В соответствии с пунктом 6 протокола заседания рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства от 22 июля 2020 года рабочая группа по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству, Минкомсвязь России, Минпросвещения России и Роскомнадзор подготовили методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных (далее — методические рекомендации).
Цель методических рекомендаций — оказание методической поддержки администрациям общеобразовательных организаций по соблюдению требований законодательства Российской Федерации в области персональных данных при обработке персональных данных несовершеннолетних, их родителей (законных представителях) и работников общеобразовательной организации.
Методические рекомендации разработаны в рамках реализации пункта 6 части 1 статьи 18.1 и пункта 2 части 1 статьи 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» для повышения уровня информированности и организации обучения работников общеобразовательных организаций по вопросам законодательства Российской Федерации о персональных данных.
По-видимому, в тексте предыдущего абзаца допущена опечатка. Здесь и далее по тексту имеется в виду «пункта 2 части 4 статьи 22.1«
Методические рекомендации подготовлены для общеобразовательных организаций, но могут быть использованы при организации обработки персональных данных несовершеннолетних в иных образовательных, медицинских, социальных и иных организациях.
На основе методических рекомендаций организована дистанционная программа повышения квалификации «Обработка персональных данных в образовательных организациях» на площадке Экспертной группы по образованию рабочей группы по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству и государственному строительству по адресу www.Единыйурок.рф в разделе «Курсы».
Обучение по образовательной программе организовано дистанционно и включает бесплатное изучение лекционного материала, прохождение итоговой аттестации и получение удостоверения о повышении квалификации в электронной форме при успешном прохождении итоговой аттестации. Инструкция по организации обучения представлена в приложении к настоящему письму.
Результаты реализации методических рекомендаций и организации обучения по вышеуказанной образовательной программе будут отмечаться в докладах о ходе реализации плана основных мероприятий, проводимых в рамках Десятилетия детства, до 2027 года.
В целях оценки эффективности реализации методических рекомендаций будет ежегодно организован с 2021 года мониторинг реализации методических рекомендаций органами исполнительной власти субъектов Российской Федерации, осуществляющими государственное управление в сфере образования.
Осуществлять методическое сопровождение реализации методических рекомендаций и реализовывать организационно-административные мероприятия по их реализации на федеральном уровне будет рабочая группа «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства.
С учетом вышеуказанного, прошу обеспечить распространение вышеуказанных методических рекомендаций среди общеобразовательных организаций и организацию обучения работников общеобразовательных организаций по вышеуказанной образовательной программе до 14 декабря 2020 года.
Информацию об организации исполнения методических рекомендаций и количестве прошедших обучение по образовательной программе направляется исполнительными органами государственной власти субъектов Российской Федерации на электронную почту 2017@единыйурок.рф до 14 декабря ежегодно.
Контактное лицо: Абрамов Сергей Алексеевич, автор методических рекомендаций, эл. почта: ref.bokova@digital.gov.ru, тел.: 8 495 771 80 94.
Приложение: на 46 л. в 1 экз.
Председатель рабочей группы, Статс-секретарь — заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации | Л.Н. Бокова |
Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных
В соответствии с пунктом 6 протокола заседания рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства от 22 июля 2020 года рабочей группой по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству, Минкомсвязью России, Минпросвещения России и Роскомнадзором были подготовлены методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных (далее — методические рекомендации).
Цель методических рекомендаций — оказание методической поддержки администрациям общеобразовательных организаций по соблюдению требований законодательства Российской Федерации в области персональных данных при обработке персональных данных несовершеннолетних, их родителей (законных представителях) и работников общеобразовательной организации.
Методические рекомендации разработаны в целях реализации пункта 6 части 1 статьи 18.1 и пункта 2 части 1 статьи 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» для повышения уровня информированности работников общеобразовательных организаций о законодательстве Российской Федерации о персональных данных.
Методические рекомендации разработаны на основе методических рекомендаций для общеобразовательных организаций по обеспечению комплексной безопасности, направленных письмом Минкомсвязи России от 10.04.2020 N ЛБ-С-088-8929.
Методические рекомендации подготовлены для общеобразовательных организаций (далее — организации) и могут быть использованы при организации обработки персональных данных несовершеннолетних в иных образовательных, медицинских, социальных и иных организациях.
Основы законодательства Российской Федерации в области персональных данных
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод граждан при обработке персональных данных несовершеннолетних, родителей (законных представителей) детей и работников образовательных организаций, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
1. Конституцией Российской Федерации от 12 декабря 1993 г.;
2. Гражданским кодексом Российской Федерации от 30 ноября 1994 года N 51-ФЗ;
3. Трудовым кодексом Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
4. Федеральным законом от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
5. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
6. Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Необходимо отметить, что Конституция Российской Федерации гарантирует каждому гражданину право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки. Сбор, хранение, использование и распространение информации о частной жизни человека не допускаются без его согласия согласно статье 23 и части 1 статьи# Конституции РФ.
Центральное место в системе российского законодательства в области персональных данных занимает Федеральный закон «О персональных данных» (далее — Закон о персональных данных), основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:
1. Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
2. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
3. Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5. Приказ ФСТЭК России от 18.02.2013. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Кроме этого, в соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к категории конфиденциальной информации как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
В тоже время, деятельность образовательных организаций регулируется положениями Федерального закона от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации» и иными нормативными правовыми актами, принятыми в реализацию данного Федерального закона, в том числе касающиеся регламентации оборота личных данных обучающегося, в том числе в части приема граждан на обучение, ведения личных дел обучающихся, электронных форм успеваемости, договорных отношений и иных аспектов организации образовательного процесса в общеобразовательных организациях.
Основы правового регулирования в сфере персональных данных
В соответствии с п. 1 ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Среди персональных данных можно выделить следующие категории персональных данных.
Во-первых, персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):
1. фамилия, имя, отчество;
2. год, месяц, дата рождения;
3. место рождения;
4. адрес;
5. телефон;
6. семейное положение;
7. социальное положение;
8. имущественное положение;
9. образование;
10. профессия;
11. занимаемая должность;
12. стаж работы;
13. доходы 1;
14. иная информация.
К персональным данным несовершеннолетнего обучающегося можно отнести сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность, и информацию, содержащуюся в личном деле и классном журнале.
Во-вторых, специальные категории персональных данных, которые включают следующие персональные данные:
1. расовая или национальная принадлежность;
2. политические взгляды;
3. религиозные или философские убеждения;
4. состояние здоровья;
5. состояние интимной жизни.
Обработка специальных категорий персональных данных допускается только в специально предусмотренных ч. 2 ст. 10 Закона о персональных данных случаях:
1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2. персональные данные сделаны общедоступными субъектом персональных данных;
3. обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
4. обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
5. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
8. обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
9. обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
10. обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
11. обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
12. обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
13. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
14. обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
В-третьих, биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Биометрические персональные данные будут являться таковыми при наличии условий:
1. они признаны таковыми в силу положений нормативных правовых актов;
2. они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
3. они используются оператором для установления личности субъекта персональных данных.
К биометрическим персональным данным относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека.
Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях установленных Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», которым четко определены виды и порядок проведения дактилоскопической регистрации. Обработка указанных данных в иных случаях, действующим законодательством не предусмотрена. В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека. Проведение государственной дактилоскопической регистрации возможно в случаях:
1. розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;
2. установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
3. установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
4. подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
5. предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного и (или) многократного пропуска на территорию не подпадает под действие Закона о персональных данных и в таком случае обработка биометрических персональных данных осуществляется без наличия оснований, предусмотренных законодательством Российской Федерации.
Биометрические персональные данные могут обрабатываться оператором только при согласии в письменной форме субъекта персональных данных, за исключением случаев, установленных в ч. 2 ст. 11 Закона о персональных данных, в частности согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и о гражданстве Российской Федерации.
Не относятся к биометрическим персональным данным:
1. данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), т.е. без проведения процедур идентификации (установления личности);
2. данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;
3. фотографическое изображение, содержащееся в личном деле работника;
4. подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
5. рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;
6. материалы видеосъемки в публичных местах и на охраняемой территории.
В-четвертых, общедоступные персональные данные — это сведения, доступные неограниченному кругу лиц, информация из открытых справочников, к которой доступ имеет любой желающий, в частности из таких общедоступных источников персональных данных как справочники и адресные книги.
Субъектом персональных данных является физическое лицо, в том числе граждане Российской Федерации, которое принимает решение о предоставлении своих персональных данных операторам персональных свободно, своей волей и в своем интересе.
Согласно части 1 статьи 6 Закона о персональных данных одним из правовых оснований обработки персональных данных является наличие согласия субъекта персональных данных на обработку его персональных данных.
Каждый субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных может быть дано если иное не установлено федеральным законом в любой позволяющей подтвердить факт его получения форме, в том числе в письменной форме, с использованием электронной цифровой подписи, акцептирования публичной оферты, получения на мобильный телефон и (или) электронную почту уникальной последовательности символов и иными способами и формами.
Вместе с тем, в случаях, когда Законом о персональных данных предусмотрена обработка персональных данных только с согласия в письменной форме субъекта персональных данных, то равнозначным признается только согласие в форме электронного документа, подписанного с электронной подписью.
Источником получения персональных данных может быть как непосредственно субъект персональных данных (иное лицо, действующее от имени или по поручению субъекта персональных данных на законных основаниях), так и лицо, не имеющее правовых оснований для раскрытия конфиденциальной информации о субъекте персональных данных, а также общедоступные источники.
Закон о персональных данных предусматривает возможность дачи согласия в случае недееспособности субъекта персональных данных законным представителем субъекта персональных данных, в том числе законными представителями несовершеннолетнего являются его родители, а законным представителем лица, лишенного дееспособности, выступает его опекун. В тоже время, для предоставления согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации.
Документами, подтверждающими законность представительства, могут являться свидетельство о рождении, акт о назначении опекуном, а в случае добровольного представительства надлежащим образом оформленная доверенность в простой письменной форме.
Необходимо отметить, что при лишении права представительства право дачи согласия от имени недееспособности субъекта персональных данных утрачивается, в частности родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда, не имеет права дачи согласия дачи согласия на обработку персональных данных от имени ребенка.
Однако, в настоящее время в законодательстве Российской Федерации при обработке биометрических персональных данных несовершеннолетних необходимо руководствоваться частями 1 и 2 статьи 11 Закона о персональных данных, согласно которым обработка биометрических персональных данных несовершеннолетних в силу их недееспособности, в том числе с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Закона о персональных данных обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, законодательством перечень действий по обработке персональных данных не ограничен и не исключает возможности обработки персональных любыми способами.
Обработка персональных данных должна соответствовать определенным целям, а обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
Основополагающими началами обработки персональных данных являются заложенные в Законе о персональных данных принципы обработки персональных данных:
1. обработка персональных данных на законной и справедливой основе;
2. ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
3. недопустимость обработки персональных данных, несовместимой с целями сбора персональных данных;
4. обработка персональных данных, которые отвечают целям их обработки;
5. соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
6. исключение обработки персональных данных, являющихся избыточными по отношению к заявленным целям их обработки и др.
Выделяют несколько способов обработки персональных данных:
1. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
2. неавтоматизированная обработка персональных данных — обработка персональных данных, осуществляемая при непосредственном участии человека;
3. смешенная обработка персональных данных.
Критерии обработки персональных данных без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008 N 687, утвердившим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
Статьей 16 Закона о персональных данных установлены права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных, в частности запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев: при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. В частности, примерами могут стать следующие ситуации:
1. по результатам автоматизированной обработки данных выявлено, что у работника недостаточный уровень квалификации, то на этом основании уволить его как несоответствующего занимаемой должности нельзя;
2. по результатам автоматизированной обработки данных выявлено, что работник не зашел на территорию организации, то на этом основании привлечь его к ответственности нельзя.
Данное положение нашло также отражение в статье 86 Трудового кодекса Российской Федерации, согласно которой при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Оператор непосредственно определяет порядок получения согласия субъекта персональных данных для обработки его персональных данных.
Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных. Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.
Согласно пункту 2 статьи 9 Закона о персональных данных согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В то же время, необходимо отметить, что требования по обработке персональных данных не распространяются на отношения, возникающие:
1. при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Также положениями 2-11 части 1 Закона о персональных данных предусмотрены 10 случаев, при наступлении которых обработка персональных данных допускается без согласия субъекта персональных данных:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду «положениями 2-11 части 1 статьи 6«
1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Таким образом, согласно п. 2 ч. 1 ст. 6 Закона о персональных данных если организация осуществляет деятельность в целях реализации федерального законодательства, то согласие на обработку персональных данных обучающихся не требуется, в частности образовательные организации, осуществляя в качестве оператора персональных данных обработку персональных данных обучающихся в целях организации образовательного процесса и представляя информацию о текущей успеваемости учащегося, осуществляя ведение электронного дневника и электронного журнала успеваемости, оказывает государственную услугу в соответствии с п. 8 приложения N 1 Распоряжения Правительства Российской Федерации от 17 декабря 2009 г. N 1993-р, не обязаны получать согласия обучающихся и их законных представителей.
При этом, следует обратить внимание, что в случае, если ранее организация получила согласие на обработку персональных данных в рамках оказания государственной услуги, то уничтожение данного согласия не требуется, а в случае, если законные представители несовершеннолетнего отозвали ранее данное согласие на обработку персональных данных в рамках оказания данной государственной услуги, то организация может продолжить обработку персональных данных в случаях, предусмотренных законодательством в сфере образования.
Иные персональные данные обучающегося, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия одного из родителей (законного представителя), в том числе к таким данным относятся документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством, например, документы о составе семьи и ее социально-экономическом положении.
В случае, когда для предоставления государственной или муниципальной услуги необходима обработка персональных данных лица, не являющегося заявителем, и если в соответствии с федеральным законом обработка таких персональных данных может осуществляться с согласия указанного лица, при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие получение согласия указанного лица или его законного представителя на обработку персональных данных указанного лица (ч. 3 ст. 7 Закона о персональных данных). Необходимо отметить, что в этом случае основание, допускающее обработку персональных данных без соответствующего согласия в рамках оказания государственных и муниципальных услуг, распространяется на субъекта персональных данных, которым, помимо заявителя, может быть и иное лицо.
При зачислении несовершеннолетнего лица в общеобразовательную организацию согласно действующему законодательству необходимо осуществлять обработку персональных данных родителей (законных представителей) ребенка, в частности согласно Приказу Минобрнауки России от 22.01.2014 N 32 в целях зачисления ребенка в общеобразовательную организацию родитель должен предоставить свои персональные данные в объеме фамилия, имя, отчество (при наличии), адрес места жительства и контактные телефон, а согласно п. 13 данного приказа в целях зачисления несовершеннолетнего в общеобразовательную организацию родители (законные представители) ребенка фиксируют своей подписью согласие на обработку своих персональных данных, а также персональных данных несовершеннолетнего. Таким образом, в указанном случае правовым основанием обработки персональных данных родителей будет являться согласие на обработку персональных данных, что предусмотрено п. 1 ч. 1 ст. 6 Закона о персональных данных.
В то же время, многие образовательные организации предоставляют услуги дополнительного образования, для чего между образовательной организацией и родителем (законным представителем) заключается договор, в котором согласно приказу Минобрнауки России от 25 октября 2013 г. N 1185 указываются паспортные данные родителя (законного представителя). В указанном случае правовым основанием обработки персональных данных будет являться п. 5 4. 1 ст. 6 Закона о персональных данных, в соответствии с которым получение отдельного согласия на обработку персональных данных в рамках договорных отношений не требуется.
Также, в образовательной организации могут проводиться разного рода исследования, направленные в частности, на выявление уровня удовлетворенности родителей образовательным процессом, в ходе которого родителю необходимо будет указать фамилию, инициалы и номер класса, в котором учится ребенок. В данном случае, правовым основанием обработки персональных данных также является согласие на обработку его персональных данных, получаемое в соответствии с п. 1 ч. 1 ст. 6 Закона о персональных данных.
В тоже время, согласно части 3 статьи 9 Закона о персональных данных обязанность представить доказательства того, что согласие на обработку его персональных данных получено, возлагается на оператора.
Отдельно необходимо выделить особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных. Государственные и муниципальные органы могут создавать в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных, а особенности учета персональных данных в них могут быть установлены федеральными законами. В сфере образования в соответствии с частью 9 и 10 статьи 98, пункта 2 части 15 статьи 107 Федерального закона от 29 декабря 2012 г. N 273-ФЗ «Об образовании в Российской Федерации» и постановления Правительства Российской Федерации от 26 августа 2013 г. N 729 реализуется федеральная информационная система «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».
Оператор персональных данных
Определение целей действий с персональными данными, состава подлежащих обработке персональных данных, конкретного перечня действий с персональными данными, а также принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных, возложено на операторов персональных данных.
В соответствии п. 2 ст. 3 Закона о персональных данных оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Согласно статье 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, которым согласно абзацу 2 пункта 1 Постановления Правительства РФ от 16.03.2009 N 228 является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом, в частности в качестве уполномоченного лица в случае, если оператором является юридическое лицо, может выступать руководитель организации или иное лицо, действующее от имени организации по доверенности, а уведомление от имени физического лица может быть подписано им самостоятельно либо уполномоченным им лицом по доверенности.
Уведомление следует направлять в территориальный орган Роскомнадзора 2 по месту регистрации оператора в налоговом органе.
Форма уведомления установлена ч. 3 ст. 22 Закона о персональных данных, в частности в уведомлении необходимо указывать:
1. наименование (фамилию, имя, отчество), адрес оператора;
2. цель обработки персональных данных;
3. категории персональных данных;
4. категории субъектов, персональные данные которых обрабатываются;
5. правовое основание обработки персональных данных;
6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7. описание мер, предусмотренных ст. 18.1 и 19 Закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8. фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
9. дату начала обработки персональных данных;
10. срок или условие прекращения обработки персональных данных 3;
11. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
12. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
13. сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.
Приказом Роскомнадзора от 30.05.2017 N 94 утверждены Методические рекомендации, которыми целесообразно руководствоваться при направлении уведомления. Согласно п. 3.1.13 Рекомендаций уведомление рекомендуется оформлять на бланке организации, осуществляющей обработку персональных, данных по форме, определенной Приложением 1 к Рекомендациям.
Обращаем внимание, что в вопросах ведения реестра операторов, осуществляющих обработку персональных данных, Роскомнадзор и территориальные органы руководствуются вышеуказанными методическими рекомендациями.
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов персональных данных.
Если будут представлены неполные или недостоверные сведения, в реестр операторов персональных данных они не вносятся, а в адрес оператора персональных данных направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить. Уточненные по запросу сведения рекомендуется сообщить в течение 30 дней со дня получения такого запроса, а если в течение 30 дней со дня получения запроса оператор персональных данных не представил уточненные сведения, то по истечении указанного срока уведомление с неполными или недостоверными сведениями возвращается оператору без внесения сведений о нем в реестр операторов персональных данных.
В соответствии с частью 7 статьи 22 Закона о персональных данных если предоставленные для внесения в реестр операторов сведения будут изменены либо будет прекращена обработка персональных данных, то оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Информация о внесении сведений об операторе в реестр операторов размещается на официальном сайте и Портале персональных данных в общедоступной форме (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), и любое лицо может ознакомиться с ней на Портале персональных данных по адресу http://pd.rkn.gov.ru.
Не требуется уведомлять Роскомнадзор об обработке следующих персональных данных:
1. обрабатываемых в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (при этом такие персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных);
3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. сделанных субъектом персональных данных общедоступными;
5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. обрабатываемых без использования средств автоматизации;
9. обрабатываемых в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
При этом операторами персональных данных юридические или физические лица являются независимо от включения в реестр операторов персональных данных.
Согласно ч. 3 ст. 6 Закона о персональных данных оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Если обработка персональных данных поручена третьему лицу в силу ч. 3 ст. 6 Закона о персональных данных, с оператора не снимаются обязанности уведомлять Роскомнадзор об обработке персональных данных, поскольку ст. 22 Закона о персональных данных, регулирующая вопросы уведомления об обработке персональных данных, таких исключений не содержит. В то же время, в соответствии с ч. 5 ст. 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор, а лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
Поручение оператора третьему лицу на обработку персональных данных должно содержать:
1. перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом;
2. цели обработки;
3. обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
4. требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
При сборе персональных данных оператор должен исполнять следующие обязанности.
Во-первых, субъект персональных данных имеет право на получение информации от оператора персональных данных, касающейся обработки его персональных данных, в том числе содержащей:
1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
Следует обратить внимание, что указанный перечень сведений предоставляется субъекту персональных данных или его представителю оператором персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя.
При этом, запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Согласно ст. 20 Закона о персональных данных оператор персональных данных обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя. Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Субъект персональных данных вправе требовать от организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Во-вторых, оператор персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Если предоставление персональных данных является обязательным, то оператор должен разъяснить последствия непредоставления таких данных, например, отказ в предоставлении персональных данных работодателю при заключении трудового договора повлечет невозможность заключения такого договора.
В-третьих, при обработке персональных данных граждан РФ использовать базы данных, находящиеся на территории Российской Федерации. При записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан РФ, в том числе при сборе персональных данных посредством Интернета, должны обязательно использоваться базы данных, находящиеся на территории Российской Федерации, за исключением специально предусмотренных случаев, указанных в части 5 статьи 18 Закона о персональных данных 4.
В-четвертых, принимать меры, необходимые и достаточные для обеспечения выполнения возложенных на оператора обязанностей.
Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами 5.
К таким мерам могут, в частности, в организациях относиться:
1. Назначение организацией из числа сотрудников или привлеченной организации лица, ответственного за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
— осуществлять внутренний контроль за соблюдением организацией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
— доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2. Издание организацией документов, определяющих политику организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, определяющие критерии уровней защищенности и требования к защите, а состав и содержание необходимых мер определяются в соответствии с Приказами ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Примерный перечень локальных актов оператора персональных данных включает:
1. Политику оператора персональных данных в отношении обработки персональных данных;
2. Положение об обработке и защите персональных данных;
3. Обязательство о соблюдении режима конфиденциальности персональных данных;
4. Перечень должностей сотрудников, имеющих доступ к персональным данным;
5. Приказ о назначении лица, ответственного за организацию обработки персональных данных;
6. Приказ об утверждении мест хранения материальных носителей персональных данных.
Организация обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Если оператор персональных данных осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей, он обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Если обработка персональных данных осуществляется не в Интернете, то доступ к политике в отношении обработки персональных данных может быть обеспечен любым доступным способом.
В соответствии с письмом Минобрнауки России от 14 мая 2018 года N 08-1184 общеобразовательные организации размещают локальные нормативные акты в сфере обеспечения информационной безопасности обучающихся, в том числе по вопросам обработки персональных данных, в разделе «Информационная безопасность» на своих официальных сайтах в сети «Интернет».
В примерную форму Политики организации в отношении обработки персональных данных рекомендуется включить следующие структурные компоненты:
7. Общие положения. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
8. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность организации, целей фактически осуществляемой организацией деятельности, а также деятельности, которая предусмотрена учредительными документами организации, и конкретных процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
9. Правовые основания обработки персональных данных. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми организация осуществляет обработку персональных данных. В качестве правового основания обработки персональных данных могут быть указаны:
— федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью организации 6;
— уставные документы организации;
— договоры, заключаемые между организацией и субъектом персональных данных (учащимся, его законными представителями);
— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям организации).
10. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. К категориям субъектов персональных данных могут быть отнесены, в том числе:
— работники организации, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
— учащиеся, их законные представители;
— представители/работники клиентов и образовательной организации (юридических лиц).
11. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые организацией персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных.
12. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых организацией с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона о персональных данных, а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Рекомендуется указывать сроки хранения персональных данных и иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
13. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
— иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
Рекомендуется включить в Политику регламент(ы) реагирования на запросы(или) обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и (или) обращений.
3. Соблюдение условий обработки персональных данных, осуществляемой без использования средств автоматизации.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором, в том числе принимается документа, подтверждающего утверждение оператором перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, и конкретных мест хранения персональных данных (материальных носителей).
4. Ознакомление работников организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Оператором должен быть:
— оформлен лист ознакомления работников с положениями законодательства о персональных данных и документами оператора по вопросам обработки персональных данных;
— включены положения законодательства в области персональных данных в трудовые договора с работниками, должностные регламенты и иные локальные акты оператора;
— организовано прохождение соответствующих образовательных программ. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором) должны быть проинформированы о:
— факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации,
— категориях обрабатываемых персональных данных,
— особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов российской федерации, а также локальными правовыми актами организации (при их наличии).
В-пятых, в соответствии с частью 4 ст. 20 Закона о персональных данных представить по запросу Роскомнадзора в течение 30 дней с даты получения такого запроса документы и локальные акты, определяющие политику и порядок обработки персональных данных, а также подтверждение принятия необходимых мер по защите персональных данных.
Обработка персональных данных работников
Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного гражданина.
Статьей 65 Трудового кодекса Российской Федерации установлен перечень документов, предъявляемых при заключении трудового договора:
1. паспорт или иной документ, удостоверяющий личность;
2. трудовая книжка (при наличии);
3. СНИЛС;
4. документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
5. документ об образовании и (или) о квалификации или наличии специальных знаний (если работа требует специальных знаний или специальной подготовки);
6. справку о наличии (отсутствии) судимости и (или) факта уголовного преследования (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию);
7. справку о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, подвергнутые административному наказанию за потребление наркотических средств или психотропных веществ).
Необходимо отметить, что вышеуказанный перечень может быть расширен специальным (отраслевым) законодательством и возможно использование унифицированных форм первичной учетной документации по учету труда и его оплаты, утверждённых Постановлением Госкомстата РФ от 05.01.2004 N 1.
Согласно статье 86 Трудового кодекса Российской Федерации обработка сведений о работнике может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
В то же время, согласно вышеуказанной статье Трудового кодекса Российской Федерации работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных, философских убеждениях, о его членстве в общественных объединениях, а данная информация согласно Закону о персональных данных отнесена к специальной категории персональных данных, а их обработка их допускается в определенных случаях, в частности если работник дал согласие в письменной форме на обработку этих сведений или сделал их общедоступными.
Необходимо отметить, что согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона о персональных данных.
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
В то же время, согласно. 8 ст. 86 ТК РФ работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
В соответствии со ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют следующие права:
1. право на полную информацию о своих персональных данных и обработке этих данных;
2. право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;
3. В соответствии со ст. 62 ТК РФ такие документы работодатель обязан выдать работнику по его письменному заявлению не позднее трех рабочих дней со дня подачи этого заявления, а копии документов должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
4. право на определение своих представителей для защиты своих персональных данных, в частности представителями работников могут быть профсоюз либо иные лица, которые должны быть наделены соответствующими полномочиями;
5. право на доступ к медицинской документации, отражающей состояние своего здоровья, с помощью медицинского работника по своему выбору;
6. право на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона;
7. право на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
8. право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.
Обработка персональных данных работников организации не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством или специальным (отраслевым) законодательством, например, работодателю, осуществляющему торговую деятельность продуктами питания, сотрудник, работающий в должности продавца, помимо прочих обязан предоставить сведения о состоянии здоровья.
Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет или при передаче персональных данных работника третьим лицам, предусмотрена законодательством Российской Федерации.
Примерами прямого указания в законодательстве Российской Федерации норм, связанных с обработкой персональных данных, могут стать следующие случаи:
— Согласно статье 9 и пункту 2 статьи 11 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» в обязанности работодателя вменяется представление в Пенсионный фонд РФ в определенных случаях и в установленные сроки информации о работниках, содержащей персональные данные;
— Согласно статье 357 ТК РФ работодатель обязан предоставить персональные данные работников государственным инспекторам труда при выполнении ими надзорных и контрольных функций.
Другим примером может служить обязанность в соответствии с пунктом 2 статьи 10 Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» владельцев сайтов в сети «Интернет» разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, а также адресе электронной почты.
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
В соответствии с ч. 1 ст. 17 Федерального закона от 12 января 1996 г. N 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам. Согласно определению Верховного суда Российской Федерации от 20 июля 2012 г. N 56-КГ12-3 согласие работников на передачу их персональных данных профессиональному союзу не требуется, так как коллективный договор заключен от имени всех работников, а профессиональный союз, запрашивая персональные данные, контролирует соблюдение коллективного договора.
Образовательные организации в соответствии с постановлением Правительства Российской Федерации от 10.07.2013 N 582 публикуют на своем официальном сайте в сети «Интернет» без согласия на обработку персональных данных следующие данные о работниках организации: информация о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; персональный состав педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности. В иных случаях согласно ст. 88 ТК РФ при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, а письменная форма согласия должна соответствовать ч. 4 ст. 9 Закона о персональных данных.
2. Обработка персональных данных близких родственников работника в объеме, предусмотренной законодательством Российской Федерации предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
Согласно пункту 1 статьи 20 Федерального закона от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации» граждане, претендующие на замещение должности гражданской службы и замещающие должность гражданской службы, включенную в перечень, установленный нормативными правовыми актами Российской Федерации, обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов своей семьи.
В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках трудового законодательства, в частности согласно ст. 228 ТК РФ о несчастном случае с работником работодатель обязан проинформировать соответствующие органы.
Необходимо отметить, что передача персональных данных работника организации кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
1. договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
2. наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
3. соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).
Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. С учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу. Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством Российской Федерации, в частности законодательством о государственной гражданской службе,, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов определен Федеральным законом «О государственной гражданской службе Российской Федерации» и п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112, а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена распоряжением Правительства Российской Федерации от 26.05.2005 N 667-р. Ведение кадрового резерва на сегодняшний день трудовым законодательством не регламентировано. В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет. Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.
Необходимо отметить, что Федеральным законом от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации» предусмотрено формирование кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального государственного органа, кадровый резерв субъекта Российской Федерации и кадровый резерв государственного органа субъекта Российской Федерации).
Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц, при ведении органом государственной власти кадрового резерва не требуется.
Необходимо также подчеркнуть, что вышеуказанные требования распространяются на не только штатных сотрудников, но и граждан, с которыми у юридического или физического лица заключены гражданско-правовые договоры, а в соответствии с п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.
Отдельно необходимо отметить, что согласно статье 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, а данное положение также закреплено в специальном (отраслевом) законодательстве:
1. Согласно ст. 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 N 323-ФЗ сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну, а разглашение сведений, составляющих врачебную тайну, допускается лишь с согласия самого человека или его законного представителя.
2. На сайтах и (или) страниц сайтов педагогических работников в сети «Интернет» в соответствии методическими рекомендациями по созданию и развитию сайтов и (или) страниц сайтов педагогических работников в сети «Интернет», направленных письмом члена Совета Федерации Л.Н. Боковой от 26 февраля 2019 года N 66-02.41/ЛБ, не допускается размещение персональных данных обучающихся ра без их согласия на публикацию их персональных данных на сайте и (или) странице сайта педагогического работника.
Система государственного контроля и надзора за обработкой персональных данных. Ответственность за нарушение требований Закона о персональных данных
Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте Российской Федерации, а права и обязанности этого Роскомнадзора устанавливаются положением о нем в соответствии со ст. 23 Закона о персональных данных.
В соответствии со ст. 354 ТК РФ Федеральная инспекция труда, состоящая из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в т.ч. и по вопросам защиты персональных данных работников.
Ответственность за невыполнение оператором предусмотренной законодательством РФ в области персональных данных предусмотрена статьей 13.11 Кодекса Российской Федерации об административных правонарушениях. К ответственности может быть привлечена как сама организация, так и ее руководитель как должностное лицо, которое согласно примечанию к ст. 2.4 КоАП РФ совершило административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководителей и других работников организаций.
Кроме этого, согласно статье 90 Трудового кодекса в случае, когда по вине одного работника нарушены положения законодательства РФ в области персональных данных при обработке персональных данных других работников, такой работник привлекается к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекается к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Работники оператора могут привлекаться к уголовной ответственности в следующих случаях:
1. В ч. 2 ст. 137 УК РФ установлена ответственность за незаконное распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ, совершенные лицом с использованием своего служебного положения;
2. В ч. 3 ст. 272 УК РФ установлена ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, совершенное лицом с использованием своего служебного положения.
Обзор типичных нарушений законодательства Российской Федерации в сфере персональных данных
1. Публикация персональных данных несовершеннолетних на официальном сайте образовательной организации в нарушение требований ч. 1 ст. 6 Закона о персональных данных. Размещение персональных данных несовершеннолетних, в том числе ФИО, фото- или видеоизображений, даты и место рождения, паспортные данные и других данных, на официальном сайте образовательной организации не допускается, за исключением случаев, предусмотренных федеральным законом или иными нормативными правовыми актами, принятыми во исполнение федеральных законов.
Таким образом, при размещении персональных данных без соответствующих правовых оснований данная информация не допускается для размещения на официальном сайте образовательной организации.
В тоже время, целью сбора персональных данных несовершеннолетних в рамках информирования о результатах олимпиад и о зачислении в образовательные организации является информирование участников образовательных отношений, таким образом данная информация может быть предоставлена неограниченному кругу лиц.
Кроме этого, не допускается публикация персональных данных несовершеннолетних на сайтах в сети «Интернет» должностных лиц оператора, в том числе размещение персональных данных несовершеннолетних на сайтах и (или) страниц сайтов педагогических работников в сети «Интернет».
2. Не предоставление в Роскомнадзор уведомления об осуществлении обработки персональных данных и предоставление в Роскомнадзор неполных (недостоверных) сведений об обработке персональных данных в нарушение требований ч. 22 ст. 6 Закона о персональных данных.
Также в соответствии с требованиями ст. 22 Закона о персональных данных необходимо предоставить изменения в ранее поданное уведомление, в связи с вступлением в силу с 1 сентября 2015 года Федерального закона от 21.07.2014 г. N 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
3. Несоответствие письменных согласий субъектов персональных данных на обработку персональных данных требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных обучающиеся образовательной организации третьим лицам, в том числе при ведении электронных дневников, в нарушение требований ч. 3 ст. 6 Закона о персональных данных.
5. Поручение обработки персональных данных несовершеннолетних операторами связи третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.
6. Неразмещение на сайте оператора документа, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, в соответствии с ч. 2 ст. 18.1 Закона о персональных данных.
7. Несоблюдение условий обработки персональных данных, в том числе биометрических и специальных категорий персональных данных, в нарушение требований ст. 10 и 11 Закона о персональных данных.
8. Принадлежность домена официального сайта организации не организации и использование баз данных, находящихся не на территории Российской Федерации в нарушение требований ч. 5 ст. 18 Закона о персональных данных.
9. Непринятие оператором мер по утверждению документов, регламентирующих обработку персональных данных в нарушение требований п. 2 ч. 1 ст. 18.1. Закона о персональных данных.
10. Несоблюдение оператором установленных требований к ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, в нарушение требований п. 6 ч. 1 ст. 18.1. Закона о персональных данных.
11. Обработка избыточных персональных данных по отношению к заявленным целям их обработки в нарушение требований ч. 2 ст. 5. Закона о персональных данных.
12. Нарушение порядка обработки специальных категорий персональных данных несовершеннолетних.
Законодательством Российской Федерации в области персональных данных обработка специальных категорий персональных данных несовершеннолетних с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных в пунктах 2-10 ч. 2 ст. 11 Закона о персональных данных. В этой связи в случае осуществления операторами обработки специальных категорий персональных данных несовершеннолетних без наличия законных оснований, необходимо принять меры по прекращению обработки таких персональных данных и их уничтожению (при наличии базы данных).
13. Обработка биометрических персональных данных несовершеннолетних. Законодательством Российской Федерации в области персональных данных обработка биометрических персональных данных несовершеннолетних с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных, что исключает наличие оснований для осуществления такой обработки. В этой связи в случае осуществления операторами обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных несовершеннолетних и их уничтожению (при наличии базы данных).
14. Отсутствие ответственного за организацию обработки персональных данных в нарушение требований ст. 22.1. Закона о персональных данных, в том числе некорректное определение ответственного за организацию обработки персональных данных, назначение нескольких ответственных за организацию обработки персональных данных и отсутствие в должностном регламенте ответственного полномочий, установленных Законом о персональных данных.
15. Неосуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных в нарушение требований п. 4 ч. 1 ст. 18.1. Закона о персональных данных, в том числе отсутствие планов проведения внутреннего контроля/аудита и отсутствие материалов проверочных мероприятий внутреннего контроля и(или) аудита.
Организация организационно-административных мероприятий по реализации методических рекомендаций
К организационно-административным мероприятиям, проводимыми органами государственной власти субъектов Российской Федерации в сфере образования и органами местного самоуправления муниципальных районов и городских округов в сфере образования, относится:
1. осуществление в рамках своей компетенции информационной и методической поддержки общеобразовательных организаций по вопросам реализации настоящих методических рекомендаций;
2. организация дополнительного профессионального образования работников общеобразовательных организаций и проведение мероприятий, в том числе конкурсного характера;
3. проведение совещаний, конференций и других публичных мероприятий для работников общеобразовательных организаций по вопросам реализации настоящих методических рекомендаций;
4. организация и проведение регулярного мониторинга реализации положений настоящих методических рекомендаций в общеобразовательных организациях.
Приоритетные задачи Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по направлению формирования ответственного отношения к персональным данным заложены в Стратегию институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года, а именно:
1. повышение правовой грамотности населения Российской Федерации: взаимодействие с общеобразовательными и высшими учебными заведениями учреждениями; усовершенствование системы дополнительного образования сотрудников государственной гражданской службы, представителей коммерческого сектора, в части введения дисциплин, направленных на ознакомление с принципами и условиями защиты прав субъектов персональных данных;
2. обеспечение посредством официальных ресурсов Роскомнадзора в сети Интернет информационного сопровождения реализации права граждан на получение информации относительно деятельности операторов по обработке их персональных данных;
3. методическое сопровождение деятельности операторов по соблюдению требований законодательства Российской Федерации в области персональных данных с учетом профессиональной специфики и неурегулированности отдельных вопросов правоприменения;
4. стимулирование добросовестного поведения и совершенствование механизмов регулирования области персональных данных, в том числе применение механизмов саморегулирования:
5. пропаганда образа жизни, направленного на ответственное отношение к личным данным, среди несовершеннолетних: разработка и реализация информационно-просветительских программ для несовершеннолетних, в том числе в рамках тематических смен в период каникул; разработка, реализация и поддержка информационных проектов для несовершеннолетних в средствах массовой информации и сети Интернет; обеспечение взаимодействия с местными периодическими изданиями, ориентированными на несовершеннолетнюю аудиторию; создание и поддержка тематических молодежных ресурсов в сети Интернет; обеспечение условий для реализации администрациями интернет-ресурсов, пользующихся популярностью среди несовершеннолетних, функционала, направленного на информирование пользователей на необходимость ответственного отношения к личным данным.
Роскомнадзором в рамках федерального проекта «Цифровой дом» разработан Кодекс этической деятельности (работы) в сети «Интернет» (далее — Кодекс), направленный на повышение внимания граждан, органов государственной власти, общества и бизнес-сообщества на необходимость построения безопасного информационного пространства в сети Интернет, обеспечивающее надежную защиту прав субъектов персональных данных, повышения информированности общества и частных пользователей относительно существующих угроз неприкосновенности частной жизни в связи с использованием информационных технологий. При подписании Кодекса добросовестных практик в сети «Интернет» организация подтверждает готовность содействовать обеспечению безопасного информационного пространства в сети Интернет на основе требований законодательства Российской Федерации, положений международных договоров, рекомендаций уполномоченных органов государственной власти, а также создания, развития и внедрения мероприятий по формированию культуры безопасного поведения в Сети. Текст Кодекса и список его подписантов размещен на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных данных в разделе «Кодекс добросовестных практик» по адресу http://pd.rkn.gov.ru/code/. Общеобразовательные организации могут присоединиться к реализации Кодекса, для чего необходимо обратиться в территориальное управление Роскомнадзора.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций реализует также информационно-развлекательный сайт для детей и подростков http://персональныеданные.дети/, направленный на изучение вопросов, связанных с защитой прав субъектов персональных данных. На сайте размещены информационные материалы для детей, которые могут быть использованы как в рамках школьных уроков по теме персональных данных, так и просто в виде интересной и познавательной информации.
Рабочая группа «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства, Минкомсвязь России и Минпросвещения России проводят ежегодно Единый урок безопасности в сети «Интернет» и мероприятия проекта «Сетевичок» для детей, родителей (законных представителей) детей и работников образовательных организаций, в рамках которых проводится повышение уровня цифровой грамотности.
Для реализации настоящих методических рекомендаций на дистанционных площадках рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства организованы бесплатные дистанционные программы повышения квалификации по вопросам персональным данных и их обработки в различных категориях организаций и сферах деятельности.