Памятка по обработке персональных данных образовательными учреждениями
Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами - образовательными учреждениями.
Правовое основание обработки персональных данных образовательными учреждениями, определяется, в том числе, такими нормативными правовыми актами, как Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Гражданский кодекс Российской Федерации, Семейный кодекс Российской Федерации, Трудовой кодекс Российской Федерации.
Субъектами персональных данных являются учащиеся, законные представители учащихся, работники, родственники работников, контрагенты.
Целями обработки персональных данных субъектов персональных данных являются: осуществление деятельности согласно Уставу образовательной организации, исполнение договора на оказание образовательных услуг; исполнение иных договорных отношений; проведение внеурочной работы, оформление трудовых отношений.
Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», обработка персональных данных допускается:
- с согласия субъекта данных (законного представителя субъекта персональных данных) на обработку персональных данных;
- если обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- если обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- если обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- если обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- если обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Субъект персональных данных (его представитель), в соответствии со ст. 14 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
В соответствии с требованиями ч. 5 ст.18 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», при сборе персональных данных учреждения обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 указанного Федерального закона.
При обработке персональных данных образовательная организация в соответствии со ст. 18.1, 19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В соответствии с требованиями ст. 7 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», образовательные организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» образовательные организации до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.
Организации, оказывающие услуги в сфере жилищно-коммунального хозяйства, должны уведомлять Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) о начале или осуществлении обработки персональных данных за исключением случаев:
- когда осуществляется обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- когда осуществляется обработка персональных данных в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случае изменения сведений, указанных в уведомлении о намерении осуществлять обработку персональных данных, оператор не позднее 15-ого числа месяца, следующего за месяцем, в котором возникли такие изменения, обязаны уведомить Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) обо всех произошедших за указанный период изменениях.
В случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) в течение десяти рабочих дней с даты прекращения обработки персональных данных.
Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 180 (зарегистрировано в Минюсте России 15.12.2022 № 71532) утверждены формы уведомления о намерении осуществлять обработку персональных данных, уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, уведомления о прекращении обработки персональных данных.
На портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru) оператору предоставлена возможность сформировать и отправить уведомления в территориальный орган Роскомнадзора одним из следующих способов:
1. в бумажном виде;
2. в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. в электронном виде с использованием средств аутентификации ЕСИА.
Консультации по вопросам предоставления операторами, осуществляющими обработку персональных данных, уведомления о намерении осуществлять обработку персональных данных, уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, уведомления о прекращении обработки персональных данных, осуществляются по телефонам (3842) 78-00-67 (добавочный номер 407), (3842) 78-00-65 (добавочный номер 401).