В конце страницы к этому курсу прилагается сертификат и удостоверение
Цель: совершенствование компетенции или получение новой компетенции в области обработки и защиты персональных данных в образовательных организациях, необходимой для профессиональной деятельности.
Объём: 36 часов.
Формируемые компетенции:
С 1 сентября 2022 года действуют новые нормы Закона о персональных данных. Сократился перечень операторов, освобождённых от подачи уведомления о начале обработки персональных данных. Уточнены требования к локальным актам оператора и согласиям. Сократился срок ответа на запрос субъекта персональных. Введена обязанность взаимодействия с государственной системой информационной безопасности и сообщения об информационных атаках.
Уведомление о начале обработки персональных данных
В списке исключений осталось только три пункта. Уведомление не направляют, если:
Изменился перечень сведений, которые надо указывать в уведомлении. Но новую форму документа не утвердили, поэтому можно использовать старую из приказа Роскомнадзора от 30.05.2017 № 94 или заполнить уведомление на портале Роскомнадзора.
Локальные акты
Требования к локальным актам оператора стали более детальными. Для каждой цели обработки персональных данных в акте надо изложить:
В локальных актах не должно быть положений, ограничивающих права субъектов персональных данных или возлагающих на операторов не предусмотренные законодательством полномочия и обязанности.
Согласие на обработку персональных данных
Согласие на обработку персональных данных должно быть конкретным, информационным, сознательным, предметным, однозначным.
Но в документе по-прежнему надо указать конкретную цель обработки, перечень данных, которые будете обрабатывать, субъекта персональных данных и оператора обработки.
Сроки ответа
Сроки ответа субъекту персональных данных по вопросам обработки его данных или ее приостановки сократились до 10 рабочих дней. До этого ответ можно было дать в течение 30 дней или в произвольный срок.
Сейчас продлить срок можно максимум на пять рабочих дней. Для этого направляется мотивированное уведомление субъекту персональных данных, в котором указываются причины продления.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
Операторы обязаны обеспечить взаимодействие в ГосСОПКА. Порядок этого взаимодействия должна определить ФСБ.
В систему нужно подавать информацию о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных. Дополнительно нужно уведомлять Роскомнадзор.
Школы и детские сады обрабатывают персональные данные учащихся и воспитанников, родителей, работников и физических лиц, которые выполняют работы по договорам подряда, оказывают услуги.
К персональным данным можно отнести любую совокупность информации о конкретном человеке (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). По режиму обработки их делят на общие и специальные.
Специальные – информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Закона № 152-ФЗ). Школа и детский сад вправе обрабатывать ее только с согласия субъекта.
Общие персональные данные – все остальные. Обрабатывать их можно и без согласия, но только в границах, установленных законодательством (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).
Виды информации с персональными данными
Категория биометрических персональных данных, которые в школах и детских садах обрабатывать нельзя
Отдельно выделяют категорию биометрических персональных данных. Они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором только с этой целью (ч. 1 ст. 11 Закона № 152-ФЗ).
Биометрические персональные данные обрабатывают только с личного письменного согласия субъекта. В связи с этим Роскомнадзор и Минцифры решили, что в образовательных организациях такие данные обрабатывать нельзя, потому что несовершеннолетние не вправе давать на это письменное согласие (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).
Без него обрабатывать биометрию можно только, чтобы
Какие данные не относятся к персональным
К персональным данным не относят обезличенную информацию. Она не дает возможности точно определить человека, хоть и содержит некоторые сведения о нем – например, возраст или район проживания.
Но в совокупности формально обезличенной информации бывает достаточно, чтобы понять, о ком идет речь.
Например, если написать отдельно “директор школы” и “житель села такого-то”, то сведений будет недостаточно. А если эти данные указать вместе, то человека легко определить, если в населённом пункте одна школа. Тогда суды и проверяющие не признают информацию обезличенной и отнесут её к персональным данным.
Субъекты данных: ученики и воспитанники
Документы:
Персональные данные, содержащиеся в этих документах:
Субъекты данных: родители
Документы:
Персональные данные, содержащиеся в этих документах:
Субъекты данных: работники
Документы:
Персональные данные, содержащиеся в этих документах:
Субъекты данных: физические лица, выполняющие работы по договорам подряда, оказывающие услуги
Документ: Гражданско-правовой договор
Персональные данные, содержащиеся в этих документах:
Субъекты данных: физические лица, сотрудничающие с организацией в рамках некоммерческой совместной деятельности – просветительских мероприятий и т.п.
Документы:
Персональные данные, содержащиеся в этих документах:
Обрабатывать персональные данные можно только в целях, которые установлены в законодательстве или локальных актах (ч. 2, 4–6 ст. 5 Закона № 152-ФЗ). Цели обработки должны быть отражены в политике, так как с этим документом должны быть знакомы все, кто взаимодействует с вашей организацией.
Если цель не закрепили, то собирать персональные данные для нее нельзя. Например, обрабатывать личную информацию о кандидатах, если в политике указали, что собираете данные, чтобы регулировать трудовые отношения с работниками. Кандидат – еще не работник школы.
Чтобы определить цели обработки персональных данных, нужно проанализировать деятельность образовательной организации в целом и направления деятельности структурных подразделений, отдельных должностных лиц.
Например, школы и детские сады обрабатывают персональные данные в целях:
При этом нельзя собирать избыточную информацию, иначе при проверке будет выписано предписание.
Так, при приёме на работу нельзя брать копии паспорта, диплома или другого документа об образовании. Суды и прокуратура признают эти документы избыточной информацией. Проверяющие могут оштрафовать по части 1 статьи 13.11 КоАП: работника – на сумму от 10 тыс до 20 тыс руб., школу и детский сад – от 60 тыс до 100 тыс руб.
Работники, ответственные за работу с персональными данными, должны знать правила их обработки и трудовое законодательство.
В организации должен быть ответственный за обработку персональных данных. Он назначается приказом, в котором закрепляются полномочия ответственного, в том числе установленные в части 4 статьи 22.1 Закона № 152-ФЗ.
Ответственному поручают:
Ответственному необходимо:
Ответственный должен подготовить список работников, которым нужен доступ к персональным данным.
Руководителю необходимо проверить, чтобы в трудовых договорах и должностных инструкциях были обязанности по обработке и защите персональных данных в соответствии законодательством. Список утверждается приказом.
Примерный перечень работников, которые обрабатывают персональные данные
Для школы:
Для детского сада:
Работники из списка должны подписать обязательство о неразглашении персональных данных, которые им или станут известны во время работы. Их необходимо предупредить, что за разглашение персональных данных предусмотрена ответственность, в том числе уголовная.
Ответственный за обработку персональных данных знакомит работников с законодательством о персональных данных и документами образовательной организации в этой сфере. По итогам оформляется лист ознакомления (Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).
Если персональные данные обрабатываются без средств автоматизации, ответственный должен проинформировать об этом работников, а также сообщить им категории данных, особенности и правила их обработки.
Роскомнадзор нужно уведомить о том, что организация обрабатывает персональные данные (ч. 1 ст. 22 Закона № 152-ФЗ). Фактически это надо сделать сразу после создания организации.
Можно не уведомлять об обработке, если
То есть школа и детский сад всегда обязаны подавать уведомления в территориальное управление Роскомнадзора. Это делается один раз.
Если уведомление уже отправляли, повторно его отправлять не нужно.
Ответственный за обработку персональных данных заполняет форму из
Чтобы составить уведомление, поручите ответственному заполнить форму из приложения 1 к приказу Роскомнадзора от 30.05.2017 № 94. Она оформляется на бланке организации (п. 3.1.13 Методических рекомендаций, утв. приказом Роскомнадзора от 30.05.2017 № 94).
Можно заполнить уведомление на портале Роскомнадзора. Документ можно отправить одним из трех способов:
С 01.09.2022 в уведомлении надо указать:
Роскомнадзор планирует заменить формы уведомлений. Тогда ответственный должен уточнить сведения и направить информационное письмо о внесении изменений в Реестр операторов, осуществляющих обработку персональных данных.
Письмо направляется каждый раз, когда меняются сведения, о которых сообщали Роскомнадзору, – в течение 10 рабочих дней (ч. 7 ст. 22 Закона № 152-ФЗ).
Для этого заполняется электронная форма на портале Роскомнадзора или образец из приложения № 2 к приказу Роскомнадзора от 30.05.2017 № 94.
Ответственный должен руководствовать
Поручите ответственному руководствоваться методическими рекомендациями, утвержденными приказом Роскомнадзора от 30.05.2017 № 94. В них есть пояснения, как заполнить документы.
Чтобы проверить, какие данные вы направляли в Роскомнадзор и надо ли их скорректировать, зайдите в Реестр операторов, обрабатывающих персональные данные. Ведомство вносит все сведения туда. Достаточно вписать в графы запроса название или ИНН школы или детского сада.
Если не уведомить Росмонадзор об обработке персональных данных или не актуализировать поданные сведения, организацию оштрафуют. Ответственного за обработку ПД и образовательную организацию привлекут к административной ответственности по статье 19.7. КоАП. Штраф для работника составит от 300 до 500 руб., для организации – от 3 тыс. до 5 тыс. руб.
Образовательная организация должна утвердить правила, по которым, по которым собирает и обрабатывает персональные данные, − политику.
Документ нужен для информирования граждан о том, как организация работает с их персональными данными. К Политике должен быть доступ для всех. Её нужно разместить на сайте организации в разделе «Обработка персональных данных» или «Информационная безопасность».
Политику обработки персональных данных подготавливает ответственный. К разработке можно привлечь и других работников, участвующих в обработке данных: секретаря, специалиста по кадрам, бухгалтера, – чтобы учесть особенности делопроизводства и оценить потенциальные конфликтные ситуации.
Ответственный должен ориентироваться на рекомендации Роскомнадзора от 27.07.2017 и обновленные нормы Закона № 152-ФЗ.
По законодательству для каждой цели обработки персональных данных в политике нужно указать:
Эти сведения составляют большую часть содержания примерной политики, предложенной Роскомнадзором. Существующую политику нужно скорректировать, изменить структуру документа: общие разделы оставить, остальные объединить в подразделы по каждой цели обработки персональных данных. Подразделы можно оформить в виде таблицы.
Новые требования нужно применить и к остальным локальным актам по вопросам обработки персональных данных, чтобы обезопасить себя от замечаний проверяющих.
Политика утверждается приказом или грифом «Утверждаю»
Пример политики обработки ПД для ДОО
Пример политики обработки ПД для школы
Если персональные данные собираются через интернет обязательно опубликуйте Политику на сайте образовательной организации. Файл или страница с Политикой должны быть, если на сайте есть формы обратной связи с вводом персональных данных. Также надо разместить сведения о реализуемых требованиях к защите ПД – положение о защите, план мероприятий по соблюдению законодательства и защите ПД (ч. 2 ст. 18.1 Закона № 152-ФЗ).
Положения нужны, чтобы детализировать обработку и меры защиты ПД (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ, п. 10 ст. 86 ТК). Должны быть и Политика, и положения, так как они не могут заменить друг друга.
Типовой формы положения нет, как и рекомендаций по его подготовке. Содержание определяется самостоятельно с соблюдением требований пункта 2 части 1 статьи 18.1 Закона № 152-ФЗ:
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности…
Нужно составить отдельные положения по обработке ПД работников, детей и родителей, потому что отношения между ними и образовательной организацией регулируют разные законы.
Положение об обработке ПД обучающихся, воспитанников и родителей готовит ответственный.
Положение для сотрудников составляется иначе. Трудовой кодекс требует, чтобы образовательная организация разрабатывала меры по защите их персональных данных совместно с ними (п. 10 ст. 86 ТК). Есть два варианта, чтобы соблюсти требование:
1) создать комиссию по разработке положения и включить в нее представителей общего собрания работников или профкома;
2) согласовать проект положения на заседании общего собрания работников.
Если создаётся комиссия, общее собрание сотрудников выбирает одного или нескольких представителей для подготовки положения. Они включаются в комиссию вместе с ответственным за обработку ПД и специалистом по кадрам. Если есть профком, в комиссию войдёт его представитель.
Без комиссии положение составляет ответственный за обработку ПД. Подготовленный проект положения согласуется с общим собранием работников и утверждается. Если появятся возражения, ответственный дорабатывает положение.
Положение об обработке ПД учащихся и воспитанников не нужно согласовывать с органами управления необязательно, но нужно учесть мнение детей и их родителей (ч. 3 ст. 30 Федерального закона от 29.12.2012 № 273-ФЗ).
Поэтому проект документа рассматривается на заседании управляющего совета, если в него входят представители родителей и учеников. Либо на заседании совета родителей и совета обучающихся. Окончательный вариант положения утверждается приказом или грифом «Утверждаю».
Работников необходимо ознакомить с положением об обработке их ПД под подпись (п. 8 ст. 86 ТК). Подписи нужно поставить в листе ознакомления или в журнале ознакомления с локальными актами.
Положение также нужно опубликовать на сайте в разделе «Информационная безопасность» в течение 10 рабочих дней с момента утверждения.
Ответственный разрабатывает формы документов для родителей и работников, потому что обработка ПД в большинстве случаев осуществляется только на основании согласия субъекта.
Обычное согласие на обработку ПД. Согласие должно соответствовать требования частей 1 и 4 статьи 9 Закона № 152-ФЗ.
В согласии указывают:
В Методических рекомендациях для общеобразовательных организаций по вопросам обработки ПД, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзор уточнил, что надо оформлять отдельное согласие на каждую цель обработки.
Обычно целей обработки в отношении одного лица немного. Два разных согласия нужно оформлять, когда один и тот же человек выступает в двух ролях. Например, учитель одновременно родитель и представляет ученика в одной и той же школе. Либо родитель одновременно является партнёром школы в просветительской деятельности.
Отдельные согласия оформляются для целей оформления мер соцподдержки и защиты детей.
Согласие на обработку ПД для распространения. Если ПД будут размещаться в общедоступном месте, например, на сайте, нужно составить другую форму согласия.
Это согласие должно соответствовать приказу Роскомнадзора от 24.02.2021 № 18. Форма должна содержать:
У сотрудников берут согласие на обработку ПД, которые не указаны в документах по трудовому законодательству. Для приёма на работу сотрудники предоставляют:
Согласие брать не нужно, если персональные данные используются только для обеспечения трудового процесса. Такое же правило действует, если персональные данные пересылаются третьему лицу или публикуются на сайте по требованию законодательства (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).
Согласие требуется, если будут обрабатываться другие данные:
По каждой цели нужно отдельное согласие. Работник может предоставить согласие на бумаге с собственноручной подписью или в электронном виде с электронной подписью (ч. 1, 4 ст. 9 Закона № 152-ФЗ).
Согласие на обработку персональных данных нужно брать не только у работников, но и у соискателей. Если соискатель разместил резюме на сайте или его представляет кадровое агентство, согласие не требуется (п. 5 разъяснений Роскомнадзора от 14.12.2012).
Персональные данные можно получить только у работника. Если их можно получить только у третьих лиц, нужно уведомить об этом работника и заручиться его письменным согласием (п. 3 ст. 86 ТК).
В уведомлении нужно указать, какие данные, где, каким способом и зачем будут запрашиваться, предупреждение о возможных последствиях отказа.
Третьи лица могут предоставить информацию о работнике только для целей, перечисленных в пункте 1 статьи 86 Трудового кодекса:
Для других целей работник сам должен запросить информацию у третьих лиц. Это могут быть, например, характеристики от предыдущих работодателей.
Работник имеет право в любое время отозвать согласие на обработку ПД (ч. 2 ст. 9 Закона № 152-ФЗ), составив заявление в произвольной форме.
Есть случаи, при которых обработка продолжается без согласия. Так, обработка продолжает в случае заключения с соискателем трудового или гражданско-правового договора.
Согласие не требуется, чтобы
По закону работник не обязан давать согласие на обработку персональных данных, поэтому нельзя отказывать в заключении трудового договора, увольнения или привлечения к дисциплинарной ответственности, если согласие было отозвано.
Работник не предоставил ПД о членах семьи для личной карточки.
Можно оставить сведения незаполненными. Данные о родственниках нельзя требовать на основании ч. 1 ст. 9 Закона № 152-ФЗ, п. 3 ст. 86 ТК.
Сотрудник может написать письменный отказ в форме заявления, если сведения нужны для заполнения документов, которые требует учредитель или другие ведомства. Отказ можно зафиксировать актом. Акт и заявление оформляются в произвольной форме.
Информация, которую можно разместить на сайте без согласия
На сайте без согласия можно разместить информацию, указанную в статье 29 Закона об образовании:
Конкретная информация содержится в пункте 11 Правил, утвержденных постановлением Правительства от 20.10.2021 № 1802 и пункт 3.6 Требований, утвержденных приказом Рособрнадзора от 14.08.2020 № 831.
На сайте публикуются:
Фотографии педагогов, подробные биографии, описание профессионального пути работников, достижения, участие конкурсах и другая информация размещаются на сайте только с их согласия.
Согласие работника для оформления зарплатной карты
В этом случае согласие брать не требуется, если об этом указано в договоре с работником, коллективном договоре или есть доверенность. Работодатель может передать банку ПД работника без согласия, если:
Об этом говорится в совместных рекомендациях для школ, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059. Детские сады тоже могут ориентироваться на эти методические рекомендации.
Родители должны дать согласие на обработку их персональных данных и данных детей для оформления действия сверх реализации образовательной программы.
Так, для зачисления в детский сад согласие брать не надо, потому что это реализация госуслуги. Но при зачислении в школу согласие брать надо, потому что это установлено в порядке приёма. Согласие на обработку персональных данных в форму заявления о зачислении (п. 24 Порядка приема в школу).
Согласие надо брать всегда, если необходимы дополнительные сведения. Например, это необходимо сделать при оформлении льготы по оплате или обработке сведений о конкурсах и олимпиадах, которые проводят другие организации.
Согласие дает один из родителей (ч. 6 ст. 9 Закона № 152-ФЗ). Если заявление о зачислении пишут оба родителя, согласие должен дать каждый.
Если один из родителей не хочет давать согласие на публикацию фото ребёнка на сайте или по другому поводу, то необходимо дождаться, когда родители придут к единому мнению. Пока этого не произойдёт, персональные данные ребёнка обрабатываются по минимуму.
Если цель обработки данных одна, можно взять одно согласие на обработку ПД родителей и ребёнка. По закону отдельные согласия берутся на разные цели обработки ПД (ст. 9).
Если ребёнка будут забирать другие родственники, они тоже должны дать согласие на обработку ПД. Его можно оформить отдельной строкой в заявлении. От родственников достаточно получить ограниченные данные, позволяющие определить их как лиц, которые могут забирать ребёнка: ФИО, контактный телефон.
При отзыве родителем согласия на обработку ПД или данных ребёнка нужно сразу прекратить их обработку и удалить. Так, по требованию родителей нужно убрать фото с сайта.
Родители имеют право отозвать согласие в любое время (ч. 2 ст. 9 Закона № 152-ФЗ). Но им нужно разъяснить последствия отказа и попросить подать письменное заявление. Для этого используется та же форма отзыва, которую составляют для сотрудников.
Согласие не требуется при обработке любых статистических или обезличенных данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ), а также, если:
Можно ли не брать согласие для размещения фотографии ребёнка при проведении внутреннего мероприятия?
Можно, если размещается фото с общим планом и изображением нескольких людей. При портретной съёмке необходимо взять согласие. В этом случае ребёнок на фото – основной объект изображения (ст. 152.1 ГК).
Нужно ли согласие, если надо разместить сканы грамот обучающихся на сайте?
Согласие нужно взять в соответствии с ч. 1 ст. 6 Закона № 152-ФЗ.
Отсканированная копия грамоты содержит Ф. И. О., группу, класс, название мероприятия.
Существует мнение, что нельзя ограничивать к распространению информацию о достижениях, но оно ошибочно. Субъект имеет право не раскрывать о себе любую информацию. Поэтому можно опубликовать только обезличенные данные. Скан можно обезличить, стерев ФИО ребёнка.
Нужно ли согласие на передачу ПД детей сторонней организации, которая обеспечивает функционирование электронного журнала и дневника?
В этом случае согласие не нужно. Оператор по закону о ПД имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (ч. 3 ст. 6 Закона № 152-ФЗ).
Но в законе нет указания, что за субъекта может дать согласие его представитель, как, например, в части 1 статьи 9 Закона. Это значит, что согласие можно получить только с дееспособных лиц. Большинство учащихся не являются такими.
Роскомнадзор и Минкомсвязи разъяснили, что ведение электронного журнала и дневника – реализация государственной услуги в соответствии с пунктом 8 приложения 1 к распоряжению правительства от 17.12.2009 № 1993-р. На это получать согласие не надо (письмо Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059). Поэтому школе не надо получать согласие родителей на функционирование электронного журнала и дневника.
В детском саду и школе необходимо обеспечить безопасное хранение персональных данных. Для этого организуется физическая и электронная защита информации и устанавливаются сроки хранения.
В законодательстве нет требований к помещениям для хранения персональных данных. Но хранение должно быть организовано так, чтобы в помещение могли входить только работники, которые занимаются обработкой ПД.
Так, если приёмная, где работает секретарь, не запирается, он должен убирать документы с персональными данными в запирающиеся помещения, например, в кабинет руководителя или заместителя.
Бумажные документы хранятся в сейфах или шкафах с замками. Некоторые документы, например, по воинскому учёту, организации должны хранить в железных шкафах (п. 21 Методических рекомендаций Минобороны от 11.07.2017).
Документы, с которыми работа завершена, нужно сдать в архив. Раздельно надо хранить персональные данные, если они обрабатываются в разных целях. Не стоит смешивать документы по трудовым вопросам с заявлениями и приказами по образовательной деятельности.
Секретарь сразу должен оформлять документы в дела и хранить в разных шкафах (п. 14 Положения, утв. постановлением Правительства от 15.09.2008 № 687).
Условия хранения устанавливаются в положении об обработке ПД (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687). Места хранения документов и других носителей персональных данных закрепляются приказом.
Классные журналы нужно хранить в запираемом шкафу в учительской. Журналы могут брать только те педагоги, которые проводят уроки.
Для ознакомления родителей с оценками ребёнка, их нужно выписать на отдельный листок и отдать лично в руки либо сделать копию с журнала, закрыв строки с данными других обучающихся.
Если родитель хочет получить информацию, за что ребёнок получил оценку, об этом можно сказать устно.
Если журнал ведётся в электронном виде, оценки родители смогут посмотреть в электронном дневнике.
К электронным документам доступ должен быть только у тех сотрудников, которые указаны в положении об обработке ПД. Ответственный создаёт в локальной сети отдельные папки для каждой группы ПД: по приёму на обучение, трудовые документы, медицинские документы.
К каждой папке могут получить доступ только те сотрудники, которые утверждены приказом.
Специальные меры принимаются для обработки ПД в информационных системах (ИСПДн), к которым относится совокупность баз данных (п. 10 ст. 3 Закона № 152-ФЗ).
Если персональные данные вносятся только в электронные документы (в формате Word, Exel, PDF), то это не считается обработкой с помощью ИСПДн.
Для разработки мер защиты персональных данных в ИСПДн нужно определить угрозы безопасности. Для этого проводится обследование системы (п. 7 Требований, утв. постановлением Правительства от 01.11.2012 № 1119) с привлечением специализированной организации.
Сотрудники организации составляют акты и модель угроз, готовят инструкции для администраторов и пользователей системы, устанавливают технические средства защиты.
Затем определяются правила доступа к персональным данным в ИСПДн в локальном акте – в положении об обработке персональных данных, организуется контроль за помещением с серверами, в которое могут иметь доступ только сотрудники, утверждённые приказом.
На компьютеры необходимо установить технические средства защиты информации и (п. 13 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).
Персональные данные хранятся, пока не будет достигнута цель обработки. Исключение составляют данные, для которых федеральные законы или договоры, стороны, выгодоприобретатели или поручители устанавливают другие сроки (ч. 7 ст. 5 Закона № 152-ФЗ).
Так, статья 230 ТК РФ устанавливает сроки хранения актов о несчастном случае на производстве, а статья 23 НК РФ – налоговых документов. Чтобы не было замечаний от проверяющих, к целям обработки ПД нужно указать сроки хранения, установленные законодательством и локальными актами. В номенклатуре дел нужно указать сроки хранения по закону или установить сроки самостоятельно.
Реформа в сфере проверок сместила акцент на предупреждение нарушений. Организация внутреннего контроля позволит избежать ошибок и подготовиться к проверке в любое время.
Требований к внутреннему контролю законодательно не установлено. Есть лишь указание, что оператор должен его организовать (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).
Нужно принять положение о внутреннем контроле и сформировать комиссию, которая должна проводить мероприятия по плану и оформлять итоговые документы, а также своевременно устранять выявленные нарушения. Если обнаружатся информационные атаки и утечки персональных данных, нужно сообщить об этом Роскомнадзору и по системе ГосСОПКА.
В положении закрепляются:
Руководитель назначает ответственных за контроль обработки персональных данных и объединяет их в комиссию. Так проще взаимодействовать и совместно анализировать итоги контроля.
Это оформляется приказом. Председателем назначается руководитель или заместитель.
В комиссию включаются сотрудники, которые организуют обработку персональных данных в детском саду и школе. Это могут быть специалисты по кадрам, секретарь, заместитель руководителя.
Члены комиссии проводят внутренние контрольные мероприятия в рамках направлений, которые связаны с должностными обязанностями. Так, специалист по кадрам проверяет содержание личных дел сотрудников, наличие в них согласий и отзывов на обработку персональных данных, порядок хранения документов.
Дополнительно утверждается график внутреннего контроля, который оформляется приложением к приказу или отдельным документом.
Также устанавливаются документы, которые оформляются по итогам внутренних проверок. Комиссия может составить общий акт после завершения контрольных мероприятий за отчётный период. Каждый член комиссии вправе написать докладную записку по итогам мероприятия, которое проводил.
Если по итогам внутреннего контроля выявили несоответствие требованиям Закона от 27.07.2006 № 152-ФЗ, устраните нарушения.
Школы и детские сады должны следить, чтобы не было несанкционированного доступа к ПД. Также надо принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн (п. 6 ч. 2 ст. 19 Закона № 152-ФЗ).
Для этого с сентября 2022 года каждый оператор обязан взаимодействовать с системой ГосСОПКА. Правил взаимодействия пока не приняли – их утвердит ФСБ.
Вместе с Роскомнадзором они также установят порядок передачи информации об атаках и утечке ПД (ч. 12-14 ст. 19 Закона № 152-ФЗ).
Если была неправомерная или случайная передача персональных данных, и это повлекло нарушение прав субъектов данных, сообщите в Роскомнадзор:
Требование установили в части 3.1 статьи 21 Закона № 152-ФЗ.
Уведомление об утечке персональных данных можно заполнить в электронной форме на сайте Роскомнадзора. Такое информирование позволит повысить уровень защищенности личной информации граждан и оперативно реагировать на факты компрометации данных.
Персональные данные гражданина можно передавать третьим лицам только с его согласия (п. 3 ст. 3, ч. 1 ст. 6 Закона № 152-ФЗ, абз. 2 ч. 1 ст. 88 ТК).
Перед этим нужно предупредить третье лицо о том, что персональные данные можно использовать только в тех целях, для которых их сообщили, получив письменное подтверждение.
Если ПД будут переданы без согласия сотрудника/гражданина, он имеет право привлечь образовательную организацию к гражданско-правовой, административной и уголовной ответственности – в зависимости от тяжести последствий. Однако в некоторых случаях можно передавать персональные данные без согласия. В таблице указано, когда это можно делать.
Передача персональных данных без согласия владельца
Получатель | При каком условии передавать | Основание |
Третьи лица | Если нужно предупредить угрозу жизни и здоровью работника. Если работник исполняет должностные обязанности, в том числе направлен в командировку | Абз. 2 ч. 1 ст. 88 ТК Абз. 4 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
Социальный фонд | По запросу и для исполнения требований законодательства | Абз. 3 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
Налоговые органы, военные комиссариаты | Абз. 5 п. 4 разъяснений Роскомнадзора от 24.12.2012 | |
Профсоюзы | По запросу, для контроля за соблюдением работодателем трудового законодательства | Абз. 5 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
Органы прокуратуры, правоохранительные органы и органы безопасности | По мотивированному запросу | Абз. 7 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
ГИТ | По запросу во время надзорно-контрольной деятельности | Абз. 3 ч. 1 ст. 357 ТК Абз. 7 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
Органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом | Если произошел тяжелый несчастный случай, в том числе со смертельным исходом | Абз. 5 ст. 228 ТК |
Банк, обслуживающий платежные карты работников | Если в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) предусмотрено право работодателя передавать персональные данные работников | Абз. 10 п. 4 разъяснений Роскомнадзора от 24.12.2012 |
Суд | По запросу | Из анализа ч. 4–7 ст. 66 АПК, ч. 1, 2 ст. 57 ГПК |
Ответственный должен оформить и вести журнал учёта передачи персональных данных. Он нужен при проверках Роскомнадзора и в случае спора с сотрудниками.
В журнале фиксируется информация о том, кому ответственный выдаёт документы, содержащие персональные данные, отмечать, какие документы выданы, указывать дату передачи или уведомления об отказе.
Субъекты персональных данных могут обратиться с запросом, какие данные и как обрабатывает детский сад и школа (ст. 14 Закона № 152-ФЗ). В инструкцию по делопроизводству, положение об обработке ПД или политику обработки персональных данных нужно добавить шаблон запроса.
Отвечать на запрос субъекта ПД необходимо в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней. В это случае субъекту направляется мотивированное уведомление. В уведомлении указываются причины, по которым не нет возможности предоставить запрашиваемую информацию в установленный срок (ч. 1 ст. 20 Закона № 152-ФЗ).
Если запрос направляет Роскомнадзор, действия такие же (ч. 4 ст. 20 Закона № 152-ФЗ).
Образовательная организация передала ПД бывшего работника новому работодателю. Правомерно ли это?
Да, если у бывшего работодателя есть письменное согласие работника.
Работодатель вправе запрашивать информацию у третьей стороны, если не может получить ее у самого работника. В таком случае он должен оформить согласие работника (абз. 2 ч. 1 ст. 88 ТК). При этом предыдущий работодатель также должен получить письменное согласие гражданина на передачу его персональных данных новому работодателю (п. 3 ст. 3, ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).
Персональные данные обезличивают после того, как были достигнуты цели их обработки, но нужно использовать сведения далее в статистических или исследовательских целях (ч. 7 ст. 5, п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).
Для этого данные изменяют таким образом, чтобы без дополнительной информации нельзя было определить их принадлежность (п. 9 ст. 3 Закона № 152-ФЗ).
Роскомнадзор утвердил методы обезличивания данных, которые обрабатывают в ИСПДн (приказ от 05.09.2013 № 996). Эти методы можно использовать, даже если не используется ИСПДн. Выбирается один или несколько методов:
Требования к обезличиванию закрепляется в положении об обработке персональных данных или порядке их уничтожения. В нём указывается, кто и как должен проводить обезличивание.
Например, порядок обезличивания персональных данных может быть таким:
5.1. В случае невозможности уничтожения персональных данных они подлежат обезличиванию, в том числе для статистических и иных исследовательских целей.
5.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
5.3. Ответственным за обезличивание персональных данных является работник, ответственный за организацию обработки персональных данных.
5.4. Решение о необходимости обезличивания персональных данных и способе обезличивания принимает ответственный за организацию обработки персональных данных.
При достижении целей обработки персональных данных их уничтожают. Это могут быть следующие случаи: увольнение сотрудника, переход обучающегося из детского сада в школу (ч. 7 ст. 5 Закона № 152-ФЗ).
Есть случаи, когда оператор обязан уничтожить данные по другим причинам. От случая зависят сроки уничтожения. Они указаны в таблице.
Ситуации и сроки уничтожения персональных данных
Когда уничтожать | Срок уничтожения | Основание |
Гражданин требует уничтожить свои данные, полученные незаконно или не являющиеся необходимыми для заявленной цели обработки | 7 рабочих дней с момента поступления требования | Ч. 3 ст. 20 Закона № 152-ФЗ |
Гражданин требует уничтожить свои данные без причины | 10 рабочих дней с момента поступления требования. Можно продлить еще на 5, если есть причины | Ч. 5.1 ст. 21 Закона № 152-ФЗ |
Обнаружили, что неправомерно обрабатываете персональные данные | 10 рабочих дней с момента выявления нарушения | Ч. 3 ст. 21 Закона № 152-ФЗ |
Достигли цели обработки персональных данных | 30 дней с момента достижения цели | Ч. 4 ст. 21 Закона № 152-ФЗ |
Исключение: если закон или договор устанавливает другие сроки хранения | ||
Гражданин отзывает согласие на обработку персональных данных | 30 дней с момента поступления отзыва | Ч. 5 ст. 21 Закона № 152-ФЗ |
Исключение: если договор или соглашение между гражданином и образовательной организацией разрешает обрабатывать персональные данные без отдельного согласия, либо продолжается обработка данных на основе закона |
Персональные данные соискателя удаляются через 30 дней после отказа ему в приёме на работу. Такие разъяснения дали Минкомсвязи и Роскомнадзор в методических рекомендациях, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059.
Порядок уничтожения персональных данных устанавливается в положении об их обработке или оформляется отдельным локальным актом. В документах нужно указать, кто и в каких случаях уничтожает персональные данные, определить, какие способы для этого использовать (носители данных уничтожаются с помощью шредера).
Персональные данные должен уничтожать ответственный или комиссия, в которую можно включить ответственного, секретаря, заместителя руководителя. Ответственные и сроки устанавливаются приказом.
Ответственный или комиссия составляет перечень документов для уничтожения с учётом сроков хранения. По итогам уничтожения составляется акт, в котором указывают уничтоженные документы, время и способ уничтожения. Форма акта закрепляется в положении об обработке персональных данных или порядке их уничтожения.
Дисциплинарная
Возникает:
Может привлечь к ответственности образовательная организация как работодатель.
Педагог может получить дисциплинарное взыскание: замечание, выговор, увольнение.
Административная
Если работник нарушил требования законодательства о персональных данных:
Привлекают к ответственности представители правоохранительных и других надзорных органов.
В зависимости от тяжести правонарушения налагается предупреждение или штраф.
Материальная
Работник нарушил требования законодательства о персональных данных, что привело к материальному ущербу для работодателя: работник распространил информацию о гражданине, чем причинил гражданину моральный вред, который должна возместить образовательная организация. Организация удерживает сумму с работника.
Привлекает образовательная организация.
Работник возмещает ущерб в пределах своего среднего месячного заработка. Ущерб возмещается в полном размере по ст. 243 ТК, если работник умышленно нарушил правила обработки или незаконно разгласил ПД.
Гражданско-правовая
Работник нарушил нематериальные блага: право на здоровье, достоинство личности, честь и доброе имя, деловую репутацию, неприкосновенность частной жизни и другие (п. 2 ст. 150 ГК).
Привлекает субъект ПД, права которого нарушили.
Суд может потребовать от работника компенсировать ущерб и моральный вред.
Уголовная
Работник:
Суд определяет виновность, вид и размер наказания.
Возможные наказания (одно или несколько):
Меры административной ответственности
Меры уголовной ответственности
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК):
Неправомерный отказ в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК):
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ч. 1 ст. 272 УК):
Методические рекомендации для образовательных организаций по вопросам персональных данных
Рекомендации по составлению политики обработки персональных данных
Вы можете приобрести этот курс, выбрав один или несколько документов, подтверждающих освоение программы:
Печатный экземпляр отправляем Почтой России в течение 3 недель после оплаты. Стоимость - 1200 рублей.
Электронное удостоверение отправляем на электронную почту в течение 3 дней после оплаты. Стоимость - 700 рублей.
Электронный или электронный + печатный. Стоимость от 700 до 1200 рублей.
2020 — 2024 © Центр развития компетенций «Аттестатика» — все права защищены.