Положение о недопущении оператором вреда при обработке персональных данных в МАОУ СОШ №88 города Тюмени

Департамент образования Администрации города Тюмени
Муниципальное автономное общеобразовательное учреждение
средняя общеобразовательная школа № 88 города Тюмени
(МАОУ СОШ № 88 города Тюмени)
ПРИКАЗ
от 10.03.2023

№

149

Об утверждении Положения о недопущении
оператором вреда при обработке
персональных данных
В соответствии с Федеральным
«О персональных данных» приказываю:

законом

от

27.07.2006

№

152-ФЗ

1. Утвердить Положение о недопущении оператором вреда при обработке
персональных данных в МАОУ СОШ №88 города Тюмени (приложение).
2. Заместителю директора Басс Ирине Сергеевне обеспечить размещение
Положения о недопущении оператором вреда при обработке персональных данных в
МАОУ СОШ №88 города Тюмени, утвержденного настоящим приказом, на
официальном сайте МАОУ СОШ №88 в сети «Интернет» в день его издания.
3. Секретарю Карионовой Т.И. обеспечить ознакомление работников МАОУ
СОШ №88 города Тюмени с настоящим приказом под подпись.
4. Контроль за исполнением настоящего приказа оставляю за собой.

Директор

Е.В. Головчак

2

Приложение
УТВЕРЖДЕНО
приказом МАОУ СОШ №88
от 10.03.2023 № 149
Положение
о недопущении оператором вреда при обработке персональных данных
в МАОУ СОШ №88 города Тюмени
1. Общие положения
1.1. Положение о недопущении оператором вреда при обработке
персональных данных (далее – Положение) разработано в МАОУ СОШ №88
города Тюмени (далее - Оператор) во исполнение требований п. 2 ч. 1 ст. 18.1
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –
Закон о персональных данных).
1.2. Положение устанавливает процедуры, направленные на выявление
причин, которые могут повлечь причинение вреда субъекту персональных данных
и (или) Оператору и их предотвращение, а также на устранение последствий такого
вреда при обработке персональных данных.
1.3. Под вредом для целей Положения понимается моральный вред и (или)
материальный ущерб субъекта персональных данных и (или) Оператора, который
реально причинен или может быть причинен в случае нарушения Оператором
требований Закона о персональных данных (далее - вред).
1.4. Недопущение вреда является одним из направлений обеспечения общей
безопасности Оператора и представляет собой комплекс правовых,
организационных и технических мер.
Правовые меры состоят из изучения и применения законодательства по
вопросам недопущения вреда, разработки локальных актов и их применения в
данной сфере деятельности Оператора.
Организационные меры включают тщательный отбор, обучение и
расстановку кадров, повышение их мотивации в вопросах недопущения вреда.
Технические меры объединяют создание условий и реализацию мероприятий
по недопущению вреда, в том числе:
1) обеспечение сохранности имущества Оператора, в том числе
материальных носителей информации, путем установления и поддержания
соответствующих режимов безопасности;
2) недопущение попадания конфиденциальной информации Оператора, в
том числе информации, составляющей коммерческую и служебную тайны,
неуполномоченным лицам путем выделения специальных мест для обработки и
хранения персональных данных;
3) обеспечение информационной безопасности Оператора, бесперебойного
функционирования технических средств обработки персональных данных;
4) обеспечение физической защиты объектов, находящихся на балансе
Оператора, работников Оператора при исполнении ими служебных (трудовых)
обязанностей путем установления внутриобъектового и пропускного режимов;

3

5)
незамедлительное
восстановление
персональных
данных,
модифицированных или уничтоженных вследствие несанкционированного доступа
к ним;
6) постоянный контроль за обеспечением уровня защищенности
персональных данных.
2. Процедуры по недопущению вреда при обработке персональных данных
Оператором и по устранению его последствий
2.1. Оператор обеспечивает реализацию следующих процедур, направленных
на предупреждение вреда:
1) соблюдение работниками Оператора установленных законодательством
Российской Федерации и локальными нормативными актами Оператора правил
получения, обработки, хранения, предоставления и распространения персональных
данных (далее – Правила);
2) выявление нарушений Правил со стороны работников Оператора;
3) предупреждение субъектов персональных данных о рисках причинения
вреда в ходе обработки персональных данных;
4) проведение инструктажа работников Оператора по вопросам недопущения
вреда в случае обнаружения факта причинения вреда.
2.2. Оператор обеспечивает реализацию следующих процедур, направленных
на устранение вреда:
1) своевременное обнаружение допущенных нарушений Правил и их
незамедлительное пресечение;
2) оценка уже причиненного вреда, фиксация мер, принятых Оператором по
недопущению вреда, и их сопоставление;
3) информирование субъектов персональных данных о допущенных
нарушениях, о рисках и о подлежащих принятию мерах;
4) компенсация причиненного вреда в порядке, предусмотренном
законодательством Российской Федерации;
5) привлечение к дисциплинарной или материальной ответственности
работников Оператора, допустивших причинение вреда.
2.3. Оператор обеспечивает реализацию следующих процедур, направленных
на устранение последствий вреда:
1) восстановление деловой репутации Оператора;
2) совершенствование регламентов и программ обучения сотрудников.
3. Обязанности руководителя и работников Оператора в рамках реализации
процедур, направленных на недопущение вреда при обработке персональных
данных и по устранению его последствий
3.1. В целях недопущения вреда Оператор до начала обработки
персональных данных назначает ответственное лицо за организацию обработки
персональных данных (далее – Ответственное лицо).
3.2. Ответственное лицо:
1) проводит внутренний контроль за соблюдением Оператором и его
работниками законодательства Российской Федерации о персональных данных, в
том числе требований к защите персональных данных;

4

2) проводит ориентировочную оценку размера вреда, устанавливает, какие
меры были приняты в целях недопущения вреда, и их соотношение.
3.3. Руководитель Оператора:
1) обеспечивает ознакомление работников Оператора, непосредственно
осуществляющих
обработку
персональных
данных,
с
положениями
законодательства Российской Федерации о персональных данных, в том числе
требованиями к защите персональных данных, документами, определяющими
политику оператора в отношении обработки персональных данных, локальными
актами по вопросам обработки персональных данных, и (или) обучение указанных
работников;
2) оказывает содействие Ответственному лицу в выполнении им своих
обязанностей;
3) организует устранение выявленных нарушений законодательства
Российской Федерации, локальных нормативных актов Оператора, а также причин
и условий, способствовавших совершению нарушений;
4) организует рассмотрение случаев причинения вреда и выплату
компенсаций.
3.4. Работники Оператора:
1) оказывают содействие Ответственному лицу в выполнении им своих
обязанностей;
2) незамедлительно доводят до сведения своего непосредственного
руководителя и Ответственного лица сведения обо всех случаях причинения вреда
другими работниками Оператора и другими лицами в рамках осуществления
обработки персональных данных Оператором.
4. Заключительные положения
4.1. Вопросы, касающиеся процедур, направленных на выявление причин,
которые могут повлечь причинение вреда субъекту персональных данных и (или)
Оператору и их предотвращение, а также на устранение последствий такого вреда
при обработке персональных данных, не нашедшие отражения в настоящем
Положении, регулируются в соответствии с действующим законодательством
Российской Федерации.
4.2. В случае принятия нормативных правовых актов по вопросам,
касающимся процедур, направленных на выявление причин, которые могут
повлечь причинение вреда субъекту персональных данных и (или) Оператору и их
предотвращение, а также на устранение последствий такого вреда при обработке
персональных данных, содержащих иные нормы по сравнению с настоящим
Положением, в части возникающего противоречия применяются указанные
нормативные правовые акты.

5

Лист ознакомления с приказом от 10.03.2023 № 149:
ФИО

Должность

Дата

Подпись