Распоряжение Министерства образования Московской области от 29.12.2023 N Р-1194 "О Политике оператора в отношении обработки персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области"

1. Утвердить прилагаемую Политику оператора в отношении обработки персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области (далее - Политика).

2. Управлению цифровизации образования, информационной безопасности и ИТ-инфраструктуры обеспечить:

1) обработку персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области (далее - ИСУОД) в соответствии с Политикой;

2) размещение Политики на официальном сайте ИСУОД в информационно-телекоммуникационной сети "Интернет" (https://authedu.mosreg.ru/mo/).

3. Контроль за выполнением настоящего распоряжения возложить на заместителя министра образования Московской области Никитина Е.О.

Заместитель министра образования Московской области

Е.О. Никитин

УТВЕРЖДЕНА
распоряжением
Министерства образования
Московской области
от 29.12.2023 N Р-1194

Политика
оператора в отношении обработки персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области

I. Общие положения

1. Политика оператора в отношении обработки персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области (далее соответственно - Политика, ИСУОД) разработана в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ИСУОД.

2. Определения, используемые в Политике:

ИСУОД - Единая информационная система учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области, расположенная по адресу https://authedu.mosreg.ru/mo/.

Субъект персональных данных (Пользователь) - любой авторизованный посетитель портала ИСУОД.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или неопределенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных (ИСУОД) и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор - Министерство образования Московской области (юридический адрес: 143401, Московская область, г. Красногорск, бульвар Строителей, дом 7, ОГРН: 1027739119121, ИНН 7706009270).

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю портала ИСУОД.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

II. Права и обязанности лиц, участвующих в обработке персональных данных

3. Оператор имеет право:

получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

осуществлять обработку персональных данных субъекта персональных данных в соответствии с требованиями Закона о персональных данных.

4. Оператор обязан:

предоставлять субъектам персональных данных по их просьбе информацию, касающуюся обработки их персональных данных;

организовывать обработку персональных данных в порядке, установленном Законом о персональных данных;

отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;

сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

публиковать и иным образом обеспечивать неограниченный доступ заинтересованным лицам к настоящей Политике;

принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

исполнять иные обязанности, предусмотренные Законом о персональных данных.

5. Субъекты персональных данных имеют право:

получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Сведения предоставляются субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

на отзыв согласия на обработку персональных данных;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

на осуществление иных прав, предусмотренных законодательством Российской Федерации.

6. Субъекты персональных данных обязаны:

предоставлять Оператору достоверные данные о себе;

сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

7. Субъекты персональных данных, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

III. Обработка персональных данных

8. Перечень персональных данных, на обработку которых субъектом персональных данных дается согласие:

Данные ребенка	Данные родителя (законного представителя)
1. Фамилия	1. Фамилия
2. Имя	2. Имя
3. Отчество	3. Отчество
4. Дата рождения	4. Дата рождения
5. Пол	5. Пол
6. Гражданство	6. Гражданство
7. Место рождения	7. СНИЛС
8. Адрес регистрации по месту жительства	8. Реквизиты документа, удостоверяющего личность (тип документа, серия и номер, дата и место выдачи, кем выдан)
9. Адрес регистрации по месту пребывания	9. Контактная информация (телефон, email)
10. Адрес фактического места жительства	10. Тип заявителя
11. Информация о трудной жизненной ситуации	11. Документ, удостоверяющий положение законного представителя по отношению к ребенку
12. Реквизиты свидетельства о рождении (серия и номер, дата и место выдачи, кем выдано, тип документа)	12. Внутренний идентификатор родителя
13. Реквизиты документа, удостоверяющего личность (тип документа, серия и номер, дата и место выдачи, кем выдан)	13. Тип законного представителя (родитель/законный представитель)
14. Полис обязательного медицинского страхования (номер полиса ОМС)
15. Уникальный идентификатор ФИАС адреса
16. Дата принятия в образовательную организацию
17. Образовательная организация (наименование)
18. Информация о классе, параллели, букве, где обучается ребенок
19. Уровень обучения (основное общее образование, среднее профессиональное образование)
20. Форма обучения (очная, очно-заочная, заочная и (или) иная форма обучения)
21. Финансирование (бюджетная основа/внебюджетная основа)
22. Учебный год
23. Внутренний идентификатор ребенка
24. Группа здоровья
25. Физкультурная группа
26. Контактная информация (телефон, email)
27. СНИЛС
28. Наличие потребностей в адаптированной программе обучения
29. Тип заявителя

9. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Передача (распространение, предоставление, доступ) персональных данных, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

IV. Цели обработки персональных данных

10. Целями обработки персональных данных в ИСУОД являются:

1) предоставление доступа к унифицированному сервису электронных журналов, дневников и иным подсистемам и сервисам ИСУОД;

2) оказание услуг по технической и консультационной поддержке пользователей ИСУОД.

V. Условия обработки персональных данных

11. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

12. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства Российской Федерации в области защиты персональных данных.

13. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным

14. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его законного представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

15. Оператор обязан предоставить безвозмездно субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

16. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

17. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:

в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;

в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

18. При наступлении обстоятельств, предусмотренных пунктом 17 Политики, Оператор обязан уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

19. В случаях, предусмотренных Законом о персональных данных, обработка персональных данных может быть продолжена Оператором после отзыва субъектом персональных данных согласия на обработку его персональных данных.