2
судебном порядке по требованию субъектов, действующих на основании
статей 14 и 15 Федерального закона и законодательства о персональных
данных.
1.8. МБОУ СОШ № 2 г. Тихорецка является оператором по обработке
персональных данных работников учреждения, а также выступает оператором
по обработке персональных данных обучающихся учреждения в рамках
выполнения своих полномочий.
1.9. Настоящее положение утверждается директором МБОУ СОШ № 2 г.
Тихорецка и является обязательным для исполнения всеми сотрудниками,
имеющими доступ к персональным данным сотрудника.
2. Понятие и состав персональных данных
2.1. Персональные данные работника – информация, необходимая
работодателю в связи с трудовыми отношениями и касающиеся конкретного
работника.
Персональные данные – данные, разрешенные субъектом персональных
данных для распространения, доступ неограниченного круга лиц к которым
предоставлен субъектом путем дачи согласия на обработку персональных
данных, разрешенных субъектом персональных данных для распространения.
2.2. Состав Персональных данных работника:
анкетные и биографические данные;
образование;
сведения о трудовом и общем стаже;
сведения о составе семьи;
паспортные данные;
сведения о воинском учете;
сведения о заработной плате сотрудника;
сведения о социальных льготах;
специальность,
занимаемая должность;
информация о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования по
реабилитирующим основаниям;
адрес места жительства;
домашний телефон;
место работы или учебы членов семьи и родственников;
содержание трудового договора;
состав декларируемых сведений о наличии материальных ценностей;
содержание декларации, подаваемой в налоговую инспекцию;
подлинники и копии приказов по личному составу;
личные дела и трудовые книжки сотрудников;
основания к приказам по личному составу;

3
документ,
который
подтверждает
регистрацию
в
системе
персонифицированного учета (например, карточка СНИЛС, выданная до
1 апреля 2019 года, либо уведомление по установленной форме);
дела, содержащие материалы по повышению квалификации и
переподготовке сотрудников, их аттестации, служебным расследованиям;
копии отчетов, направляемые в органы статистики в отношении
конкретного работника.
Данные документы являются конфиденциальными, хотя, учитывая их
массовость и единое место обработки и хранения - соответствующий гриф
ограничения на них не ставится.
2.3. Сведения,
которые
характеризуют
физиологические
и
биологические особенности человека, на основании которых можно установить
его личность (биометрические персональные данные) и которые используются
оператором для установления личности субъекта персональных данных, могут
обрабатываться только при наличии согласия в письменной форме субъекта
персональных данных, за исключением случаев, предусмотренных частью 2
статьи 11 Федерального закона № 152-ФЗ.
Обработка биометрических персональных данных может осуществляться
без согласия субъекта персональных данных в связи с реализацией
международных договоров Российской Федерации о реадмиссии, в связи с
осуществлением правосудия и исполнением судебных актов, в связи с
проведением обязательной государственной дактилоскопической регистрации,
а также в случаях, предусмотренных законодательством Российской Федерации
об обороне, о безопасности, о противодействии терроризму, о транспортной
безопасности, о противодействии коррупции, об оперативно-розыскной
деятельности,
о
государственной
службе,
уголовноисполнительным законодательством Российской Федерации, законодательство
м Российской Федерации о порядке выезда из Российской Федерации и въезда в
Российскую
Федерацию,
о
гражданстве
Российской
Федерации,
законодательством Российской Федерации о нотариате.
Предоставление биометрических персональных данных не может быть
обязательным, за исключением случаев, предусмотренных частью 2 настоящей
статьи. Оператор не вправе отказывать в обслуживании в случае отказа
субъекта персональных данных предоставить биометрические персональные
данные и (или) дать согласие на обработку персональных данных, если в
соответствии с федеральным законом получение оператором согласия на
обработку персональных данных не является обязательным.
3. Обязанности работодателя
3.1. В целях обеспечения прав и свобод человека и гражданина
работодатель и его представители при обработке персональных данных
работника обязаны соблюдать следующие общие требования:

4
1) обработка персональных данных работника может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов, содействия работникам в трудоустройстве, обучении и
продвижении по службе, обеспечения личной безопасности работников,
контроля количества и качества выполняемой работы и обеспечения
сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных
данных работника работодатель должен руководствоваться Конституцией
Российской Федерации, Трудовым Кодексом и иными федеральными законами
и подзаконными актами, регламентирующими защиту персональных данных
работников;
3) все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей
стороны, то работник должен быть уведомлен об этом заранее и от него должно
быть получено письменное согласие. Работодатель должен сообщить работнику
о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные
данные работника о его политических, религиозных и иных убеждениях и
частной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со статьей 24 Конституции Российской Федерации
работодатель вправе получать и обрабатывать данные о частной жизни
работника только с его письменного согласия.
Оформление такого уведомления производится письменно, включив в
него информацию, предусмотренную п. 3 ст. 86 Трудового кодекса РФ:
цели получения личной информации о сотруднике у третьих лиц;
предполагаемые источники информации, то есть те лица, у которых будут
запрашиваться данные;
способы получения сведений, их характер;
возможные последствия отказа сотрудника дать согласие на получение
его персональных данных у третьих лиц.
Такое уведомление вручается работнику под подпись.
Согласие сотрудника на получение работодателем его персональной
информации у третьих лиц может быть оформлено отдельным документом.
Оно должно включать следующие сведения:
Ф.И.О., адрес сотрудника, реквизиты паспорта или иного документа,
удостоверяющего его личность, кем и когда выдан;
наименование и адрес работодателя;
перечень личных данных, на получение которых дает согласие работник;
срок, в течение которого действует согласие.
На таком согласии работник должен расписаться;
5) работодатель не имеет права получать и обрабатывать персональные
данные работника о его членстве в общественных объединениях или его

5
профсоюзной деятельности, за исключением случаев, предусмотренных
федеральным законом;
6) при принятии решений, затрагивающих интересы работника,
работодатель не имеет права основываться на персональных данных работника,
полученных исключительно в результате их автоматизированной обработки
или электронного получения;
7) защита персональных данных работника от неправомерного их
использования или утраты должна быть обеспечена работодателем за счет его
средств в порядке, установленном федеральным законом;
8) работники и их представители должны быть ознакомлены под
расписку с документами организации, устанавливающими порядок обработки
персональных данных работников, а также об их правах и обязанностях в этой
области;
9) работники не должны отказываться от своих прав на сохранение и
защиту тайны;
10) в соответствии с частью 1 статьи 22 Федерального закона № 152-ФЗ
о начале обработки персональных данных МБОУ № 2 г. Тихорецка уведомляет
уполномоченный орган по защите прав субъектов персональных данных о
своем намерении осуществлять обработку персональных данных.
Уведомление уполномоченного органа направляется в виде документа на
бумажном носителе или в форме электронного документа и подписывается
уполномоченным лицом. Уведомление должно содержать следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального
закона № 152-ФЗ, в том числе сведения о наличии шифровальных
(криптографических) средств и наименования этих средств;
- фамилия, имя, отчество физического лица или наименование
юридического лица, ответственных за организацию обработки персональных
данных, и номера их контактных телефонов, почтовые адреса и адреса
электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи
персональных данных в процессе их обработки;
1) сведения о месте нахождения базы данных информации, содержащей
персональные данные граждан Российской Федерации;
2) фамилия, имя, отчество физического лица или наименование
юридического лица, имеющих доступ и (или) осуществляющих на основании
договора обработку персональных данных, содержащихся в государственных и
муниципальных информационных системах;
- сведения об обеспечении безопасности персональных данных в
соответствии с требованиями к защите персональных данных, установленными
Правительством Российской Федерации.

6
11) в соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ
МБОУ № 2 г. Тихорецка вправе осуществлять без уведомления
уполномоченного органа по защите прав субъектов персональных данных
обработку персональных данных:
- включенных в государственные информационные системы
персональных данных, созданные в целях защиты безопасности государства и
общественного порядка;
- в случае, если МБДОУ № 2 г. Тихорецка осуществляет деятельность по
обработке персональных данных исключительно без использования средств
автоматизации;
обрабатываемых в случаях, предусмотренных законодательством Россий
ской Федерации о транспортной безопасности, в целях обеспечения
устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного
комплекса от актов незаконного вмешательства.
3.2. В соответствии со статьей 18 Федерального закона № 152-ФЗ, если в
соответствии с федеральным законом предоставление персональных данных и
(или) получение оператором согласия на обработку персональных данных
являются обязательными, оператор обязан разъяснить субъекту персональных
данных юридические последствия отказа предоставить его персональные
данные и (или) дать согласие на их обработку.
3.3. Если персональные данные получены не от субъекта персональных
данных, оператор, за исключением случаев, предусмотренных пунктом 3.4, до
начала обработки таких персональных данных обязан предоставить субъекту
персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его
представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта
персональных данных;
5) источник получения персональных данных.
3.4. Оператор освобождается от обязанности предоставить субъекту
персональных данных сведения, предусмотренные пунктом 3.3, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки
его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании
федерального закона или в связи с исполнением договора, стороной которого
либо выгодоприобретателем или поручителем по которому является субъект
персональных данных;
3) обработка
персональных
данных,
разрешенных
субъектом
персональных данных для распространения, осуществляется с соблюдением
запретов и условий, предусмотренных статьей 10.1 Федерального закона
№ 152-ФЗ;

7
4) оператор осуществляет обработку персональных данных для
статистических или иных исследовательских целей, для научной, литературной
или иной творческой деятельности, если при этом не нарушаются права и
законные интересы субъекта персональных данных;
5) предоставление
субъекту
персональных
данных
сведений,
предусмотренных пунктом 3.3, нарушает права и законные интересы третьих
лиц.
3.5. При сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети «Интернет», оператор обязан
обеспечить запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение персональных данных граждан
Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации, за исключением случаев, указанных
в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона № 152-ФЗ.
3.6. МБОУ СОШ № 2 г. Тихорецка обязана прекратить передачу
(распространение,
предоставление,
доступ)
ПДн,
разрешенных
к
распространению, в течение трех рабочих дней с момента получения
соответствующего требования от субъекта ПДн, либо в срок, указанный во
вступившем в силу решении суда (а если такой срок не указан – в течение трех
рабочих дней с момента вступления решения суда в силу).
3.7. В соответствии со статьей 20 Федерального закона № 152-ФЗ:
1) оператор обязан сообщить в порядке, предусмотренном статьей 14
Федерального закона № 152-ФЗ, субъекту персональных данных или его
представителю информацию о наличии персональных данных, относящихся к
соответствующему субъекту персональных данных, а также предоставить
возможность ознакомления с этими персональными данными при обращении
субъекта персональных данных или его представителя либо в течение десяти
рабочих дней с даты получения запроса субъекта персональных данных или его
представителя. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления оператором в адрес субъекта персональных
данных мотивированного уведомления с указанием причин продления срока
предоставления запрашиваемой информации;
2) в случае отказа в предоставлении информации о наличии
персональных данных о соответствующем субъекте персональных данных или
персональных данных субъекту персональных данных или его представителю
при их обращении либо при получении запроса субъекта персональных данных
или его представителя оператор обязан дать в письменной форме
мотивированный ответ, содержащий ссылку на положение части 8 статьи 14
Федерального закона № 152-ФЗ или иного федерального закона, являющееся
основанием для такого отказа, в срок, не превышающий десяти рабочих дней со
дня обращения субъекта персональных данных или его представителя либо с
даты получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в
случае направления оператором в адрес субъекта персональных данных

8
мотивированного уведомления с указанием причин продления срока
предоставления запрашиваемой информации;
3) оператор обязан предоставить безвозмездно субъекту персональных
данных или его представителю возможность ознакомления с персональными
данными, относящимися к этому субъекту персональных данных. В срок, не
превышающий семи рабочих дней со дня предоставления субъектом
персональных данных или его представителем сведений, подтверждающих, что
персональные данные являются неполными, неточными или неактуальными,
оператор обязан внести в них необходимые изменения. В срок, не
превышающий семи рабочих дней со дня представления субъектом
персональных данных или его представителем сведений, подтверждающих, что
такие персональные данные являются незаконно полученными или не являются
необходимыми для заявленной цели обработки, оператор обязан уничтожить
такие персональные данные. Оператор обязан уведомить субъекта
персональных данных или его представителя о внесенных изменениях и
предпринятых мерах и принять разумные меры для уведомления третьих лиц,
которым персональные данные этого субъекта были переданы;
4) оператор обязан сообщить в уполномоченный орган по защите прав
субъектов персональных данных по запросу этого органа необходимую
информацию в течение десяти рабочих дней с даты получения такого запроса.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в
случае направления оператором в адрес уполномоченного органа по защите
прав субъектов персональных данных мотивированного уведомления с
указанием причин продления срока предоставления запрашиваемой
информации.
3.8. Обязанности оператора по устранению нарушений законодательства,
допущенных при обработке персональных данных, по уточнению,
блокированию и уничтожению персональных данных регулируются статьей
21 Федерального закона № 152-ФЗ.
4. Обязанности работника
4.1. Передавать работодателю или его представителю комплекс
достоверных, документированных персональных данных, состав которых
установлен Трудовым кодексом РФ.
4.2. Своевременно сообщать работодателю об изменении своих
персональных данных.
5. Права работника
5.1. Работник имеет право:
требовать исключения или исправления неверных или неполных
персональных данных;

9
на свободный бесплатный доступ к своим персональным данным,
включая право на получение копий любой записи, содержащей персональные
данные;
дополнить заявлением, выражающим его собственную точку зрения,
персональные данные оценочного характера;
определять своих представителей для защиты своих персональных
данных;
на сохранение и защиту своей личной и семейной тайны.
В соответствии с пунктом 1 статьи 14 Федерального закона № 152-ФЗ
работник вправе требовать от оператора уточнения его персональных данных,
их блокирования или уничтожения в случае, если персональные данные
являются неполными, устаревшими, неточными, незаконно полученными или
не являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
5.2. Работник в соответствии со статьей 14 Федерального закона № 152ФЗимеет право на получение информации, касающейся обработки его
персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных
данных;
4) наименование и место нахождения оператора, сведения о лицах (за
исключением работников оператора), которые имеют доступ к персональным
данным или которым могут быть раскрыты персональные данные на основании
договора с оператором или на основании федерального закона;
5)
обрабатываемые
персональные
данные,
относящиеся
к
соответствующему субъекту персональных данных, источник их получения,
если иной порядок представления таких данных не предусмотрен федеральным
законом;
6) сроки обработки персональных данных, в том числе сроки их
хранения;
7) порядок осуществления субъектом персональных данных прав,
предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой
трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению оператора,
если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей,
установленных статьей 18.1 Федерального закона № 152-ФЗ;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ
или другими федеральными законами.
Вышеуказанные сведения должны быть предоставлены работнику
оператором в доступной форме, и в них не должны содержаться персональные
данные, относящиеся к другим субъектам персональных данных, за

10
исключением случаев, если имеются законные основания для раскрытия таких
персональных данных.
5.3. Сведения, указанные в пункте 5.2., предоставляются субъекту
персональных данных или его представителю оператором в течение десяти
рабочих
дней
с
момента
обращения
либо
получения
оператором запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в
случае направления оператором в адрес субъекта персональных данных
мотивированного уведомления с указанием причин продления срока
предоставления запрашиваемой информации. Запрос должен содержать номер
основного документа, удостоверяющего личность субъекта персональных
данных или его представителя, сведения о дате выдачи указанного документа и
выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с оператором (номер договора, дата
заключения договора, условное словесное обозначение и (или) иные сведения),
либо сведения, иным образом подтверждающие факт обработки персональных
данных оператором, подпись субъекта персональных данных или его
представителя. Запрос может быть направлен в форме электронного документа
и
подписан
электронной
подписью
в
соответствии
с законодательством Российской Федерации. Оператор предоставляет сведения,
указанные в пункте 5.2 настоящего положения, субъекту персональных данных
или его представителю в той форме, в которой направлены соответствующие
обращение либо запрос, если иное не указано в обращении или запросе.
5.4. В случае, если сведения, указанные в пункте 5.2 настоящего
Положения, а также обрабатываемые персональные данные были
предоставлены для ознакомления субъекту персональных данных по его
запросу, субъект персональных данных вправе обратиться повторно к
оператору или направить ему повторный запрос в целях получения сведений,
указанных в пункте 5.2, и ознакомления с такими персональными данными не
ранее чем через тридцать дней после первоначального обращения или
направления первоначального запроса, если более короткий срок не установлен
федеральным законом, принятым в соответствии с ним нормативным правовым
актом или договором, стороной которого либо выгодоприобретателем или
поручителем по которому является субъект персональных данных.
5.5. Субъект персональных данных вправе обратиться повторно к
оператору или направить ему повторный запрос в целях получения сведений,
указанных в пункте 5.2, а также в целях ознакомления с обрабатываемыми
персональными данными до истечения срока, указанного в пункте 5.4, в случае,
если такие сведения и (или) обрабатываемые персональные данные не были
предоставлены ему для ознакомления в полном объеме по результатам
рассмотрения первоначального обращения. Повторный запрос наряду со
сведениями, указанными в пункте 5.3, должен содержать обоснование
направления повторного запроса.
5.6. Оператор вправе отказать субъекту персональных данных в
выполнении повторного запроса, не соответствующего
условиям,

11
предусмотренным пунктами
5.3,
5.4.
Такой
отказ
должен
быть
мотивированным. Обязанность представления доказательств обоснованности
отказа в выполнении повторного запроса лежит на операторе.
5.7. Право субъекта персональных данных на доступ к его персональным
данным может быть ограничено в соответствии с федеральными законами, в
том числе если:
1) обработка персональных данных, включая персональные данные,
полученные в результате оперативно-разыскной, контрразведывательной и
разведывательной деятельности, осуществляется в целях обороны страны,
безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами,
осуществившими задержание субъекта персональных данных по подозрению в
совершении преступления, либо предъявившими субъекту персональных
данных обвинение по уголовному делу, либо применившими к субъекту
персональных данных меру пресечения до предъявления обвинения, за
исключением
предусмотренных
уголовнопроцессуальным законодательством Российской Федерации случаев, если
допускается ознакомление подозреваемого или обвиняемого с такими
персональными данными;
3) обработка персональных данных осуществляется в соответствии
с законодательством о противодействии легализации (отмыванию) доходов,
полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным
нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях,
предусмотренных законодательством Российской Федерации о транспортной
безопасности,
в
целях
обеспечения
устойчивого
и
безопасного
функционирования транспортного комплекса, защиты интересов личности,
общества и государства в сфере транспортного комплекса от актов незаконного
вмешательства.
5.8. Получение согласия на распространение персональных данных «по
умолчанию» не допускается. Согласие на обработку таких сведений операторов
обязали оформлять отдельно от других документов.
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах
не может считаться согласием на обработку ПДн, разрешенных к
распространению.
5.9. Субъект ПДн вправе направить требование о прекращении передачи
(распространения, предоставления, доступа) разрешенных к распространению
ПДн.
Для этого субъект ПДн должен направить в МБОУ СОШ № 2 г.
Тихорецка заявление об отзыве согласия на обработку. Оно будет включать
такую обязательную информацию:
Ф.И.О. субъекта ПДн (фамилия, имя, отчество – при наличии);
номер телефона и электронную почту субъекта;
почтовый адрес;

12
персональные данные, обработку которых необходимо прекратить.
5.10. Субъект ПДн вправе прекратить обработку своих персональных
данных и потребовать от любого лица, которое их обрабатывает, даже при
отсутствии ранее данного письменного согласия. Кроме того, с
соответствующим требованием субъект может обратиться в суд.
5.11. В случае несоблюдения новых правил субъект ПДн сможет
потребовать прекратить передачу ПДн принудительно и привлечь оператора к
ответственности или обратиться в суд для изъятия своих данных из обработки
6. Сбор, обработка и хранение персональных данных
6.1. Обработка персональных данных работника – получение, хранение,
комбинирование, передача или любое другое использование персональных
данных работника.
6.2. Порядок получения персональных данных:
1) все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей
стороны, то работник должен быть уведомлен об этом заранее и от него должно
быть получено письменное согласие. Работодатель должен сообщить работнику
о целях, предполагаемых источниках и способах получения персональных
данных, а так же, о характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их получение;
2) работодатель не имеет права получать и обрабатывать персональные
данные работника о его политических, религиозных и иных убеждениях и
частной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе
получать и обрабатывать данные о частной жизни работника только с его
письменного согласия;
3) работодатель не имеет право получать и обрабатывать персональные
данные работника о его членстве в общественных объединениях или его
профсоюзной деятельности, за исключением случаев, предусмотренных
федеральным законом.
6.3. Обработка, передача и хранение персональных данных работника.
К обработке, передаче и хранению персональных данных работника
могут иметь доступ сотрудники:
бухгалтерии;
заместители директора;
секретарь;
делопроизводитель;
администратор АИС «Сетевой город. Образование».
6.4. Обработка персональных данных осуществляется с соблюдением
принципов и правил, предусмотренных со статьей 6 Федерального закона
№ 152-ФЗ. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;

13
2) обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством
Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием
лица в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения
судебного акта, акта другого органа или должностного лица, подлежащих
исполнению в соответствии с законодательством Российской Федерации об
исполнительном производстве (далее - исполнение судебного акта);
4) обработка персональных данных необходима для исполнения
полномочий федеральных органов исполнительной власти, органов
государственных
внебюджетных
фондов,
исполнительных
органов
государственной власти субъектов Российской Федерации, органов местного
самоуправления и функций организаций, участвующих в предоставлении
соответственно государственных и муниципальных услуг, предусмотренных
Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации
предоставления государственных и муниципальных услуг», включая
регистрацию
субъекта
персональных
данных
на едином
портале государственных и муниципальных услуг и (или) региональных
порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем.
Заключаемый с субъектом персональных данных договор не может содержать
положения, ограничивающие права и свободы субъекта персональных данных,
устанавливающие
случаи
обработки
персональных
данных
несовершеннолетних, если иное не предусмотрено законодательством
Российской Федерации, а также положения, допускающие в качестве условия
заключения договора бездействие субъекта персональных данных;
6) обработка персональных данных необходима для защиты жизни,
здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав
и законных интересов оператора или третьих лиц, в том числе в случаях,
предусмотренных Федеральным законом «О защите прав и законных интересов
физических лиц при осуществлении деятельности по возврату просроченной
задолженности и о внесении изменений в Федеральный закон «О
микрофинансовой деятельности и микрофинансовых организациях», либо для
достижения общественно значимых целей при условии, что при этом не
нарушаются права и свободы субъекта персональных данных;

14
8) обработка персональных данных необходима для осуществления
научной, литературной или иной творческой деятельности при условии, что
при этом не нарушаются права и законные интересы субъекта персональных
данных;
9) обработка персональных данных осуществляется в статистических или
иных исследовательских целях, за исключением целей, указанных в статье
15 Федерального закона № 152-ФЗ, при условии обязательного обезличивания
персональных данных;
10) осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным
законом.
2. Особенности обработки специальных категорий персональных данных,
а
также
биометрических
персональных
данных
устанавливаются
соответственно статьями 10 и 11 Федерального закона № 152-ФЗ.
3. Оператор вправе поручить обработку персональных данных другому
лицу с согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора, в
том числе государственного или муниципального контракта, либо путем
принятия государственным органом или муниципальным органом
соответствующего акта (далее - поручение оператора). Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать
принципы и правила обработки персональных данных, предусмотренные
настоящим
Федеральным
законом,
соблюдать
конфиденциальность
персональных данных, принимать необходимые меры, направленные на
обеспечение выполнения обязанностей, предусмотренных настоящим
Федеральным законом. В поручении оператора должны быть определены
перечень персональных данных, перечень действий (операций) с
персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, цели их обработки, должна быть установлена
обязанность такого лица соблюдать конфиденциальность персональных
данных, требования, предусмотренные частью 5 статьи 18 и статьей
18.1 Федерального закона № 152-ФЗ, обязанность по запросу оператора
персональных данных в течение срока действия поручения оператора, в том
числе до обработки персональных данных, предоставлять документы и иную
информацию, подтверждающие принятие мер и соблюдение в целях
исполнения поручения оператора требований, установленных в соответствии с
настоящей статьей, обязанность обеспечивать безопасность персональных
данных при их обработке, а также должны быть указаны требования к защите
обрабатываемых персональных данных в соответствии со статьей
19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении
оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального
закона № 152-ФЗ.
4. Лицо, осуществляющее обработку персональных данных по поручению
оператора, не обязано получать согласие субъекта персональных данных на
обработку его персональных данных.

15
5. В случае, если оператор поручает обработку персональных данных
другому лицу, ответственность перед субъектом персональных данных за
действия указанного лица несет оператор. Лицо, осуществляющее обработку
персональных данных по поручению оператора, несет ответственность перед
оператором.
6. В случае, если оператор поручает обработку персональных данных
иностранному физическому лицу или иностранному юридическому лицу,
ответственность перед субъектом персональных данных за действия указанных
лиц несет оператор и лицо, осуществляющее обработку персональных данных
по поручению оператора.
6.5. При передаче персональных данных работника работодатель должен
соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без
письменного согласия работника, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью работника, а
также в случаях, установленных федеральным законом;
не сообщать персональные данные работника в коммерческих целях без
его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том,
что эти данные могут быть использованы лишь в целях, для которых они
сообщены, и требовать от этих лиц подтверждения того, что это правило
соблюдено. Лица, получающие персональные данные работника, обязаны
соблюдать режим секретности (конфиденциальности). Данное положение не
распространяется на обмен персональными данными работников в порядке,
установленном федеральными законами;
разрешать доступ к персональным данным работников только специально
уполномоченным лицам, при этом указанные лица должны иметь право
получать только те персональные данные работника, которые необходимы для
выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за
исключением тех сведений, которые относятся к вопросу о возможности
выполнения работником трудовой функции;
передавать персональные данные работника представителям работников
в порядке, установленном Трудовым Кодексом, и ограничивать эту
информацию только теми персональными данными работника, которые
необходимы для выполнения указанными представителями их функций.
6.6. Передача персональных данных от держателя или его представителей
внешнему потребителю может допускаться в минимальных объемах и только в
целях выполнения задач, соответствующих объективной причине сбора этих
данных и только при наличии согласия субъекта персональных данных.
6.7. При передаче персональных данных работника потребителям (в том
числе и в коммерческих целях) за пределы МБОУ СОШ № 2 г. Тихорецка
работодатель не должен сообщать эти данные третьей стороне без письменного
согласия работника, за исключением случаев, когда это необходимо в целях

16
предупреждения угрозы жизни и здоровью работника или в случаях,
установленных федеральным законом.
6.8. Все меры конфиденциальности при сборе, обработке и хранении
персональных данных сотрудника распространяются как на бумажные, так и на
электронные (автоматизированные) носители информации.
6.9. Не допускается отвечать на вопросы, связанные с передачей
персональной информации по телефону или факсу.
6.10. По возможности персональные данные обезличиваются.
6.11. Обработка специальных категорий персональных данных,
разрешенных субъектом ПДн для распространения, должна осуществляться
с соблюдением запретов и условий, предусмотренных статьей 10.1
Федерального закона № 152-ФЗ следующим образом:
согласие на обработку персональных данных, разрешенных субъектом
ПДн для распространения, должно оформляться отдельно от иных согласий
субъекта;
должна быть обеспечена возможность субъекта определить перечень
персональных данных, на распространение которых он дает свое согласие;
если МБОУ СОШ № 2 г. Тихорецка не имеет согласия субъекта,
он обязан
предоставить
доказательства
законности
последующего
распространения или иной обработки таких персональных данных;
МБОУ СОШ № 2 г. Тихорецка не имеет права распространять
персональные данные, если из согласия не следует, что субъект персональных
данных согласился с распространением;
МБОУ СОШ № 2 г. Тихорецка не имеет права распространять
персональные данные, если в согласии не установлены запреты и условия или
не указаны категории и перечень ПДн, в отношении которых установлены
такие запреты и условия;
согласие на распространение персональных данных, может быть
предоставлено МБОУ СОШ № 2 г. Тихорецка непосредственно либо (с 1 июля
2021 года) с использованием информационной системы Роскомнадзора;
порядок взаимодействия субъекта ПДн с МБОУ СОШ № 2 г. Тихорецка,
а также правила использования вышеуказанной информационной системы
должны быть определены Роскомнадзором;
молчание или бездействие субъекта персональных данных ни при каких
обстоятельствах не могут считаться согласием на распространение ПДн;
в согласии на распространение субъект вправе установить запреты МБОУ
СОШ № 2 г. Тихорецка на передачу (кроме предоставления доступа),
на обработку или условия обработки (кроме получения доступа) персональных
данных неограниченному кругу лиц;
МБОУ СОШ № 2 г. Тихорецка в течение трех рабочих дней с момента
получения соответствующего согласия субъекта обязан опубликовать
информацию об условиях обработки и о наличии запретов и условий
на обработку неограниченным кругом лиц распространяемых ПДн;
установленные субъектом запреты на передачу (кроме предоставления
доступа), а также на обработку или условия обработки (кроме получения

17
доступа) распространяемых персональных данных не распространяются
на случаи обработки ПДн в государственных, общественных и иных публичных
интересах, определенных законодательством РФ;
передача (распространение, предоставление, доступ) персональных
данных, разрешенных субъектом для распространения, должна быть
прекращена по требованию субъекта в любое время;
требование субъекта о прекращении распространения ПДн должно
включать ФИО субъекта, контактную информацию (телефон, e-mail или
почтовый адрес), а также перечень персональных данных, распространение
которых подлежит прекращению;
действие согласия субъекта на распространение персональных данных
прекращается с момента поступления МБОУ СОШ № 2 г. Тихорецка
вышеуказанного требования;
субъект вправе обратиться с требованием прекратить передачу
(распространение, предоставление, доступ) своих персональных данных
к любому лицу, обрабатывающему его персональные данные, в случае
несоблюдения положений закона или обратиться с таким требованием в суд,
а указанное лицо обязано прекратить распространение персональных данных
в течение трех рабочих дней с момента получения такого требования
от субъекта.
6.12. МБОУ СОШ № 2 г. Тихорецка освобождается от обязанности
предоставить субъекту ПДн сведения об обработке персональных данных,
предусмотренные частью 3 статьи 18 Федерального закона 152-ФЗ в случаях,
если распространение персональных данных осуществляется с соблюдением
запретов и условий, предусмотренных статьей 10.1 Федерального закона
152-ФЗ .
6.13. МБОУ СОШ № 2 г. Тихорецка вправе осуществлять без
уведомления Роскомнадзора обработку ПДн, разрешенных субъектом для
распространения при условии соблюдения МБОУ СОШ № 2 г. Тихорецка
запретов и условий, предусмотренных статьей 10.1 Федерального закона №
152-ФЗ.
7. Доступ к персональным данным сотрудника
7.1. Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным сотрудника имеют:
директор;
заместители директора;
делопроизводитель;
сам работник, носитель данных.
Другие сотрудники организации имеют доступ к персональным данным
работника только с письменного согласия самого работника, носителя данных.
7.2. Внешний доступ:

18
1) к числу массовых потребителей персональных данных вне МБОУ
СОШ № 2 г. Тихорецка можно отнести государственные и негосударственные
функциональные структуры:
налоговые инспекции;
правоохранительные органы;
органы статистики;
страховые агентства;
военкоматы;
органы социального страхования;
пенсионные фонды;
подразделения муниципальных органов управления, в том числе:
главный бухгалтер МКУ СО «Межведомственная централизованная
бухгалтерия» МО Тихорецкий район;
экономист МКУ СО «Межведомственная централизованная бухгалтерия»
МО Тихорецкий район;
бухгалтер
по
начислению
заработной
платы
МКУ
СО
«Межведомственная централизованная бухгалтерия» МО Тихорецкий район;
2) надзорно-контрольные органы, которые имеют доступ к информации
только в сфере своей компетенции;
3) организации, в которые сотрудник может осуществлять перечисления
денежных средств (страховые компании, негосударственные пенсионные
фонды, благотворительные организации, кредитные учреждения), могут
получить доступ к персональным данным работника только в случае его
письменного разрешения;
4) другие организации, в соответствии с федеральными нормативными
актами.
Сведения о работающем сотруднике или уже уволенном могут быть
предоставлены другой организации только с письменного запроса на бланке
организации, с приложением копии нотариально заверенного заявления
работника;
5) родственники и члены семей.
Персональные данные сотрудника могут быть предоставлены
родственникам или членам его семьи только с письменного разрешения самого
сотрудника.
В случае развода бывшая супруга (супруг) имеют право обратиться в
организацию с письменным запросом о размере заработной платы сотрудника
без его согласия. (УК РФ).
8. Защита персональных данных
8.1. Под угрозой или опасностью утраты персональных данных
понимается единичное или комплексное, реальное или потенциальное,
активное или пассивное проявление злоумышленных возможностей внешних
или внутренних источников угрозы создавать неблагоприятные события,
оказывать дестабилизирующее воздействие на защищаемую информацию.

19
8.2. Риск угрозы любым информационным ресурсам создают стихийные
бедствия, экстремальные ситуации, террористические действия, аварии
технических средств и линий связи, другие объективные обстоятельства, а
также заинтересованные и незаинтересованные в возникновении угрозы лица.
8.3. Защита персональных данных представляет собой жестко
регламентированный
и
динамически
технологический
процесс,
предупреждающий нарушение доступности, целостности, достоверности и
конфиденциальности персональных данных и, в конечном счете,
обеспечивающий достаточно надежную безопасность информации в процессе
управленческой и производственной деятельности компании.
8.4. «Внутренняя защита».
Основным виновником несанкционированного доступа к персональным
данным является, как правило, персонал, работающий с документами и базами
данных. Регламентация доступа персонала к конфиденциальным сведениям,
документами и базами данных входит в число основных направлений
организационной защиты информации и предназначена для разграничения
полномочий руководителями и специалистами компании.
Для защиты персональных данных работников необходимо соблюдать
ряд мер:
ограничение и регламентация состава работников, функциональные
обязанности которых требуют конфиденциальных знаний;
строгое избирательное и обоснованное распределение документов и
информации между работниками;
рациональное размещение рабочих мест работников, при котором
исключалось бы бесконтрольное использование защищаемой информации;
знание работником требований нормативно – методических документов
по защите информации и сохранении тайны;
наличие необходимых условий в помещении для работы с
конфиденциальными документами и базами данных;
определение и регламентация состава работников, имеющих право
доступа (входа) в помещение, в котором находится вычислительная техника;
организация порядка уничтожения информации;
своевременное выявление нарушения требований разрешительной
системы доступа работниками подразделения;
воспитательная и разъяснительная работа с сотрудниками МБОУ СОШ №
2 г. Тихорецка по предупреждению утраты ценных сведений при работе с
конфиденциальными документами;
не допускается выдача личных дел сотрудников на рабочие места
руководителей. Личные дела могут выдаваться на рабочие места только
директору МБОУ СОШ № 2 г. Тихорецка, заместителям директора и в
исключительных случаях, по письменному разрешению директора,
руководителю структурного подразделения МБОУ СОШ № 2 г. Тихорецка.
8.4.1. Защита персональных данных сотрудника на электронных
носителях.

20
Все папки, содержащие персональные данные сотрудника, должны быть
защищены паролем, который сообщается руководителю службы управления
персоналом и руководителю службы информационных технологий.
8.5. «Внешняя защита».
1) для
защиты
конфиденциальной
информации
создаются
целенаправленные
неблагоприятные
условия
и
труднопреодолимые
препятствия для лица, пытающегося совершить несанкционированный доступ и
овладение информацией. Целью и результатом несанкционированного доступа
к информационным ресурсам может быть не только овладение ценными
сведениями и их использование, но и их видоизменение, уничтожение,
внесение вируса, подмена, фальсификация содержания реквизитов документа и
др.
Под посторонним лицом понимается любое лицо, не имеющее
непосредственного отношения к деятельности МБОУ СОШ № 2 г.Тихорецка
посетители, работники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие
процессы, технологию составления, оформления, ведения и хранения
документов, дел и рабочих материалов в отделе персонала;
2) для защиты персональных данных сотрудников необходимо соблюдать
ряд мер:
порядок приема, учета и контроля деятельности посетителей;
пропускной режим в МБОУ СОШ № 2 г. Тихорецка;
технические средства охраны, сигнализации;
порядок охраны территории, зданий, помещений, транспортных средств;
требования к защите информации при интервьюировании и
собеседованиях;
3) лица, виновные в нарушении норм, регулирующих получение,
обработку и защиту персональных данных работника, несут дисциплинарную,
административную, гражданско-правовую или уголовную ответственность в
соответствии с федеральными законами;
4) все лица, связанные с получением, обработкой и защитой
персональных данных сотрудника обязаны заключить «Соглашение о
неразглашении персональных данных сотрудников компании».
9. Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
9.1. Персональная ответственность – одно из главных требований к
организации функционирования системы защиты персональной информации и
обязательное условие обеспечения эффективности этой системы.
9.2. Руководитель,
разрешающий
доступ
сотрудника
к
конфиденциальному документу, несет персональную ответственность за данное
разрешение.

21
9.3. Каждый сотрудник МБОУ СОШ № 2 г. Тихорецка, получающий для
работы конфиденциальный документ, несет единоличную ответственность за
сохранность носителя и конфиденциальность информации.
9.4. Лица, виновные в нарушение установленного законом порядка сбора,
хранения, использования или распространения информации о гражданах
(персональных данных) несут дисциплинарную, административную,
гражданско–правовую или уголовную ответственность в соответствии с
федеральным законодательством.