УТВЕРЖДАЮ
Директор МБУДО «ДМШ №2»
________________ С. А. Шибеев
31.08.2022

М.П

ПОЛИТИКА
в отношении обработки персональных данных в
МБУДО «ДМШ №2»

1

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.
Настоящая Политика в отношении обработки персональных данных МБУДО
«ДМШ №2» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля

2006 г. № 152-ФЗ «О персональных данных» и направлена на регулирование отношений,
связанных с обработкой персональных данных в МБУДО «ДМШ №2».
1.2.
Политика вступает в силу с момента ее утверждения директором МБУДО «ДМШ
№2» (далее – Учреждение, Оператор).

1.3.
Политика подлежит пересмотру в ходе периодического анализа со стороны
руководства Учреждения, а также в случаях изменения законодательства Российской
Федерации в области персональных данных.
1.4.
Настоящая Политика, а также все изменения и дополнения к ней является
общедоступным документом и подлежит размещению на официальном сайте Учреждения
в сети Интернет по сетевому адресу https://muz2sar.profiedu.ru/.
2. ОСНОВНЫЕ ТЕРМИНЫ

2.1.
Для целей Политики используются следующие термины:
персональные данные – любая информация, относящаяся к прямо или косвенно
определенному, или определяемому физическому лицу (субъекту персональных данных);

оператор – Муниципальное бюджетное учреждение дополнительного образования «Детская
музыкальная школа № 2» (ОГРН 1021300983065, ИНН 1326184034), адрес: 430003, Мордовия Респ,
Саранск г, Васенко ул, дом № 3

обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных
данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных);
уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных;
обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
трансграничная передача персональных данных – передача персональных данных
на территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
информационная система персональных данных – совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
субъект персональных данных – физическое лицо, к которому относятся
соответствующие персональные данные;
2

сайт – совокупность графических и информационных материалов, а также программ для
ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет, расположенных по
сетевому адресу https://muz2sar.profiedu.ru/.;
пользователь – любое физическое лицо, субъект персональных данных, которое
посещает Сайт и/или сервисы МБУДО «ДМШ №2» в сети Интернет, пользуется
размещенной на них информацией.
3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Политика применяется к обработке персональных данных следующих категорий
субъектов персональных данных:
3.1.1. работники;
3.1.2. родственники работников;
3.1.3. уволенные (бывшие) работники;
3.1.4. соискатели (кандидаты на замещение вакантных должностей в Учреждении);
3.1.5. контрагенты Учреждение (физические лица);
3.1.6. представители контрагентов Учреждения (физических и юридических лиц);
3.1.7. посетители сайта;
3.2. Политика не распространяется на информацию, обрабатываемую сайтами третьих
лиц, на которые пользователь может перейти по ссылкам, доступным на сайте Учреждения.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.
Обработка персональных данных осуществляется Учреждением в следующих
целях:
4.1.1. ведение кадрового и бухгалтерского учета;
4.1.2. установление с Пользователем Сайта обратной связи, включая направление
уведомлений, запросов, касающихся использования Сайта, оказания услуг,
обработку запросов и заявок от Пользователя Сайта
4.2. Объем и категории обрабатываемых Учреждением персональных данных определен
в разделе 7 настоящей Политики. Порядок, способы и условия обработки персональных
данных определены в разделе 8 настоящей Политики.
5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.
Обработка персональных данных осуществляется Учреждением в
соответствии со следующими принципами:
- осуществление обработки персональных данных на законной и справедливой основе;
- обеспечение ограничения обработки персональных данных заранее определенными и
законными целями обработки персональных данных, в том числе недопущение обработки
персональных данных, несовместимой с целями сбора (получения) персональных данных;
- обработка исключительно тех персональных данных, которые отвечают целям обработки
персональных данных;
- недопущение объединения баз данных, содержащих персональные данные, обработка
которых осуществляется в целях, несовместимых между собой;
- обеспечение соответствия содержания и объема обрабатываемых персональных данных
заявленным целям обработки персональных данных, в том числе недопущение обработки
персональных данных, избыточных по отношению к заявленным целям их обработки;
- обеспечение точности персональных данных, их достаточности и в необходимых случаях
актуальности по отношению к целям обработки персональных данных.
5.2. При этом при обработке персональных данных, сообщенных Учреждению
посредством использования сайта и социальных сетей Учреждения, из иных источников,
3

исключающих или не требующих проверки достоверности сообщенных персональных
данных, Учреждение исходит из того, что субъектом персональных данных предоставляются
достоверная и достаточная информация, а также осуществляется ее поддержание в
актуальном состоянии.
5.3.
Хранение персональных данных осуществляется в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели обработки
персональных данных. Если срок хранения персональных данных не установлен
федеральным законом, договором, согласием субъекта персональных данных, то
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в достижении этих целей,
если
иное
не
предусмотрено
федеральным
законом.
5.4. Учреждение, получившее доступ к персональным данным, обеспечивает их
конфиденциальность, а также обязуется не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено федеральным законом.
6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Правовым основанием обработки персональных данных является совокупность
нормативных правовых актов, во исполнение которых и в соответствии с которыми
Учреждение осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- Федеральный закон от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001г. № 167-ФЗ «Об обязательном пенсионном
страховании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с
деятельностью Учреждения;
- устав Учреждения;
- локальные акты Учреждения в области защиты и обработки персональных данных;
- договоры, заключаемые между Учреждением и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Содержание и объем обрабатываемых персональных данных соответствуют
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
7.2. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект
персональных данных, а также для заключения договора по инициативе субъекта
персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных
данных договор не может содержать положения, ограничивающие права и свободы субъекта
персональных данных, устанавливающие случаи обработки персональных данных
4

несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации,
а также положения, допускающие в качестве условия заключения договора бездействие
субъекта персональных данных;
7.3. К категориям субъектов персональных данных относятся:
7.3.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных
должностей, а также родственники работников.
В данной категории субъектов оператором обрабатываются персональные данные:
- в целях ведения кадрового и бухгалтерского учета:
Категория
персональных
данных
общие и
специальные
персональные
данные

Перечень персональных данных
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- адрес места проживания;
- сведения о регистрации по
месту жительства или
пребывания;
- номера телефонов (домашний,
мобильный, рабочий);
- адрес электронной почты;
- замещаемая должность;
- сведения о трудовой
деятельности;
- идентификационный номер
налогоплательщика;
- данные документа,
подтверждающего регистрацию в
системе индивидуального
(персонифицированного) учета, в
том числе в форме электронного
документа;
- данные полиса обязательного
медицинского страхования;
- данные паспорта или иного
удостоверяющего личность
документа;
- данные паспорта,
удостоверяющего личность
гражданина Российской
Федерации за пределами
территории Российской
Федерации;
- данные трудовой книжки,
вкладыша в трудовую книжку;
- сведения о воинском учете;
- сведения об образовании;
- сведения о получении
дополнительного
профессионального образования;
5

Способ обработки

Срок обработки и
хранения

Смешанная; без
В течение срока
передачи по внутренней достижения цели
сети юридического лица; обработки
с передачей по сети
персональных
Интернет;
данных до 30 дней
с даты достижения
цели обработки
персональных
данных; в течение
30 дней после
поступления
отзыва согласия на
обработку
персональных
данных.

- сведения о владении
иностранными языками;
- сведения о наградах, иных
поощрениях и знаках отличия;
- сведения о дисциплинарных
взысканиях;
- сведения, содержащиеся в
материалах служебных проверок;
- сведения о семейном
положении;
- сведения о близких
родственниках, свойственниках;
- сведения, содержащиеся в
справках о доходах, расходах, об
имуществе и обязательствах
имущественного характера;
- номер расчетного счета;
- состояние здоровья;
- сведения о судимости;
- иное.
7.3.2. Контрагенты оператора (физические лица).
В данной категории субъектов оператором обрабатываются персональные данные,
полученные оператором:
- в целях исполнения договора, стороной которого является субъект персональных
данных:
Категория
персональных
данных
только общие
персональные
данные

Перечень персональных данных
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- адрес места проживания;
- сведения о регистрации по
месту жительства или
пребывания;
- номера телефонов (домашний,
мобильный, рабочий);
- адрес электронной почты;
- замещаемая должность;
- идентификационный номер
налогоплательщика;
- данные паспорта или иного
удостоверяющего личность
документа;
- сведения об участии в
управлении хозяйствующим
субъектом (за исключением
жилищного, жилищностроительного, гаражного
6

Способ обработки

Срок обработки и
хранения

Смешанная; без
В течение срока
передачи по внутренней достижения цели
сети юридического лица; обработки
с передачей по сети
персональных
Интернет;
данных до 30 дней
с даты достижения
цели обработки
персональных
данных; в течение
30 дней после
поступления
отзыва согласия на
обработку
персональных
данных.

кооперативов, садоводческого,
огороднического, дачного
потребительских кооперативов,
товарищества собственников
недвижимости и профсоюза,
зарегистрированного в
установленном порядке), занятии
предпринимательской
деятельностью;
- номер расчетного счета;
- иное.
7.3.3. Представители/работники контрагентов оператора (юридических лиц).
В данной категории субъектов оператором обрабатываются персональные данные,
полученные оператором:
- в целях исполнения договора, стороной которого является контрагент (юридическое
лицо):
Категория
персональных
данных
только общие
персональные
данные

Перечень персональных данных
- фамилия, имя, отчество;
- пол;
- номера телефонов (домашний,
мобильный, рабочий);
- адрес электронной почты;
- замещаемая должность;
- данные паспорта или иного
удостоверяющего личность
документа;
- сведения об участии в
управлении хозяйствующим
субъектом (за исключением
жилищного, жилищностроительного, гаражного
кооперативов, садоводческого,
огороднического, дачного
потребительских кооперативов,
товарищества собственников
недвижимости и профсоюза,
зарегистрированного в
установленном порядке), занятии
предпринимательской
деятельностью;
- иное.

Способ обработки

Срок обработки и
хранения

Смешанная; без
В течение срока
передачи по внутренней достижения цели
сети юридического лица; обработки
с передачей по сети
персональных
Интернет;
данных до 30 дней
с даты достижения
цели обработки
персональных
данных; в течение
30 дней после
поступления
отзыва согласия на
обработку
персональных
данных.

7.3.4. Пользователи сайта Учреждения.
В данной категории субъектов оператором обрабатываются персональные данные,
полученные оператором:
- в целях установления с Пользователем Сайта обратной связи, включая направление
уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку
запросов и заявок от Пользователя Сайта
7

Категория
персональных
данных
только общие
персональные
данные

Перечень персональных данных
- фамилия, имя, отчество;
- наименование организации
(юридического лица);
-адрес электронной почты;
- телефон.

Способ обработки

Срок обработки и
хранения

Смешанная; без
В течение срока
передачи по внутренней достижения цели
сети юридического лица; обработки
с передачей по сети
персональных
Интернет.
данных до 30 дней
с даты достижения
цели обработки
персональных
данных; в течение
30 дней после
поступления
отзыва согласия на
обработку
персональных
данных.

7.4. На страницах Сайта также может собирается обезличенная информация с помощью
Cookies и одной или более метрических программ третьих лиц: Яндекс Метрика. Состав и
условия сбора обезличенных данных с использованием программного обеспечения третьих
лиц (Яндекс Метрика) определяется непосредственно их правообладателями и могут
включать: данные запроса (время, источник перехода, IP-адрес), данные операционной
системы (тип, версия, разрешение экрана), данные устройства и данные его положения,
данные браузера (тип, версия, Cookies).
Администрация не несет ответственности за порядок использования обезличенных
данных третьими лицами (Яндекс Метрика).
8. ПОРЯДОК, СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
8.1. Обработка персональных данных осуществляется Учреждением в соответствии с
требованиями законодательства Российской Федерации.
8.2.
Учреждение
осуществляет
обработку
персональных
данных
как
автоматизированным, так и неавтоматизированным способом путем осуществления
следующих действий:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение)
после внесения изменений субъектом персональных данных, извлечение, использование,
передача (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
8.3. Обработка персональных данных осуществляется с согласия субъектов
персональных данных на обработку их персональных данных, а также без такового в случаях,
предусмотренных действующим законодательством Российской Федерации. Согласие на
обработку
персональных
данных
должно
быть
конкретным,
предметным,
информированным, сознательным и однозначным. Согласие на обработку персональных
данных может быть отозвано субъектом персональных данных.
8.4. К обработке персональных данных допускаются работники Учреждения, в
должностные обязанности которых входит обработка соответствующих категорий
персональных данных. Перечень указанных работников утверждается приказом Учреждения,
8

при этом указанные в приказе лица должны иметь право получать только те персональные
данные субъекта, которые необходимы для выполнения непосредственных должностных
обязанностей.
8.5. Лица, осуществляющие обработку персональных данных со стороны Учреждения
ознакомлены с положениями законодательства Российской Федерации о персональных
данных, локальными актами Учреждения по вопросам обработки персональных данных.
8.6. Неавтоматизированная обработка персональных данных осуществляется таким
образом, чтобы персональные данные обособлялись от иной информации, в частности путем
фиксации их на отдельных материальных носителях, в специальных разделах или на полях
форм (бланков) и иным способом.
8.7. Автоматизированная обработка персональных данных производится с помощью
средств вычислительной техники, как установленных локально, так и объединенных в сеть,
а также с помощью информационных систем.
Доступ к такой сети предоставляется уполномоченным работникам только для
исполнения ими своих функций и должностных обязанностей.
При обработке персональных данных с использованием информационных систем
Учреждение обеспечивает их защиту в соответствии с требованиями к защите персональных
данных при их обработке в информационных системах персональных данных,
утвержденными действующим законодательством РФ.
8.8. Персональные данные, содержащиеся на машинных носителях персональных
данных, хранятся на автоматизированных рабочих местах и серверах информационных
систем персональных данных Учреждения, установленных в пределах помещений,
утвержденных локальными актами Учреждения об обеспечении безопасности помещений,
в которых размещены информационные системы персональных данных и материальные
носители персональных данных.
8.9. Персональные данные, содержащиеся на материальных носителях персональных
данных, хранятся в пределах помещений, утвержденных локальными актами Учреждения
об обеспечении безопасности помещений, в которых размещены информационные системы
персональных данных и материальных носителей персональных данных.
8.10. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, Учреждение обеспечивает запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение персональных
данных граждан Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации, за исключением случаев, указанных в действующем
законодательстве.
8.11. Учреждением не допускается раскрытие третьим лицам и распространение
персональных данных без согласия субъекта персональных данных, за исключением случаев,
когда такое раскрытие и распространение без согласия субъекта персональных данных
требуется/допускается действующим законодательством.
8.12. Передача персональных данных органам дознания и следствия, в Федеральную
налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального
страхования, Единый государственный внебюджетный Социальный фонд России (СФР) и
другие уполномоченные органы исполнительной власти и организации осуществляется
Учреждением в соответствии с требованиями законодательства.
8.13. В случае подтверждения факта неточности персональных данных или
неправомерности их обработки, персональные данные подлежат актуализации, а обработка
должна быть прекращена.
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ.
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
9.1. Сроки обработки и хранения персональных данных определяются целями обработки и
9

составляют:
9.1.1. для целей ведения ведение кадрового, бухгалтерского учета, обеспечения
соблюдения трудового, налогового, пенсионного законодательства РФ, законодательства об
обороне – в течение срока, установленного действующим законодательством;
9.2. Условием прекращения обработки персональных данных может являться достижение
целей обработки персональных данных, истечение срока действия согласия или отзыв
согласия субъекта персональных данных на обработку его персональных данных, а также
выявление неправомерной обработки персональных данных. Такие персональные данные
подлежат уничтожению Учреждением, если:
- иное не предусмотрено договором, стороной которого является субъект персональных
данных;
иное не предусмотрено иным соглашением между Оператором и субъектом
персональных данных.
9.3. Уничтожение персональных данных осуществляется лицом, ответственным за
обработку персональных данных или работниками Учреждения, к должностным
обязанностям которых отнесено уничтожение персональных данных.
9.4. Бумажные носители персональных данных подлежат уничтожению путем разрезания,
сжигания, использования иных способов механического уничтожения.
Персональные данные, хранящиеся на электронных носителях, подлежат уничтожению
путем стирания с электронных носителей.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право на получение информации (далее запрашиваемая субъектом информация), касающейся обработки его персональных данных,
за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона «О персональных
данных», путем личного обращения или направления обращения или запроса в свободной
письменной форме заказным письмом с уведомлением о вручении в адрес Оператора или на
следующий адрес электронной почты: sch.muz.2@e-mordovia.ru
Оператор предоставляет субъекту персональных данных или его представителю
информацию или запрошенные сведения в той форме, в которой направлены
соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
10.2. Субъект персональных данных вправе требовать от Учреждения уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
10.3. В случае если запрашиваемая субъектом информация, а также обрабатываемые
персональные данные были предоставлены для ознакомления субъекту персональных
данных по его запросу, субъект персональных данных вправе обратиться повторно в
Учреждение или направить повторный запрос в целях получения запрашиваемой субъектом
информации, и ознакомления с такими персональными данными не ранее чем через тридцать
дней (далее – нормированный срок запроса) после первоначального обращения или
направления первоначального запроса, если более короткий срок не установлен
федеральным законом, принятым в соответствии с ним нормативным правовым актом или
договором, стороной которого является субъект персональных данных.
10.4. Субъект персональных данных вправе обратиться повторно в Учреждение или
направить повторный запрос в целях получения запрашиваемой субъектом информации, а
также в целях ознакомления с обрабатываемыми персональными данными до истечения
нормированного срока запроса в случае, если такие сведения и (или) обрабатываемые
персональные данные не были предоставлены ему для ознакомления в полном объеме по
результатам рассмотрения первоначального обращения. Повторный запрос должен
10

содержать обоснование направления повторного запроса.
10.5. Субъект персональных данных вправе обжаловать действия или бездействие
Учреждения в уполномоченный орган по защите прав субъектов персональных данных или
в судебном порядке.
10.6. Субъект персональных данных имеет право на защиту своих прав и законных
интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в
судебном порядке.
10.7. Субъект персональных данных вправе пользоваться иными правами,
предусмотренными действующим законодательством.
11. ОБЯЗАННОСТИ ОПЕРАТОРА
11.1. Учреждение сообщает в установленном порядке субъекту персональных данных
или его представителю информацию о наличии персональных данных, относящихся к
соответствующему субъекту персональных данных, а также предоставляет возможность
ознакомления с этими персональными данными при обращении субъекта персональных
данных или его представителя, а также дает ответ на запрос субъекта персональных данных
или его представителя в течение 10 (десяти) рабочих дней с даты обращения или получения
запроса от субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае
направления Оператором в адрес субъекта персональных данных мотивированного
уведомления с указанием причин продления срока предоставления запрашиваемой
информации.
11.2. Если предоставление персональных данных является обязательным в
соответствии с федеральным законом, Учреждение разъясняет субъекту персональных
данных юридические последствия отказа предоставить его персональные данные.
11.3. При
предоставлении
субъектом
персональных
данных
сведений,
подтверждающих, что персональные данные являются неполными, неточными или
неактуальными, Учреждение в течение семи рабочих дней вносит в них необходимые
изменения. При представлении субъектом персональных данных сведений,
подтверждающих, что такие персональные данные являются незаконно полученными или
не являются необходимыми для заявленной цели обработки, Учреждение в течение 7 (семи)
рабочих дней уничтожает такие персональные данные. Учреждение уведомляет субъекта
персональных данных о внесенных изменениях и предпринятых мерах.
11.4. В случае выявления неправомерной обработки персональных данных,
осуществляемой Учреждением или лицом, действующим по поручению Учреждения,
Учреждение в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления,
прекращает неправомерную обработку персональных данных или обеспечивает
прекращение неправомерной обработки персональных данных лицом, действующим по
поручению Учреждения. В случае если обеспечить правомерность обработки персональных
данных невозможно, Учреждение в срок, не превышающий 10 (десяти) рабочих дней с даты
выявления неправомерной обработки персональных данных, уничтожает такие
персональные данные или обеспечивает их уничтожение. Об устранении допущенных
нарушений или об уничтожении персональных данных Учреждение уведомляет субъекта
персональных данных или его представителя.
11.5. В случае достижения цели обработки персональных данных Учреждение
прекращает обработку персональных данных или обеспечивает ее прекращение (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению Учреждения) и уничтожает персональные данные или обеспечивает их
уничтожение (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Учреждения) в срок, не превышающий 30 (тридцати) дней с
даты достижения цели обработки персональных данных, если иное не предусмотрено
11

договором, стороной которого является субъект персональных данных, иным соглашением
между Учреждением и субъектом персональных данных либо если Учреждение не вправе
осуществлять обработку персональных данных без согласия субъекта персональных данных
на основаниях, предусмотренных Федеральным законом «О персональных данных» или
другими федеральными законами.
11.6. В случае отзыва субъектом персональных данных согласия на обработку его
персональных данных Учреждение прекращает их обработку или обеспечивает прекращение
такой обработки (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Учреждения) и в случае, если дальнейшая обработка
персональных данных не должна осуществляться в соответствии с требованиями
действующего законодательства (независимо от наличия согласия субъекта персональных
данных), уничтожает персональные данные или обеспечивает их уничтожение (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению Учреждения) в срок, не превышающий 30 (тридцати) дней с даты поступления
указанного отзыва, если иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных
данных, иным соглашением между Учреждением и субъектом персональных данных.
11.7. При изменении субъектом персональных данных своих данных, Учреждение
хранит измененную или удаленную информацию в срок, установленный законодательством
Российской Федерации, и передает такую информацию третьим лицам в соответствии с
законодательством Российской Федерации.
11.8. Учреждение принимает меры, необходимые и достаточные для обеспечения
выполнения своих обязанностей. К таким мерам относятся:
- назначение ответственного за организацию обработки персональных данных;
- издание Политики, локальных актов по вопросам обработки персональных данных, а
также локальных актов, устанавливающих процедуры, направленные на предотвращение и
выявление нарушений законодательства Российской Федерации, устранение последствий
таких нарушений;
- применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных;
- осуществление внутреннего контроля и аудита соответствия обработки
персональных данных требованиям к защите персональных данных, Политике, локальным
актам Оператора;
- оценка вреда в соответствии с требованиями, установленными уполномоченным
органом по защите прав субъектов персональных данных, который может быть причинен
субъектам персональных данных в случае нарушения Федерального закона «О персональных
данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О персональных
данных»;
- ознакомление сотрудников Учреждения, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о
персональных данных, в том числе требованиями к защите персональных данных,
документами, Политикой, локальными актами по вопросам обработки персональных
данных, и (или) обучение указанных работников.
12. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Учреждение при обработке персональных данных принимает необходимые
правовые, организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения персональных данных, а также от иных
12

неправомерных действий в отношении персональных данных.
12.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение
которых обеспечивает установленные Правительством Российской Федерации уровни
защищенности персональных данных;
- применением прошедших в установленном порядке процедур оценки соответствия
средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных
данных;
- учетом машинных носителей персональных данных;
- применением средств защиты информации;
- обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, ограничение доступа посторонних лиц в
помещения, предназначенные для обработки персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
13. СФЕРЫ ОТВЕТСТВЕННОСТИ
13.1. Лица, виновные в нарушении требований Федерального закона «О персональных
данных»,
несут
предусмотренную
законодательством
Российской
Федерации
ответственность.
13.2. Моральный вред, причиненный Оператором субъекту персональных данных
вследствие нарушения его прав, нарушения правил обработки персональных данных, а также
требований к защите персональных данных, установленных в соответствии с Федеральным
законом «О персональных данных», подлежит возмещению в соответствии с
законодательством Российской Федерации.
Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных убытков.
13.3. Субъект персональных данных, передавший Оператору недостоверные сведения о
себе, несет ответственность в соответствии с действующим законодательством РФ.

13