Обязана ли я подписывать согласие на обработку персональных данных в школе

Обновлено: 02.07.2024

Родитель несовершеннолетней обучающейся написала заявление на имя директора школы о том, что она отказывается предоставлять какие-либо персональные данные на своего ребенка и еще указала на исключение персональных данных ее ребенка из всех баз данных, которыми пользуется школа.

Как быть директору в данной ситуации?

Сообщаю Вам следующее:

Законодательством не урегулирована ситуация, когда законный представитель обучающегося отказывается предоставлять его персональные данные. При этом обработка персональных данных допускается только с согласия субъекта персональных данных, то есть при отсутствии согласия обработка персональных данных запрещается. Следовательно, руководителю образовательного учреждения следует донести до родителя информацию о том, что при ведении персонифицированного учета в региональных информационных системах, обеспечиваются конфиденциальность и безопасность персональных данных. Если родитель и в таком случае отказывается в предоставлении персональных данных, полагаем необходимо:

— получить письменный отказ родителя от обработки персональных данных;

-удалить учетную запись пользователя в системе;

-в общеобразовательной организации издать приказ, в котором за обучающимся закрепить кодовое имя, например, Ученик 1;

-в учетной записи в системе изменить ФИО обучающегося на кодовое имя, и вести учет успеваемости и посещаемости, как прежде;

-при выводе на печать журналов успеваемости в конце года к журналу приложить копию приказа.

В материалах СПС КонсультантПлюс не содержится разъяснений уполномоченных органов, консультаций, авторских материалов, комментариев, судебной практики по указанному Вами вопросу.

Документы КонсультантПлюс для ознакомления:

Ответ: Предоставление государственных и муниципальных услуг регламентируется Законом N 210-ФЗ. В то же время следует понимать пределы регламентации данным Законом правоотношений, связанных с оказанием муниципальных услуг в сфере образования.

В соответствии с ч. 1 ст. 1 указанного Закона им регулируются отношения, возникающие в связи с предоставлением государственных и муниципальных услуг соответственно федеральными органами исполнительной власти, органами государственных внебюджетных фондов, исполнительными органами государственной власти субъектов РФ, а также местными администрациями и иными органами местного самоуправления, осуществляющими исполнительно-распорядительные полномочия.

Постановлением Правительства РФ от 06.05.2011 N 352 утверждены Перечень услуг, которые являются необходимыми и обязательными для предоставления федеральными органами исполнительной власти государственных услуг и предоставляются организациями, участвующими в предоставлении государственных услуг, а также Правила определения размера платы за оказание услуг, которые являются необходимыми и обязательными для предоставления федеральными органами исполнительной власти государственных услуг.

Действие Закона N 210-ФЗ распространяется и на деятельность организаций, участвующих в предоставлении предусмотренных ч. 1 ст. 1 государственных и муниципальных услуг.

Таким образом, на муниципальные образовательные учреждения положения данного Закона распространяются лишь в тех случаях, когда они участвуют в предоставлении местными администрациями и иными органами местного самоуправления муниципальных услуг.

Кроме того, согласно ч. 3 ст. 1 Закона N 210-ФЗ услуги, предоставляемые государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) или муниципальное задание (заказ), подлежат включению в реестр государственных или муниципальных услуг и предоставляются в электронной форме в соответствии с настоящим Федеральным законом в том случае, если они включены в Перечень, установленный Правительством РФ. Высший исполнительный орган государственной власти субъекта РФ вправе утвердить дополнительный перечень услуг, оказываемых в субъекте РФ государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) субъекта РФ или муниципальное задание (заказ), подлежащих включению в реестр государственных или муниципальных услуг и предоставляемых в электронной форме в соответствии с настоящим Федеральным законом.

Напомним, что государственные (муниципальные) услуги (работы) — это услуги (работы), оказываемые (выполняемые) органами государственной власти (органами местного самоуправления), государственными (муниципальными) учреждениями, а в случаях, установленных законодательством РФ, иными юридическими лицами (ст. 6 БК РФ).

В силу ст. 6 Закона N 152-ФЗ обработка персональных данных допускается в том числе в случаях, когда она необходима для предоставления государственной или муниципальной услуги в соответствии с Законом N 210-ФЗ, для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.

Таким образом, если образовательное учреждение оказывает предусмотренную указанными выше нормами государственную или муниципальную услугу в электронном виде, получать согласие на обработку персональных данных не требуется.

Услуги, предоставляемые государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное или муниципальное задание (заказ), подлежат включению в реестр государственных или муниципальных услуг и предоставляются в электронной форме в соответствии с Законом N 210-ФЗ в том случае, если они включены в Перечень, утвержденный Распоряжением Правительства РФ от 25.04.2011 N 729-р (далее — Перечень N 729-р). Высший исполнительный орган государственной власти субъекта РФ вправе утвердить дополнительный перечень услуг, оказываемых в субъекте РФ государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) субъекта РФ или муниципальное задание (заказ), подлежащих включению в реестр государственных или муниципальных услуг и предоставляемых в электронной форме в соответствии с Законом N 210-ФЗ.

Согласно Перечню N 729-р услугами, оказываемыми федеральными государственными учреждениями и другими организациями в области образования, является предоставление информации:

— о реализации программ основного общего и среднего (полного) общего образования, а также дополнительных общеобразовательных программ;

— о реализации программ основного среднего профессионального образования, а также дополнительных профессиональных образовательных программ;

— о результатах сданных экзаменов, тестирования и иных вступительных испытаний, а также о зачислении в федеральное государственное образовательное учреждение;

— о текущей успеваемости учащегося, ведении дневника и журнала успеваемости;

— об образовательных программах и учебных планах, о рабочих программах учебных курсов, предметах, дисциплинах (модулях), годовых календарных учебных графиках;

— о порядке проведения государственной (итоговой) аттестации учащихся, освоивших основные и дополнительные общеобразовательные (за исключением дошкольных) и профессиональные образовательные программы;

— из федеральной базы данных о результатах единого государственного экзамена.

К услугам, оказываемым государственными учреждениями субъекта РФ и другими организациями, отнесены:

— прием заявлений о зачислении в государственные образовательные учреждения субъекта РФ, реализующие основную образовательную программу дошкольного образования (детские сады), а также постановка на соответствующий учет;

— предоставление информации о реализации в образовательных учреждениях, расположенных на территории субъекта РФ, программ дошкольного, начального общего, основного общего, среднего (полного) общего образования, а также дополнительных общеобразовательных программ;

— предоставление информации о реализации программ начального и среднего профессионального образования, а также дополнительных профессиональных образовательных программ;

— предоставление информации о результатах сданных экзаменов, результатах тестирования и иных вступительных испытаний, а также о зачислении в государственное образовательное учреждение субъекта РФ;

— предоставление информации о текущей успеваемости учащегося в государственном образовательном учреждении субъекта РФ, ведение дневника и журнала успеваемости;

— предоставление информации об образовательных программах и учебных планах, о рабочих программах учебных курсов, предметах, дисциплинах (модулях), годовых календарных учебных графиках;

— предоставление информации о порядке проведения государственной (итоговой) аттестации учащихся, освоивших основные и дополнительные общеобразовательные (за исключением дошкольных) и профессиональные образовательные программы;

— предоставление информации из базы данных субъектов РФ о результатах единого государственного экзамена.

В то же время следует иметь в виду, что согласия не требуется только в тех случаях, когда данную услугу оказывает именно образовательное учреждение. Если же это учреждение в ходе оказания государственной (муниципальной) услуги передает персональные данные иным юридическим лицам, то следует выполнять положения ч. 3 ст. 6 Закона N 152-ФЗ, согласно которым оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.

Таким образом, для передачи образовательным учреждением иным лицам на обработку персональных данных потребуется согласие родителей учащихся, а также заключение договора с образовательным учреждением, отвечающего определенным требованиям, установленных Законом к поручениям оператора.

В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ.

В соответствии с разъяснительным письмом Федеральной службы по надзору в сфере образования и науки (Рособрнадзор) от 17.03.2015 N 02-91 для обучающихся, отказавшихся дать согласие на обработку персональных данных, государственная итоговая аттестация по образовательным программам основного общего образования (далее — ГИА-9) может быть организована без внесения их персональных данных в информационные системы.

С целью соблюдения конституционных прав граждан на получение основного общего образования возникла необходимость обеспечения возможности прохождения ГИА-9 обучающимися, отказывающимися дать согласие на обработку персональных данных, без внесения их персональных данных в федеральную информационную систему обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования (далее — ФИС) и региональные информационные системы обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего образования (далее — РИС).

Для сдачи ГИА-9 названные выше лица подают заявление в государственную экзаменационную комиссию субъекта Российской Федерации (далее — ГЭК) с просьбой предоставить возможность пройти ГИА-9 без обработки их персональных данных.

ГЭК принимает решение о допуске данного обучающегося к сдаче ГИА-9 без внесения персональных данных о нем в РИС и ФИС, а также определяет для него пункт проведения экзамена (далее — ППЭ), аудиторию и место. Решение ГЭК оформляется протоколом. Данный протокол направляется в ППЭ.

Для указанной категории граждан экзамен проводится в штатном режиме, за исключением того, что в бланке регистрации не указываются данные о документе, удостоверяющем личность. Все сопроводительные документы оформляются вручную. После проведения экзамена работу обучающегося упаковывают в отдельный конверт и доставляют в ГЭК.

Таким образом, проверка экзаменационных работ участников ГИА-9, отказавшихся от внесения персональных данных в информационные системы, относится к компетенции ОИВ.

К заявлению прилагается согласие на обработку персональных данных обучающегося. Можно отказаться от обработки персональных данных. Тогда сдача проходит без внесения персональных данных в информационные системы, а штрих-коды с экзаменационных бланков вырезают ножницами организаторы в аудитории в присутствии обучающихся в день проведения экзамена (см., например, письмо Рособрнадзора от 25.05.2016 N 10-253).

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

• например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
• через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
• наименование или Ф. И. О. и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
• условия разрешения и запрета обработки персональных данных;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О.;
• контакты (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

• когда договор заключается непосредственно между банком и работником;
• когда у работодателя есть доверенность на представление интересов работника в банке;
• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Что такое согласие на обработку персональных данных

Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.

Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Какие данные могут подвергаться обработке

О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.

Что является личной информацией граждан

В каких документах присутствуют персональные данные

В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:

• копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
• фотография;
• кадровые документы (трудовая книжка, трудовое соглашение, приказы);
• бухгалтерские документы (расчётные листки по зарплате);
• прочее (резюме, результаты психологического тестирования и т.п.).

В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.

Способы сбора согласий на обработку персональных данных

Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:

Заполнение печатной анкеты

Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.

Подтверждение согласия через СМС-код или звонок

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Чекбокс с галочкой согласия в общей форме заявки

В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.

Что такое портал персональных данных

Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.

Кто такие операторы персональных данных и что они делают

Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.

Когда нужно получение согласия на обработку персональных данных

В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.

Согласие при трудоустройстве

При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.

Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.

Согласие на обработку персональных данных при получении кредита

Согласие при определении ребенка в садик или школу

Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.

Требования к документу в 2021 году

Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.

Обязательно ли получать согласие в 2021 году

Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.

Когда согласие не требуется

Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:

• исполнения договора, в котором одна из сторон – субъект ПД (например, договор аренды помещения);
• защиты жизненно важных интересов гражданина, если получить его согласие физически невозможно;
• сбора статистических данных, проведения научных исследований и иных мероприятий государственного масштаба с условием обязательного обезличивания ПД;
• доставки почтовых отправлений службами почтовой связи;
• опубликования в СМИ персональных данных должностных лиц определённого ранга, кандидатов на выборные должности, общественных деятелей, когда это не противоречит федеральному законодательству.

Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).

Как еще могут ужесточить правила обработки персональных данных

Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:

• пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
• кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
• деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.

Будут ли данные предложение реализованы на практике – покажет время.

Что делать, если человек отказывается давать согласие

Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.

Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.

Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.

Что будет при незаконном разглашении персональных данных

Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.

Сумма штрафа для юридических лиц

Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных

Первое нарушение – от 60 до 100 тыс. руб.

Повторное нарушение – от 100 до 300 тыс. руб.

Ст.13.11 п.1, 1.1 КоАП РФ

Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки

Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений

Первое нарушение – от 30 до 150 тыс. руб.

Повторное нарушение – от 300 до 500 тыс. руб.

Ст.13.11 п.2, 2.1 КоАП РФ

Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена

Как правильно составить согласие в 2021 году

Что должно присутствовать в согласии в обязательном порядке

Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:

1. Ф.И.О.
2. Контактная информация.
3. Сведения об операторе.
4. С какой целью обрабатываются ПД.
5. Обработка каких ПД запрещена.
6. Срок действия.
7. Какие информационные ресурсы будет использовать оператор для распространения ПД.

Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.

Форма согласия на обработку персональных данных в 2021 году

Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.

1. В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
2. Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
3. В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
4. Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.

В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.

Возможные ошибки

К типичным ошибкам при заполнении формы согласия являются:

• документ выполнен не на бланке учреждения (либо не заверен печатью);
• указан адрес местонахождения организации, а не так, как в ЕГРЮЛ;
• цель обработки ПД не соответствует уставной деятельности организации.

Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.

Образец заполнения

Как уведомить Роскомнадзор о получении новых персональных данных

Уведомить Роскомнадзор можно в бумажном или электронном виде.

Можно ли отозвать согласие

Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.

Как прекратить передачу персональных данных

Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:

• лично;
• почтовым отправлением;
• в электронном виде.

Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.

Вопрос: Является ли сбор сведений о зарплате обработкой ПД?

Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.

Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?

Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.

Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?

Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.

Заключение

По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.

В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.

Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.

В связи с этим, в нашей Школе заново собираются, хранятся и обрабатывается персональные данные Ваши и Ваших детей, поэтому руководителю нашей Школы необходимо сделать всё, чтобы было соблюдено действующее законодательство в области защиты персональных данных.

Школа и раньше вела обработку ПДн Ваших детей, и никто не задумывался о переданных данных и фактически все работали в режиме обработки персональных данных, которые закон определяет сейчас как общедоступные.

Руководство Школы гарантирует, в случае получения такого согласия с Вашей стороны, принятие максимального качества мер по защите ПДн в соответствии с требованиями действующего законодательства и нормативных документов регуляторов в области защиты ПДн.

С нормативными документами по защите ПДн можно ознакомиться на сайте нашей Школы.

Администрация МОУ Синьковской СОШ №1

Ответы на часто задаваемые вопросы

Могут ли родители (законные представители) не давать свое согласие на обработку персональных данных ребенка? Чем это грозит? Ребенка отчислят из Школы?

НО! Что делать с Личным делом и Медицинской картой ребенка? Вы их заберете? Даже если нет, то Школа без подписанного вами Согласия не сможет использовать (обрабатывать и распространять) ПДн, а следовательно ПДн ребенка не будут внесены в базы данных по сдаче ГИА-9 или ЕГЭ, следовательно, ребенок не сможет сдавать экзамены и не получит документ об образовании. Ребенок не сможет получить медицинское обслуживание, не сможет участвовать (при желании) в олимпиадах и конкурсах и т.д.

В каких целях будут использованы персональные данные?

Зачем (почему) в Согласии на обработку ПДн должны указываться паспортные данные родителя (законного представителя)?

Какие данные ребенка нужно указать в Согласии?

Только фамилию имя и отчество, остальные данные есть в Личном деле и Медицинской карте.

Почему в Согласии на обработку ПДн указано, что оно действует бессрочно?

Согласно закона ПДн хранятся в течение 75 лет, а в некоторых базах данных и дольше. Но Вы в любой момент можете отозвать свое Согласие, например, после того, как Ваш ребенок закончит обучение в нашей школе.

Спасибо за понимание и сотрудничество.

С уважением, администрация школы

Мы гарантируем, что данные Ваших детей будут использоваться только для организации образовательного процесса. По факту обработки и использования персональных данных Ваших детей ничего не изменится по сравнению с сегодняшней ситуацией.

Наша школа на протяжении многих лет активно внедряет информационные технологии во все направления деятельности. Ведутся базы регистрации ЕГЭ, ГИА и многие другие.

В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных:

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

п.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Разрешение будет храниться в школе, его содержание недоступно другим операторам, поэтому распространяться оно будет только на школу. Любой другой оператор персональных данных должен будет независимо получать от Вас разрешение на обработку Ваших персональных данных.

Принимая решение, не забывайте, что в любой момент на основании того же закона Вы можете изменить свое решение.

Перечень документов, регламентирующих обработку персональных данных:

• Федеральный закон Российской Федерации от 27 июля 2006г. №152-ФЗ "О персональных данных"

Персональные данные – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект.

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными.

К персональным данным относятся:

· адрес фактического проживания;

· информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

· телефонный номер (домашний, рабочий, мобильный);

· семейное положение и состав семьи (муж/жена, дети);

· данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

· информация о приеме на работу, перемещении по должности, увольнении;

· информация о трудовой деятельности до приема на работу;

· информация о трудовом стаже (место работы, должность, период работы, причины увольнения);

· сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

· данные об аттестации работников;

· данные о повышении квалификации;

· данные о наградах, медалях, поощрениях, почетных званиях;

· информация о болезнях;

· информация о негосударственном пенсионном обеспечении;

Также персональными данными считаются биометрические персональные данные, т.е. сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Например, в биометрическим персональным данным относятся фото, видеонаблюдение и т.п.

Не все данные являются персональными сами по себе, но их совокупности могут быть ПДн.

Под действиями с персональными данными понимается следующее:

· сбор – взятие у субъектов ПДн их данных;

· систематизация – произведение действий по сортировке ПДн для выполнения целей обработки;

· накопление – произведение действий по хранению ПДн после их сбора;

· хранение – длительное хранение ПДн в базе данных ИСПДн для выполнения целей обработки;

· уточнение (обновление, изменение) – внесение изменений в базу данных ИСПДн о субъекте ПДн;

· использование – осуществление с помощью ПДн основной (производственной) и сопутствующей деятельности;

· распространение – передача ПДн в другие организации и ИСПДн;

· обезличивание – процесс деперсонализации ПДн;

· блокирование – действие по приостановке процесса обработки ПДн;

· уничтожение – изъятие ПДн из ИСПДн.

Уничтожение персональных данных, позволяющих определить субъекта персональных данных, производится по достижении целей обработки, в случае утраты необходимости в достижении целей, по письменному заявлению субъекта персональных данных или по истечению срока обработки персональных данных.

Персональные данные должны быть удалены из ИСПДн, однако могут быть занесены в архив.

Автоматизированная обработка (обработка с помощью средств автоматизации) осуществляется в информационных системах персональных данных (ИСПДн). ИСПДн представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Будем понимать под неавтоматизированной обработкой – обработку, производящуюся на неэлектронных носителях (бумаге).

К неавтоматизированной обработке относятся:

· различные виды бумажных журналов (школьный журнал, учет прохода посетителей и т.п.);

· личные дела сотрудников;

· личные дела учащихся;

· другие виды обработки, производящиеся исключительно на бумаге.

Список действующих нормативных документов в области защиты ПДн:

Локальные акты:

Для выполнения требований закона в нашей школе заполняется Согласие законного представителя (родителя) на обработку персональных данных ребенка

Читайте также:

  
• Как можно получить доверенность нотариально из бишкека быстро
  
• Знакомства кому за 40 без обязательств
  
• Что такое подкатегория в госуслугах
  
• Методическое обеспечение как элемент дополнительной образовательной программы включает в себя
  
• Где взять сканы паспортов бесплатно