Курс для педагогов и руководителей о защите и обработке персональных данных

Занятие 1. Изменения в работе с персональными данными с 1 сентября 2022 года

С 1 сентября 2022 года действуют новые нормы Закона о персональных данных. Сократился перечень операторов, освобождённых от подачи уведомления о начале обработки персональных данных. Уточнены требования к локальным актам оператора и согласиям. Сократился срок ответа на запрос субъекта персональных. Введена обязанность взаимодействия с государственной системой информационной безопасности и сообщения об информационных атаках.

Уведомление о начале обработки персональных данных

В списке исключений осталось только три пункта. Уведомление не направляют, если:

• данные включены в государственные информационные системы персональных данных, созданные для защиты безопасности государства и общественного порядка;
• оператор обрабатывает данные без использования средств автоматизации;
• данные обрабатывают для транспортной безопасности.

Изменился перечень сведений, которые надо указывать в уведомлении. Но новую форму документа не утвердили, поэтому можно использовать старую из приказа Роскомнадзора от 30.05.2017 № 94 или заполнить уведомление на портале Роскомнадзора.

Локальные акты

Требования к локальным актам оператора стали более детальными. Для каждой цели обработки персональных данных в акте надо изложить:

• категории и перечень обрабатываемых персональных данных;
• категории субъектов, персональные данные которых обрабатываете;
• способы, сроки их обработки и хранения;
• порядок уничтожения при достижении целей обработки или по иным законным основаниям.

В локальных актах не должно быть положений, ограничивающих права субъектов персональных данных или возлагающих на операторов не предусмотренные законодательством полномочия и обязанности.

Согласие на обработку персональных данных

Согласие на обработку персональных данных должно быть конкретным, информационным, сознательным, предметным, однозначным.

Но в документе по-прежнему надо указать конкретную цель обработки, перечень данных, которые будете обрабатывать, субъекта персональных данных и оператора обработки.

Сроки ответа

Сроки ответа субъекту персональных данных по вопросам обработки его данных или ее приостановки сократились до 10 рабочих дней. До этого ответ можно было дать в течение 30 дней или в произвольный срок.

Сейчас продлить срок можно максимум на пять рабочих дней. Для этого направляется мотивированное уведомление субъекту персональных данных, в котором указываются причины продления.

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)

Операторы обязаны обеспечить взаимодействие в ГосСОПКА. Порядок этого взаимодействия должна определить ФСБ.

В систему нужно подавать информацию о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных. Дополнительно нужно уведомлять Роскомнадзор.

Занятие 2. Персональные данные, которые обрабатывают в детских садах и школах

Школы и детские сады обрабатывают персональные данные учащихся и воспитанников, родителей, работников и физических лиц, которые выполняют работы по договорам подряда, оказывают услуги.

К персональным данным можно отнести любую совокупность информации о конкретном человеке (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). По режиму обработки их делят на общие и специальные.

Специальные – информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Закона № 152-ФЗ). Школа и детский сад вправе обрабатывать ее только с согласия субъекта.

Общие персональные данные – все остальные. Обрабатывать их можно и без согласия, но только в границах, установленных законодательством (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).

Виды информации с персональными данными

• Фамилия, имя, отчество; паспортные данные; пол, возраст
• Биометрия: фотография и видеозапись, которые позволяют установить личность, запись голоса, рост, вес
• Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации
• Место жительства
• Семейное положение, наличие детей, родственные связи
• Факты биографии и предыдущей трудовой деятельности (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.)
• Финансовое положение, сведения о заработной плате
• Сведения, которые могут идентифицировать человека, например, татуировка

Категория биометрических персональных данных, которые в школах и детских садах обрабатывать нельзя

Отдельно выделяют категорию биометрических персональных данных. Они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором только с этой целью (ч. 1 ст. 11 Закона № 152-ФЗ).

Биометрические персональные данные обрабатывают только с личного письменного согласия субъекта. В связи с этим Роскомнадзор и Минцифры решили, что в образовательных организациях такие данные обрабатывать нельзя, потому что несовершеннолетние не вправе давать на это письменное согласие (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).

Без него обрабатывать биометрию можно только, чтобы

• осуществить правосудие и исполнить судебные акты,
• провести обязательную государственную дактилоскопическую регистрацию,
• а также в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством об обороне, оперативно-розыскной деятельности, о безопасности, противодействии терроризму и коррупции, транспортной безопасности, нотариате, порядке выезда из России и въезда в Россию, гражданстве РФ (ч. 2 ст. 11 Закона № 152-ФЗ).

Какие данные не относятся к персональным

К персональным данным не относят обезличенную информацию. Она не дает возможности точно определить человека, хоть и содержит некоторые сведения о нем – например, возраст или район проживания.

Но в совокупности формально обезличенной информации бывает достаточно, чтобы понять, о ком идет речь.

Например, если написать отдельно “директор школы” и “житель села такого-то”, то сведений будет недостаточно. А если эти данные указать вместе, то человека легко определить, если в населённом пункте одна школа. Тогда суды и проверяющие не признают информацию обезличенной и отнесут её к персональным данным.

Занятие 3. Перечень документов, в которых есть персональные данные

Субъекты данных: ученики и воспитанники

Документы:

1. Заявление о приеме.
2. Копия свидетельства о рождении ребенка.
3. Копия свидетельства о регистрации ребенка по месту жительства или месту пребывания.
4. Медицинская карта ребенка.
5. Рекомендация психолого-медико-педагогической комиссии.
6. Заключение и протоколы психолого-педагогического консилиума.
7. Справка-допуск после перенесенного заболевания.
8. Документы, которые образуются во время учебы, например, характеристики по результатам психолого-педагогической помощи, справки по результатам учебно-методической деятельности.
9. Распорядительные акты школы и детского сада.

Персональные данные, содержащиеся в этих документах:

1. Фамилия, имя, отчество.
2. Дата и место рождения.
3. Адрес места жительства.
4. Особенности ребенка, определяющие необходимость создания специальных условий.
5. Сведения о здоровье, диагноз.
6. Сведения о личных качествах, успеваемости.
7. СНИЛС.

Субъекты данных: родители

Документы:

1. Заявление о приеме.
2. Заявление на право забирать ребенка.
3. Заявление о переводе.
4. Договоры.

Персональные данные, содержащиеся в этих документах:

1. Фамилия, имя, отчество.
2. Дата и место рождения.
3. Адрес места жительства.
4. Паспортные данные.
5. Контакты – телефон, электронная почта.
6. Номер банковского счета и наименование банка.

Субъекты данных: работники

Документы:

1. Заявление о приеме на работу.
2. Резюме соискателя.
3. Документы об образовании и квалификации.
4. Трудовая книжка.
5. Трудовой договор.
6. Личная карточка.
7. Документы из личного дела.
8. Медицинское заключение, медкнижка и заключительный акт по итогам медосмотра.
9. Листок нетрудоспособности.
10. Справка 2-НДФЛ.
11. Распорядительные акты школы.

Персональные данные, содержащиеся в этих документах:

1. Фамилия, имя, отчество.
2. Пол, возраст.
3. Изображение.
4. Паспортные данные.
5. Дата и место рождения.
6. Адрес места жительства.
7. Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации.
8. Семейное положение, наличие детей, родственные связи.
9. Факты биографии и предыдущей трудовой деятельности.
10. Сведения о деловых и личных качествах.
11. Сведения о здоровье.
12. Сведения о заработной плате.
13. Номер банковского счета и наименование банка.
14. СНИЛС.

Субъекты данных: физические лица, выполняющие работы по договорам подряда, оказывающие услуги

Документ: Гражданско-правовой договор

Персональные данные, содержащиеся в этих документах:

1. Фамилия, имя, отчество.
2. Паспортные данные.
3. Адрес места жительства.
4. Номер банковского счета и наименование банка.

Субъекты данных: физические лица, сотрудничающие с организацией в рамках некоммерческой совместной деятельности – просветительских мероприятий и т.п.

Документы:

1. Договор, соглашение.
2. Согласие на обработку персональных данных.
3. Документы для допуска на территорию.

Персональные данные, содержащиеся в этих документах:

1. Фамилия, имя, отчество.
2. Паспортные данные.
3. Биографические данные – о трудовом стаже, научной и образовательной деятельности, достижениях и т.п.

Занятие 4. Цели обработки персональных данных

Обрабатывать персональные данные можно только в целях, которые установлены в законодательстве или локальных актах (ч. 2, 4–6 ст. 5 Закона № 152-ФЗ). Цели обработки должны быть отражены в политике, так как с этим документом должны быть знакомы все, кто взаимодействует с вашей организацией.

Если цель не закрепили, то собирать персональные данные для нее нельзя. Например, обрабатывать личную информацию о кандидатах, если в политике указали, что собираете данные, чтобы регулировать трудовые отношения с работниками. Кандидат – еще не работник школы.

Чтобы определить цели обработки персональных данных, нужно проанализировать деятельность образовательной организации в целом и направления деятельности структурных подразделений, отдельных должностных лиц.

Например, школы и детские сады обрабатывают персональные данные в целях:

• организации образовательной деятельности по основным образовательным программам общего образования, дополнительным общеобразовательным программам;
• ведения иных видов деятельности в соответствии с уставом;
• приема на работу и оформления трудовых отношений с работниками;
• реализации гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных;
• обеспечения безопасности.

При этом нельзя собирать избыточную информацию, иначе при проверке будет выписано предписание.

Так, при приёме на работу нельзя брать копии паспорта, диплома или другого документа об образовании. Суды и прокуратура признают эти документы избыточной информацией. Проверяющие могут оштрафовать по части 1 статьи 13.11 КоАП: работника – на сумму от 10 тыс до 20 тыс руб., школу и детский сад – от 60 тыс до 100 тыс руб.

Занятие 5. Сотрудники, работающие с персональными данными

Работники, ответственные за работу с персональными данными, должны знать правила их обработки и трудовое законодательство.

В организации должен быть ответственный за обработку персональных данных. Он назначается приказом, в котором закрепляются полномочия ответственного, в том числе установленные в части 4 статьи 22.1 Закона № 152-ФЗ.

Ответственному поручают:

• контролировать, как в детском саду или школе соблюдают законодательство о персональных данных;
• разъяснять работникам положения законодательства, локальных актов по вопросам обработки персональных данных, требования к их защите;
• организовывать и контролировать прием, обработку обращений и запросов субъектов персональных данных и их представителей;
• контролировать условия сохранности персональных данных.

Ответственному необходимо:

• передать сведения, которые касаются обработки персональных данных из уведомления для Роскомнадзора.
• перечислить цели обработки и средства защиты, которые используются в организации;
• сообщить, есть ли трансграничная передача данных в процессе их обработки;
• передать информацию о том, кто имеет доступ к персональным данным, содержащимся в государственных и муниципальных информационных системах (ч. 3 ст. 22.1 Закона № 152-ФЗ);
• разъяснить, что ответственный должен подчиняться непосредственно руководителю образовательной организации и получать от него указания (ч. 2 ст. 22.1 Закона № 152-ФЗ).

Ответственный должен подготовить список работников, которым нужен доступ к персональным данным.

Руководителю необходимо проверить, чтобы в трудовых договорах и должностных инструкциях были обязанности по обработке и защите персональных данных в соответствии законодательством. Список утверждается приказом.

Примерный перечень работников, которые обрабатывают персональные данные

 Для школы:

1. Директор
2. Специалист по кадрам
3. Секретарь
4. Педагоги
5. IT-специалист
6. Главный бухгалтер
7. Бухгалтер
8. Заместитель директора по учебно-воспитательной работе
9. Заместитель директора по воспитательной работе
10. Медсестра
11. Охранник

Для детского сада:

1. Заведующий
2. Секретарь
3. Педагоги
4. Помощники воспитателя
5. Бухгалтер
6. Старший воспитатель
7. Медсестра
8. Охранник

Работники из списка должны подписать обязательство о неразглашении персональных данных, которые им или станут известны во время работы. Их необходимо предупредить, что за разглашение персональных данных предусмотрена ответственность, в том числе уголовная.

Ответственный за обработку персональных данных знакомит работников с законодательством о персональных данных и документами образовательной организации в этой сфере. По итогам оформляется лист ознакомления (Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).

Если персональные данные обрабатываются без средств автоматизации, ответственный должен проинформировать об этом работников, а также сообщить им категории данных, особенности и правила их обработки.

Занятие 6. Оформление документов для обработки персональных данных

Уведомление Роскомнадзора

Роскомнадзор нужно уведомить о том, что организация обрабатывает персональные данные (ч. 1 ст. 22 Закона № 152-ФЗ). Фактически это надо сделать сразу после создания организации.

Можно не уведомлять об обработке, если

• данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка – например, портал госуслуг;
• не используются средства автоматизации и обработка осуществляется при непосредственном участии человека;
• речь идёт о случаях, предусмотренных законодательством о транспортной безопасности – для устойчивой и безопасной работы транспортного комплекса.

То есть школа и детский сад всегда обязаны подавать уведомления в территориальное управление Роскомнадзора. Это делается один раз.

Если уведомление уже отправляли, повторно его отправлять не нужно.

Ответственный за обработку персональных данных заполняет форму из

Чтобы составить уведомление, поручите ответственному заполнить форму из приложения 1 к приказу Роскомнадзора от 30.05.2017 № 94. Она оформляется на бланке организации (п. 3.1.13 Методических рекомендаций, утв. приказом Роскомнадзора от 30.05.2017 № 94).

Пример заполнения уведомления

Можно заполнить уведомление на портале Роскомнадзора. Документ можно отправить одним из трех способов:

• в бумажном виде;
• электронном виде с использованием усиленной квалифицированной электронной подписи;
• электронном виде с использованием средств аутентификации ЕСИА.

С 01.09.2022 в уведомлении надо указать:

• наименование и адрес оператора – школы или детского сада;
• цель обработки персональных данных;
• меры из статей 18.1 и 19 Закона № 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• Ф.И.О. работника, ответственного за организацию обработки ПД, номер его телефона, почтовый адрес и адрес электронной почты;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных, содержащей персональные данные граждан России;
• Ф.И.О. ответственного, который имеет доступ к ПД из государственных и муниципальных информационных систем;
• сведения об обеспечении безопасности ПД.

Роскомнадзор планирует заменить формы уведомлений. Тогда ответственный должен уточнить сведения и направить информационное письмо о внесении изменений в Реестр операторов, осуществляющих обработку персональных данных.

Письмо направляется каждый раз, когда меняются сведения, о которых сообщали Роскомнадзору, – в течение 10 рабочих дней (ч. 7 ст. 22 Закона № 152-ФЗ).

Для этого заполняется электронная форма на портале Роскомнадзора или образец из приложения № 2 к приказу Роскомнадзора от 30.05.2017 № 94.

Ответственный должен руководствовать

Поручите ответственному руководствоваться методическими рекомендациями, утвержденными приказом Роскомнадзора от 30.05.2017 № 94. В них есть пояснения, как заполнить документы.

Чтобы проверить, какие данные вы направляли в Роскомнадзор и надо ли их скорректировать, зайдите в Реестр операторов, обрабатывающих персональные данные. Ведомство вносит все сведения туда. Достаточно вписать в графы запроса название или ИНН школы или детского сада.

Если не уведомить Росмонадзор об обработке персональных данных или не актуализировать поданные сведения, организацию оштрафуют. Ответственного за обработку ПД и образовательную организацию привлекут к административной ответственности по статье 19.7. КоАП. Штраф для работника составит от 300 до 500 руб., для организации – от 3 тыс. до 5 тыс. руб.

Политика обработки персональных данных

Образовательная организация должна утвердить правила, по которым, по которым собирает и обрабатывает персональные данные, − политику.

Документ нужен для информирования граждан о том, как организация работает с их персональными данными. К Политике должен быть доступ для всех. Её нужно разместить на сайте организации в разделе «Обработка персональных данных» или «Информационная безопасность».

Политику обработки персональных данных подготавливает ответственный. К разработке можно привлечь и других работников, участвующих в обработке данных: секретаря, специалиста по кадрам, бухгалтера, – чтобы учесть особенности делопроизводства и оценить потенциальные конфликтные ситуации.

Ответственный должен ориентироваться на рекомендации Роскомнадзора от 27.07.2017 и обновленные нормы Закона № 152-ФЗ.

По законодательству для каждой цели обработки персональных данных в политике нужно указать:

• категории и перечень обрабатываемых персональных данных;
• категории субъектов, данные которых обрабатываете;
• способы, сроки их обработки и хранения;
• порядок уничтожения данных при достижении целей обработки или по иным законным основаниям.

Эти сведения составляют большую часть содержания примерной политики, предложенной Роскомнадзором. Существующую политику нужно скорректировать, изменить структуру документа: общие разделы оставить, остальные объединить в подразделы по каждой цели обработки персональных данных. Подразделы можно оформить в виде таблицы.

Новые требования нужно применить и к остальным локальным актам по вопросам обработки персональных данных, чтобы обезопасить себя от замечаний проверяющих.

Политика утверждается приказом или грифом «Утверждаю»

Пример политики обработки ПД для ДОО

Пример политики обработки ПД для школы

Если персональные данные собираются через интернет обязательно опубликуйте Политику на сайте образовательной организации. Файл или страница с Политикой должны быть, если на сайте есть формы обратной связи с вводом персональных данных. Также надо разместить сведения о реализуемых требованиях к защите ПД – положение о защите, план мероприятий по соблюдению законодательства и защите ПД (ч. 2 ст. 18.1 Закона № 152-ФЗ).

Положения об обработке персональных данных

Положения нужны, чтобы детализировать обработку и меры защиты ПД (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ, п. 10 ст. 86 ТК).  Должны быть и Политика, и положения, так как они не могут заменить друг друга.

Типовой формы положения нет, как и рекомендаций по его подготовке. Содержание определяется самостоятельно с соблюдением требований пункта 2 части 1 статьи 18.1 Закона № 152-ФЗ:

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности…

Нужно составить отдельные положения по обработке ПД работников, детей и родителей, потому что отношения между ними и образовательной организацией регулируют разные законы.

Положение об обработке ПД обучающихся, воспитанников и родителей готовит ответственный.

Положение для сотрудников составляется иначе. Трудовой кодекс требует, чтобы образовательная организация разрабатывала меры по защите их персональных данных совместно с ними (п. 10 ст. 86 ТК). Есть два варианта, чтобы соблюсти требование:

1) создать комиссию по разработке положения и включить в нее представителей общего собрания работников или профкома;

2) согласовать проект положения на заседании общего собрания работников.

Если создаётся комиссия, общее собрание сотрудников выбирает одного или нескольких представителей для подготовки положения. Они включаются в комиссию вместе с ответственным за обработку ПД и специалистом по кадрам. Если есть профком, в комиссию войдёт его представитель.

Без комиссии положение составляет ответственный за обработку ПД. Подготовленный проект положения согласуется с общим собранием работников и утверждается. Если появятся возражения, ответственный дорабатывает положение.

Положение об обработке ПД учащихся и воспитанников не нужно согласовывать с органами управления необязательно, но нужно учесть мнение детей и их родителей (ч. 3 ст. 30 Федерального закона от 29.12.2012 № 273-ФЗ).

Поэтому проект документа рассматривается на заседании управляющего совета, если в него входят представители родителей и учеников. Либо на заседании совета родителей и совета обучающихся. Окончательный вариант положения утверждается приказом или грифом «Утверждаю».

Работников необходимо ознакомить с положением об обработке их ПД под подпись (п. 8 ст. 86 ТК). Подписи нужно поставить в листе ознакомления или в журнале ознакомления с локальными актами.

Положение также нужно опубликовать на сайте в разделе «Информационная безопасность» в течение 10 рабочих дней с момента утверждения.

Согласия на обработку персональных данных

Ответственный разрабатывает формы документов для родителей и работников, потому что обработка ПД в большинстве случаев осуществляется только на основании согласия субъекта.

Обычное согласие на обработку ПД. Согласие должно соответствовать требования частей 1 и 4 статьи 9 Закона № 152-ФЗ.

В согласии указывают:

• Ф.И.О и адрес субъекта ПД, номер паспорта, когда и кто его выдал;
• Ф.И.О и адрес представителя субъекта ПД, номер паспорта, когда и кто его выдал, реквизиты доверенности – если берете согласие от представителя;
• наименование и адрес образовательной организации – оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование и адрес лица, которое обрабатывает персональные данные по поручению оператора – если поручили обработку третьему лицу;
• перечень действий с данными, на совершение которых дается согласие, общее описание используемых способов обработки ПД;
• срок, в течение которого действует согласие субъекта персональных данных, и способ его отзыва;
• подпись субъекта ПД.

В Методических рекомендациях для общеобразовательных организаций по вопросам обработки ПД, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзор уточнил, что надо оформлять отдельное согласие на каждую цель обработки.

Обычно целей обработки в отношении одного лица немного. Два разных согласия нужно оформлять, когда один и тот же человек выступает в двух ролях. Например, учитель одновременно родитель и представляет ученика в одной и той же школе. Либо родитель одновременно является партнёром школы в просветительской деятельности.

Отдельные согласия оформляются для целей оформления мер соцподдержки и защиты детей.

Согласие на обработку ПД для распространения.  Если ПД будут размещаться в общедоступном месте, например, на сайте, нужно составить другую форму согласия.

Это согласие должно соответствовать приказу Роскомнадзора от 24.02.2021 № 18. Форма должна содержать:

• Ф.И.О. субъекта ПД и его контакты – номер телефона, адрес электронной почты или почтовый адрес;
• сведения об операторе – наименование, адрес по ЕГРЮЛ, ИНН и ОГРН;
• сведения об информационных ресурсах оператора, посредством которых будут предоставлять доступ к ПД субъекта – адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и файла веб-страницы;
• цель или цели обработки ПД;
• категории – общие, специальные или биометрия – и перечень ПД, на обработку которых дается согласие;
• категории и перечень данных, для обработки которых субъект устанавливает условия, запреты и их перечень – по желанию субъекта ПД;
• условия, при которых данные могут передаваться оператором только по его внутренней сети с доступом для определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо не могут передаваться совсем – по желанию субъекта персональных данных;
• срок действия согласия.

Занятие 7. Взятие согласия на обработку персональных данных у сотрудников

У сотрудников берут согласие на обработку ПД, которые не указаны в документах по трудовому законодательству. Для приёма на работу сотрудники предоставляют:

• паспорт;
• трудовую книжку или сведения по форме СТД-Р;
• документы воинского учёта;
• диплом и т.д.

Согласие брать не нужно, если персональные данные используются только для обеспечения трудового процесса. Такое же правило действует, если персональные данные пересылаются третьему лицу или публикуются на сайте по требованию законодательства (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).

Согласие требуется, если будут обрабатываться другие данные:

• фотография для сайта;
• сведения о семье для личной карточки.

По каждой цели нужно отдельное согласие. Работник может предоставить согласие на бумаге с собственноручной подписью или в электронном виде с электронной подписью (ч. 1, 4 ст. 9 Закона № 152-ФЗ).

Согласие на обработку персональных данных нужно брать не только у работников, но и у соискателей. Если соискатель разместил резюме на сайте или его представляет кадровое агентство, согласие не требуется (п. 5 разъяснений Роскомнадзора от 14.12.2012).

Персональные данные можно получить только у работника. Если их можно получить только у третьих лиц, нужно уведомить об этом работника и заручиться его письменным согласием (п. 3 ст. 86 ТК).

В уведомлении нужно указать, какие данные, где, каким способом и зачем будут запрашиваться, предупреждение о возможных последствиях отказа.

Третьи лица могут предоставить информацию о работнике только для целей, перечисленных в пункте 1 статьи 86 Трудового кодекса:

• чтобы выполнить требования закона;
• помочь работнику трудоустроиться, получить образование или продвинуться по службе;
• обеспечить его личную безопасность и сохранность имущества;
• проконтролировать количество и качество выполняемой работы.

Для других целей работник сам должен запросить информацию у третьих лиц. Это могут быть, например, характеристики от предыдущих работодателей.

Работник имеет право в любое время отозвать согласие на обработку ПД (ч. 2 ст. 9 Закона № 152-ФЗ), составив заявление в произвольной форме.

Есть случаи, при которых обработка продолжается без согласия. Так, обработка продолжает в случае заключения с соискателем трудового или гражданско-правового договора.

Согласие не требуется, чтобы

• обеспечить работнику возможность выполнять свои трудовые обязанности, в том числе в командировке;
• направить персонифицированную отчетность в СФР, налоговую отчетность в ФНС, сведения о военнообязанных в военкоматы, требуемые данные в суд или прокуратуру;
• хранить документы с персональными данными, в том числе трудовые и гражданско-правовые договоры, личные карточки и личные дела;
• предупредить угрозу жизни и здоровью работника;
• разместить на сайте информацию о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы;
• в других случаях, которые предусмотрены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.

По закону работник не обязан давать согласие на обработку персональных данных, поэтому нельзя отказывать в заключении трудового договора, увольнения или привлечения к дисциплинарной ответственности, если согласие было отозвано.

Несколько ситуаций

Работник не предоставил ПД о членах семьи для личной карточки.

Можно оставить сведения незаполненными. Данные о родственниках нельзя требовать на основании ч. 1 ст. 9 Закона № 152-ФЗ, п. 3 ст. 86 ТК.

Сотрудник может написать письменный отказ в форме заявления, если сведения нужны для заполнения документов, которые требует учредитель или другие ведомства. Отказ можно зафиксировать актом. Акт и заявление оформляются в произвольной форме.

Информация, которую можно разместить на сайте без согласия

На сайте без согласия можно разместить информацию, указанную в статье 29 Закона об образовании:

• о заместителях руководителя,
• руководителях филиалов,
• персональный состав с указанием уровня образования,
• квалификации и опыта работы.

Конкретная информация содержится в пункте 11 Правил, утвержденных постановлением Правительства от 20.10.2021 № 1802 и пункт 3.6 Требований, утвержденных приказом Рособрнадзора от 14.08.2020 № 831.

На сайте публикуются:

• Ф.И.О. работника;
• наименование должности;
• преподаваемые предметы, курсы, дисциплины (модули);
• уровень (уровни) профессионального образования с указанием наименования направления подготовки и специальности, в том числе научной, и квалификации;
• ученую степень и ученое звание – при наличии;
• сведения о повышении квалификации за последние 3 года;
• сведения профессиональной переподготовке – при наличии;
• сведения о продолжительности опыта (лет) работы в профессиональной сфере, соответствующей образовательной деятельности по реализации учебных предметов, курсов, дисциплин (модулей);
• наименование общеобразовательной программы, в реализации которых участвует педагогический работник, а также преподаваемые предметы, курсы, дисциплины (модули).

Фотографии педагогов, подробные биографии, описание профессионального пути работников, достижения, участие конкурсах и другая информация размещаются на сайте только с их согласия.

Согласие работника для оформления зарплатной карты

В этом случае согласие брать не требуется, если об этом указано в договоре с работником, коллективном договоре или есть доверенность. Работодатель может передать банку ПД работника без согласия, если:

• договор на выпуск банковской карты заключался напрямую с работником и в его тексте есть положения о передаче работодателем персональных данных;
• у работодателя есть доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее обслуживание;
• коллективный договор содержит сведения о форме и системе оплаты труда, которая предполагает выплату средств на карту.

Об этом говорится в совместных рекомендациях для школ, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059. Детские сады тоже могут ориентироваться на эти методические рекомендации.

Занятие 8. Взятие согласия на обработку персональных данных с родителей

Родители должны дать согласие на обработку их персональных данных и данных детей для оформления действия сверх реализации образовательной программы.

Так, для зачисления в детский сад согласие брать не надо, потому что это реализация госуслуги. Но при зачислении в школу согласие брать надо, потому что это установлено в порядке приёма. Согласие на обработку персональных данных в форму заявления о зачислении (п. 24 Порядка приема в школу).

Согласие надо брать всегда, если необходимы дополнительные сведения. Например, это необходимо сделать при оформлении льготы по оплате или обработке сведений о конкурсах и олимпиадах, которые проводят другие организации.

Согласие дает один из родителей (ч. 6 ст. 9 Закона № 152-ФЗ). Если заявление о зачислении пишут оба родителя, согласие должен дать каждый.

Если один из родителей не хочет давать согласие на публикацию фото ребёнка на сайте или по другому поводу, то необходимо дождаться, когда родители придут к единому мнению. Пока этого не произойдёт, персональные данные ребёнка обрабатываются по минимуму. 

Если цель обработки данных одна, можно взять одно согласие на обработку ПД родителей и ребёнка. По закону отдельные согласия берутся на разные цели обработки ПД (ст. 9).

Если ребёнка будут забирать другие родственники, они тоже должны дать согласие на обработку ПД. Его можно оформить отдельной строкой в заявлении. От родственников достаточно получить ограниченные данные, позволяющие определить их как лиц, которые могут забирать ребёнка: ФИО, контактный телефон.

При отзыве родителем согласия на обработку ПД или данных ребёнка нужно сразу прекратить их обработку и удалить. Так, по требованию родителей нужно убрать фото с сайта.

Родители имеют право отозвать согласие в любое время (ч. 2 ст. 9 Закона № 152-ФЗ). Но им нужно разъяснить последствия отказа и попросить подать письменное заявление. Для этого используется та же форма отзыва, которую составляют для сотрудников.

Согласие не требуется при обработке любых статистических или обезличенных данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ), а также, если:

• обрабатываются данные для предоставления государственной или муниципальной услуги;
• есть решение суда, акт судебного пристава-исполнителя;
• данные используются для выполнения обязательств по договору с родителями;
• есть основания для срочного медицинского вмешательства, когда получить согласие нельзя из-за физического состояния;
• данные нужны при обязательном раскрытии по закону.

Несколько ситуаций

Можно ли не брать согласие для размещения фотографии ребёнка при проведении внутреннего мероприятия?

Можно, если размещается фото с общим планом и изображением нескольких людей. При портретной съёмке необходимо взять согласие. В этом случае ребёнок на фото – основной объект изображения (ст. 152.1 ГК).

Нужно ли согласие, если надо разместить сканы грамот обучающихся на сайте?

Согласие нужно взять в соответствии с ч. 1 ст. 6 Закона № 152-ФЗ.

Отсканированная копия грамоты содержит Ф. И. О., группу, класс, название мероприятия.

Существует мнение, что нельзя ограничивать к распространению информацию о достижениях, но оно ошибочно. Субъект имеет право не раскрывать о себе любую информацию. Поэтому можно опубликовать только обезличенные данные. Скан можно обезличить, стерев ФИО ребёнка.

Нужно ли согласие на передачу ПД детей сторонней организации, которая обеспечивает функционирование электронного журнала и дневника?

В этом случае согласие не нужно. Оператор по закону о ПД имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (ч. 3 ст. 6 Закона № 152-ФЗ).

Но в законе нет указания, что за субъекта может дать согласие его представитель, как, например, в части 1 статьи 9 Закона. Это значит, что согласие можно получить только с дееспособных лиц. Большинство учащихся не являются такими.

Роскомнадзор и Минкомсвязи разъяснили, что ведение электронного журнала и дневника – реализация государственной услуги в соответствии с пунктом 8 приложения 1 к распоряжению правительства от 17.12.2009 № 1993-р. На это получать согласие не надо (письмо Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059). Поэтому школе не надо получать согласие родителей на функционирование электронного журнала и дневника.

Занятие 9. Хранение персональных данных

В детском саду и школе необходимо обеспечить безопасное хранение персональных данных. Для этого организуется физическая и электронная защита информации и устанавливаются сроки хранения.

Физическая защита персональных данных

В законодательстве нет требований к помещениям для хранения персональных данных. Но хранение должно быть организовано так, чтобы в помещение могли входить только работники, которые занимаются обработкой ПД.

Так, если приёмная, где работает секретарь, не запирается, он должен убирать документы с персональными данными в запирающиеся помещения, например, в кабинет руководителя или заместителя.

Бумажные документы хранятся в сейфах или шкафах с замками. Некоторые документы, например, по воинскому учёту, организации должны хранить в железных шкафах (п. 21 Методических рекомендаций Минобороны от 11.07.2017).

Документы, с которыми работа завершена, нужно сдать в архив. Раздельно надо хранить персональные данные, если они обрабатываются в разных целях. Не стоит смешивать документы по трудовым вопросам с заявлениями и приказами по образовательной деятельности.

Секретарь сразу должен оформлять документы в дела и хранить в разных шкафах (п. 14 Положения, утв. постановлением Правительства от 15.09.2008 № 687).

Условия хранения устанавливаются в положении об обработке ПД (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687). Места хранения документов и других носителей персональных данных закрепляются приказом.

О хранении классных журналов

Классные журналы нужно хранить в запираемом шкафу в учительской. Журналы могут брать только те педагоги, которые проводят уроки.

Для ознакомления родителей с оценками ребёнка, их нужно выписать на отдельный листок и отдать лично в руки либо сделать копию с журнала, закрыв строки с данными других обучающихся.

Если родитель хочет получить информацию, за что ребёнок получил оценку, об этом можно сказать устно.

Если журнал ведётся в электронном виде, оценки родители смогут посмотреть в электронном дневнике.

Электронная защита персональных данных

К электронным документам доступ должен быть только у тех сотрудников, которые указаны в положении об обработке ПД. Ответственный создаёт в локальной сети отдельные папки для каждой группы ПД: по приёму на обучение, трудовые документы, медицинские документы.

К каждой папке могут получить доступ только те сотрудники, которые утверждены приказом.

Специальные меры принимаются для обработки ПД в информационных системах (ИСПДн), к которым относится совокупность баз данных (п. 10 ст. 3 Закона № 152-ФЗ).

Если персональные данные вносятся только в электронные документы (в формате Word, Exel, PDF), то это не считается обработкой с помощью ИСПДн.

Для разработки мер защиты персональных данных в ИСПДн нужно определить угрозы безопасности. Для этого проводится обследование системы (п. 7 Требований, утв. постановлением Правительства от 01.11.2012 № 1119) с привлечением специализированной организации.

Сотрудники организации составляют акты и модель угроз, готовят инструкции для администраторов и пользователей системы, устанавливают технические средства защиты.

Затем определяются правила доступа к персональным данным в ИСПДн в локальном акте – в положении об обработке персональных данных, организуется контроль за помещением с серверами, в которое могут иметь доступ только сотрудники, утверждённые приказом.

На компьютеры необходимо установить технические средства защиты информации и (п. 13 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Сроки хранения персональных данных

Персональные данные хранятся, пока не будет достигнута цель обработки. Исключение составляют данные, для которых федеральные законы или договоры, стороны, выгодоприобретатели или поручители устанавливают другие сроки (ч. 7 ст. 5 Закона № 152-ФЗ).

Так, статья 230 ТК РФ устанавливает сроки хранения актов о несчастном случае на производстве, а статья 23 НК РФ – налоговых документов. Чтобы не было замечаний от проверяющих, к целям обработки ПД нужно указать сроки хранения, установленные законодательством и локальными актами. В номенклатуре дел нужно указать сроки хранения по закону или установить сроки самостоятельно.

Занятие 10. Организация внутреннего контроля обработки персональных данных

Реформа в сфере проверок сместила акцент на предупреждение нарушений. Организация внутреннего контроля позволит избежать ошибок и подготовиться к проверке в любое время.

Требований к внутреннему контролю законодательно не установлено. Есть лишь указание, что оператор должен его организовать (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Нужно принять положение о внутреннем контроле и сформировать комиссию, которая должна проводить мероприятия по плану и оформлять итоговые документы, а также своевременно устранять выявленные нарушения. Если обнаружатся информационные атаки и утечки персональных данных, нужно сообщить об этом Роскомнадзору и по системе ГосСОПКА.

Положение о внутреннем контроле обработки ПД

В положении закрепляются:

• правила внутреннего контроля;
• способы следить за выполнением законодательства в сфере защиты персональных данных;
• цель внутреннего контроля – оценить эффективность организационно-технических мер по защите обрабатываемых персональных данных в процессе обработки;
• полномочия ответственных;
• сроки контрольных мероприятий;
• итоговые документы.

Комиссия по проверке обработки персональных данных

Руководитель назначает ответственных за контроль обработки персональных данных и объединяет их в комиссию. Так проще взаимодействовать и совместно анализировать итоги контроля.

Это оформляется приказом. Председателем назначается руководитель или заместитель.

В комиссию включаются сотрудники, которые организуют обработку персональных данных в детском саду и школе. Это могут быть специалисты по кадрам, секретарь, заместитель руководителя.

Члены комиссии проводят внутренние контрольные мероприятия в рамках направлений, которые связаны с должностными обязанностями. Так, специалист по кадрам проверяет содержание личных дел сотрудников, наличие в них согласий и отзывов на обработку персональных данных, порядок хранения документов.

Дополнительно утверждается график внутреннего контроля, который оформляется приложением к приказу или отдельным документом.

Документы по итогам внутренней проверки

Также устанавливаются документы, которые оформляются по итогам внутренних проверок. Комиссия может составить общий акт после завершения контрольных мероприятий за отчётный период. Каждый член комиссии вправе написать докладную записку по итогам мероприятия, которое проводил.

Если по итогам внутреннего контроля выявили несоответствие требованиям Закона от 27.07.2006 № 152-ФЗ, устраните нарушения.

Оповещение Роскомнадзора и ФСБ

Школы и детские сады должны следить, чтобы не было несанкционированного доступа к ПД. Также надо принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн (п. 6 ч. 2 ст. 19 Закона № 152-ФЗ).

Для этого с сентября 2022 года каждый оператор обязан взаимодействовать с системой ГосСОПКА. Правил взаимодействия пока не приняли – их утвердит ФСБ.

Вместе с Роскомнадзором они также установят порядок передачи информации об атаках и утечке ПД (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Если была неправомерная или случайная передача персональных данных, и это повлекло нарушение прав субъектов данных, сообщите в Роскомнадзор:

• в течение 24 часов – о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПД, предполагаемом вреде, принятых мерах по устранению последствий. Сообщите также сведения об ответственном за ПД;
• в течение 72 часов – о результатах внутреннего расследования. Предоставьте сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Требование установили в части 3.1 статьи 21 Закона № 152-ФЗ.

Уведомление об утечке персональных данных можно заполнить в электронной форме на сайте Роскомнадзора. Такое информирование позволит повысить уровень защищенности личной информации граждан и оперативно реагировать на факты компрометации данных.

Занятие 11. Передача персональных данных

Персональные данные гражданина можно передавать третьим лицам только с его согласия (п. 3 ст. 3, ч. 1 ст. 6 Закона № 152-ФЗ, абз. 2 ч. 1 ст. 88 ТК).

Перед этим нужно предупредить третье лицо о том, что персональные данные можно использовать только в тех целях, для которых их сообщили, получив письменное подтверждение.

Если ПД будут переданы без согласия сотрудника/гражданина, он имеет право привлечь образовательную организацию к гражданско-правовой, административной и уголовной ответственности – в зависимости от тяжести последствий. Однако в некоторых случаях можно передавать персональные данные без согласия. В таблице указано, когда это можно делать.

Передача персональных данных без согласия владельца

Ответственный должен оформить и вести журнал учёта передачи персональных данных. Он нужен при проверках Роскомнадзора и в случае спора с сотрудниками.

В журнале фиксируется информация о том, кому ответственный выдаёт документы, содержащие персональные данные, отмечать, какие документы выданы, указывать дату передачи или уведомления об отказе.

Субъекты персональных данных могут обратиться с запросом, какие данные и как обрабатывает детский сад и школа (ст. 14 Закона № 152-ФЗ). В инструкцию по делопроизводству, положение об обработке ПД или политику обработки персональных данных нужно добавить шаблон запроса.

Отвечать на запрос субъекта ПД необходимо в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней. В это случае субъекту направляется мотивированное уведомление. В уведомлении указываются причины, по которым не нет возможности предоставить запрашиваемую информацию в установленный срок (ч. 1 ст. 20 Закона № 152-ФЗ).

Если запрос направляет Роскомнадзор, действия такие же (ч. 4 ст. 20 Закона № 152-ФЗ).

Ситуация

Образовательная организация передала ПД бывшего работника новому работодателю. Правомерно ли это?

Да, если у бывшего работодателя есть письменное согласие работника.

Работодатель вправе запрашивать информацию у третьей стороны, если не может получить ее у самого работника. В таком случае он должен оформить согласие работника (абз. 2 ч. 1 ст. 88 ТК). При этом предыдущий работодатель также должен получить письменное согласие гражданина на передачу его персональных данных новому работодателю (п. 3 ст. 3, ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Занятие 12. Обезличивание персональных данных

Персональные данные обезличивают после того, как были достигнуты цели их обработки, но нужно использовать сведения далее в статистических или исследовательских целях (ч. 7 ст. 5, п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).

Для этого данные изменяют таким образом, чтобы без дополнительной информации нельзя было определить их принадлежность (п. 9 ст. 3 Закона № 152-ФЗ).

Роскомнадзор утвердил методы обезличивания данных, которые обрабатывают в ИСПДн (приказ от 05.09.2013 № 996). Эти методы можно использовать, даже если не используется ИСПДн. Выбирается один или несколько методов:

• введение идентификаторов – часть информации заменяется кодами-идентификаторами и составляется таблица их соответствия;
• изменение состава или значения – часть информации заменяется обобщенными статистическими данными или удаляется часть сведений;
• применение декомпозиции – информация разбивается на несколько частей и каждая из них хранится отдельно;
• перемешивание – отдельные записи переставляются местами.

Требования к обезличиванию закрепляется в положении об обработке персональных данных или порядке их уничтожения. В нём указывается, кто и как должен проводить обезличивание. 

Например, порядок обезличивания персональных данных может быть таким:

5.1. В случае невозможности уничтожения персональных данных они подлежат обезличиванию, в том числе для статистических и иных исследовательских целей.

5.2. Способы обезличивания при условии дальнейшей обработки персональных данных:

• замена части данных идентификаторами;
• обобщение, изменение или удаление части данных;
• деление данных на части и обработка в разных информационных системах;
• перемешивание данных.

5.3. Ответственным за обезличивание персональных данных является работник, ответственный за организацию обработки персональных данных.

5.4. Решение о необходимости обезличивания персональных данных и способе обезличивания принимает ответственный за организацию обработки персональных данных.

Занятие 13. Уничтожение персональных данных

При достижении целей обработки персональных данных их уничтожают. Это могут быть следующие случаи: увольнение сотрудника, переход обучающегося из детского сада в школу (ч. 7 ст. 5 Закона № 152-ФЗ).

Есть случаи, когда оператор обязан уничтожить данные по другим причинам. От случая зависят сроки уничтожения. Они указаны в таблице.

Ситуации и сроки уничтожения персональных данных

Персональные данные соискателя удаляются через 30 дней после отказа ему в приёме на работу. Такие разъяснения дали Минкомсвязи и Роскомнадзор в методических рекомендациях, направленных письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059.

Порядок уничтожения персональных данных устанавливается в положении об их обработке или оформляется отдельным локальным актом. В документах нужно указать, кто и в каких случаях уничтожает персональные данные, определить, какие способы для этого использовать (носители данных уничтожаются с помощью шредера).

Персональные данные должен уничтожать ответственный или комиссия, в которую можно включить ответственного, секретаря, заместителя руководителя. Ответственные и сроки устанавливаются приказом.

Ответственный или комиссия составляет перечень документов для уничтожения с учётом сроков хранения. По итогам уничтожения составляется акт, в котором указывают уничтоженные документы, время и способ уничтожения. Форма акта закрепляется в положении об обработке персональных данных или порядке их уничтожения.

Занятие 14. Ответственность за нарушения при работе с персональными данными

Дисциплинарная

Возникает:

1. Если работник не исполнил или ненадлежаще исполнил по своей вине трудовые обязанности (абз. 1 ч. 1 ст. 192 ТК).
2. Фактически возникает за нарушение правил обработки персональных данных, которые устанавливают законодательство и локальные акты (ст. 90 ТК)

Может привлечь к ответственности образовательная организация как работодатель.

Педагог может получить дисциплинарное взыскание: замечание, выговор, увольнение.

Административная

Если работник нарушил требования законодательства о персональных данных:

• обрабатывал данные без согласия или с нарушением его, в противоречии с целями обработки, заявленными в политике;
• не предоставил гражданину информацию, которая касается обработки его персональных данных;
• нарушил сохранность данных, разгласил их незаконно.

Привлекают к ответственности представители правоохранительных и других надзорных органов.

В зависимости от тяжести правонарушения налагается предупреждение или штраф.

Материальная

Работник нарушил требования законодательства о персональных данных, что привело к материальному ущербу для работодателя: работник распространил информацию о гражданине, чем причинил гражданину моральный вред, который должна возместить образовательная организация. Организация удерживает сумму с работника.

Привлекает образовательная организация.

Работник возмещает ущерб в пределах своего среднего месячного заработка. Ущерб возмещается в полном размере по ст. 243 ТК, если работник умышленно нарушил правила обработки или незаконно разгласил ПД.

Гражданско-правовая

Работник нарушил нематериальные блага: право на здоровье, достоинство личности, честь и доброе имя, деловую репутацию, неприкосновенность частной жизни и другие (п. 2 ст. 150 ГК).

Привлекает субъект ПД, права которого нарушили.

Суд может потребовать от работника компенсировать ущерб и моральный вред.

Уголовная

Работник:

• распространил сведения о частной жизни гражданина без его согласия или публично;
• предоставил гражданину неполную или заведомо ложную информацию о персональных данных, причинив вред его правам и законным интересам.

Суд определяет виновность, вид и размер наказания.

Возможные наказания (одно или несколько):

• штраф;
• лишение права занимать определенные должности или заниматься определенной деятельностью;
• обязательные работы;
• исправительные работы;
• ограничение свободы;
• принудительные работы;
• лишение свободы на определенный срок.

Меры административной ответственности

1. Непредставление гражданину информации, которую предоставляют в соответствии с законом, представление с опозданием либо выдача заведомо ложной информации. На должностное лицо штраф от 5000 до 10 000 руб., ст. 5.39 КоАП.
2. Незаконная обработка данных или несовместимая с целями сбора. Исключение – случаи, которые указаны в части 2 статьи 13.11 КоАП. На должностных лиц штраф от 10 000 до 20 000 руб., за повторное: от 20 000 руб. до 50 000 руб. На организацию штраф от 60 000 до 100 000 руб., за повторное: от 100 000 руб. до 300 000 руб., ч. 1 ст. 13.11 КоАП, ч. 1.1 ст. 13.11 КоАП
3. Обработка данных без письменного согласия гражданина или с нарушением требований к согласию. На должностных лиц штраф от 20 000 до 40 000 руб., за повторное: от 40 000 руб. до 100 000 руб. На организацию штраф от 30 000 до 150 000 руб., за повторное: от 300 000 руб. до 500 000 руб., ч. 2 ст. 13.11 КоАП, ч. 2.1 ст. 13.11 КоАП.
4. Неопубликование или ограничение доступа к документу с политикой обработки данных или сведениями по их защите. На должностных лиц штраф от 6000 до 12 000 руб. На организацию штраф от 30 000 до 60 000 руб., ч. 3 ст. 13.11 КоАП.
5. Непредставление гражданину информации, которая касается обработки его персональных данных. На должностных лиц штраф от 8000 до 12 000 руб. На организацию штраф от 40 000 до 80 000  руб., ч. 4 ст. 13.11 КоАП.
6. Несвоевременное исполнение требования гражданина об уточнении персональных данных, их блокировании или уничтожении. На должностное лицо штраф от 8000 до 20 000 руб., за повторное: от 30 000 руб. до 50 000 руб. На организацию штраф от 50 000 до 90 000 руб., за повторное: от 300 000 руб. до 500 000 руб., ч. 5 ст. 13.11 КоАП, ч. 5.1 ст. 13.11 КоАП.
7. Несохранность персональных данных, если это повлекло несанкционированный доступ к данным и иные неправомерные деяния. Исключение – случаи, которые влекут уголовную ответственность. На должностное лицо штраф от 8000 до 20 000 руб. На организацию штраф от 50 000 до 100 000 руб., ч. 6 ст. 13.11 КоАП.
8. Необезличивание персональных данных или нарушение этого процесса. На должностное лицо штраф от 6000 до 12 000 руб., ч. 7 ст. 13.11 КоАП.
9. Не совершение записи, систематизации, накопления, хранения, уточнения и извлечение персданных граждан после их сбора. На должностное лицо штраф от 100 000 до 200 000 руб., за повторное: от 500 000 до 800 000 руб. На организацию штраф от 1 млн до 6 млн руб., за повторное: от 6 млн до 18 млн руб., ч. 8 ст. 13.11 КоАП, ч. 9 ст. 13.11 КоАП.
10. Разглашение информации, доступ к которой ограничен законом. Исключение – случаи, которые влекут уголовную ответственность. На должностное лицо штраф от 4000 до 5000 руб., ст. 13.14 КоАП.
11. Непредставление или несвоевременное представление, предоставление в неполном объеме или в искаженном виде сведений в Роскомнадзор. На должностное лицо штраф от 300 до 500 руб. На организацию штраф от 3000 до 5000 руб., ст. 19.7 КоАП.

Меры уголовной ответственности

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК):

• штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
• обязательные работы до 360 часов;
• исправительные работы до 1 года;
• принудительные работы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет или без такового;
• арест до 4 месяцев;
• лишение свободы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет.

Неправомерный отказ в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК):

• штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного до 18 месяцев;
• лишение права занимать определенные должности или заниматься определенной деятельностью от 2 до 5 лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ч. 1 ст. 272 УК):

• штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного до 18 месяцев;
• исправительные работы до 1 года;
• ограничение свободы до 2 лет;
• принудительные работы до 2 лет;
• лишение свободы на тот же срок.

Дополнительные материалы

Методические рекомендации для образовательных организаций по вопросам персональных данных

Рекомендации по составлению политики обработки персональных данных

152-ФЗ «О персональных данных»