных.

Уничтожение персональных данных должно быть осуществлено в течение трех дней с указанных моментов. Соглашением Оператора с субъектом могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных.

Оператор должен направить уведомление об уничтожении персональных данных субъекту, а в случае, если обращение или запрос о недостоверности персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.

 

  1. Защита и гарантии конфиденциальности персональных данных субъектов

Информация, относящаяся к персональным данным субъекта, является служебной тайной и охраняется законом.

Под защитой персональных данных субъекта понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

Защита персональных данных субъекта осуществляется за счёт Оператора в порядке, установленном федеральным законом РФ, локальными организационно-распорядительными документами.

Оператор при защите персональных данных субъектов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

- обнаружение и предотвращение вторжений (обнаружение фактов несанкционированного доступа к персональным данным и принятием мер)

- управление доступом к персональным данным

- обеспечение регистрации и учета полученных персональных данных субъектов

- обеспечение целостности полученных персональных данных субъектов

- издание локальных актов, регулирующих защиту персональных данных.

Общую организацию и контроль защиты персональных данных субъектов осуществляет ИП Громова Е.С..

Доступ к персональным данным субъектов имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

Все сотрудники, связанные с получением, обработкой и защитой персональных данных субъектов, обязаны подписать Соглашение о неразглашении персональных данных субъектов. Форма данного соглашения представлена в Приложении 2 к настоящему Положению.

Процедура оформления доступа к персональным данным субъекта включает в себя:

  • Ознакомление сотрудника под роспись с настоящим Положением. Лист ознакомления представлен в Приложении 1 к настоящему Положению. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление под роспись.
  • Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных субъектов.

Сотрудник Оператора, имеющий доступ к персональным данным субъектов в связи с исполнением трудовых обязанностей:

  • Обеспечивает хранение информации, содержащей персональные данные субъекта, исключающее доступ к ним третьих лиц.
  • В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов.
  • При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом Оператора (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
  • В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя Оператора.
  • При увольнении сотрудника, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя Оператора.
  • В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Оператора, доступ к персональным данным субъекта может быть предоставлен иному сотруднику. Допуск к персональным данным субъекта других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.

 

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

 Руководитель и сотрудники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации и внутренними локальными актами Оператора.