Какую информацию относят к персональным данным?
К персональным данным относят любую информацию, по которой можно понять, о ком идет речь. Например, Ф. И. О., паспортные данные, место жительства, место регистрации и т. д. По сути к персональным данным можно отнести любую совокупность информации о человеке. Однако не всякая совокупность позволяет определить конкретное физическое лицо. В связи с этим существует понятие обезличивания. Так, если речь идет о «директоре школы» либо «жителе села N», этих сведений недостаточно, чтобы понять, к кому они относятся.
Чьи персональные данные используют в школе?
В школе обрабатывают персональные данные:
• учащихся (воспитанников – при наличии интерната);
• педагогических и других работников;
• родителей (законных представителей);
• физических лиц, выполняющих работы по договорам подряда, оказывающих услуги.
Школа получает персональные данные учащихся, которые содержатся в документах, предъявляемых при приеме:
• фамилия, имя, отчество (последнее – при наличии);
• дата и место рождения;
• адрес места жительства.
Кроме того, персональные данные о ребенке содержатся в (ст. 23 Закона № 143-ФЗ), в свидетельстве о регистрации ребенка по месту жительства или по месту пребывания на закрепленной территории (или документе, содержащем такие сведения), в рекомендации психолого-медико-педагогической комиссии.
Надо ли получать согласие?
Согласие на обработку персональных данных по трудовому договору с работником и любым другим договорам получать не нужно (п. 5 ч. 1 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).
Без согласия можно обрабатывать любые статистические или обезличенные данные (п. 9 ч. 1 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).
Минобрнауки России указывает на то, что согласие на обработку персональных данных детей и родителей при приеме брать необходимо (п. 13 Порядка приема). Кто и в какой форме дает согласие
Согласие на обработку данных дает сам субъект – физическое лицо (ч. 1 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).
Согласие на обработку данных несовершеннолетнего в силу его недееспособности дает один из родителей (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).
Что делать, если согласие отзывают?
Если субъект отозвал согласие на обработку персональных данных, то по общему правилу обработку надо прекратить и данные удалить. Например, если родитель потребовал удалить фото с сайта школы, то удалите.
Продолжить обработку персональных данных, несмотря на имеющийся отзыв, можно, если:
• есть решение суда, акт судебного пристава-исполнителя;
• данные обрабатываются в целях предоставления государственной (муниципальной) услуги, например, продолжать обрабатывать данные можно государственной (муниципальной) школе в объеме, необходимом для оказания такой услуги;
• данные представлены по договору, например, по договору по оказанию образовательной услуги;
• есть основания срочного медицинского вмешательства (если получение согласия невозможно из-за физического состояния);
• данные подлежат обязательному раскрытию в силу закона.
Обрабатывает ли школа биометрию?
Необходимости обработки биометрических данных у школы нет. Такие данные всегда обрабатывают с согласия субъекта персональных данных. Поэтому при создании любых автоматизированных информационных систем, например систем контроля и управления доступом, всегда рассматривайте вопрос о снижении рисков и об исключении обработки биометрии. Так, современные системы не обрабатывают биометрию, а используют другие данные для идентификации.
Не являются обработкой биометрических данных случаи обработки:
• информации с видеокамер, которые не позволяют полностью идентифицировать запечатленного на них человека;
• данных отсканированного документа;
• данных ксерокопированных документов;
• любых фотографий;
• почерка.
Что могут потребовать родители, работники и иные субъекты в отношении своих персональных данных?
Все субъекты персональных данных могут:
• обратиться с запросом о том, какие их данные обрабатывает школа (ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ);
• попросить уточнить данные о себе или ребенке;
• обратиться с жалобой в ГИТ, Роскомнадзор, суд, прокуратуру о нарушении права (ст. 17 Закона от 27 июля 2006 г. № 152-ФЗ).
Каковы сроки хранения персональных данных?
Храните персональные данные не дольше, чем этого требуют цели (ч. 7 ст. 5 Закона от 27 июля 2006 г. № 152-ФЗ). После достижения целей данные уничтожьте 
либо обезличьте, как только перестала существовать цель обработки персональных данных (например, уволился работник, учащийся закончил школу, отчислен и т. п.).
Если сроки хранения установлены законодательством либо возможность такая предусмотрена договором, то данные хранят в течение установленного срока. Так, статьей 230 Трудового кодекса РФ установлены сроки хранения актов о несчастном случае на производстве и материалов расследований, статьей 23 Налогового кодекса РФ – сроки хранения документов, необходимых для исчисления и уплаты налогов, документов, подтверждающих полученные доходы и расходы.
Чтобы определить, какие данные надо хранить, а какие нет, ознакомьтесь с перечнем документов в номенклатуре дел. Именно этот документ в школе ориентирует на сроки хранения, которые установлены законодательством.
Ответственность за нарушения при работе с персональными данными
| За нарушение организации обработки персональных данных работников, кроме административной и уголовной ответственности, установлена дисциплинарная и материальная ответственность |
ст. 90 ТК РФ), гражданско-правовая ответственность (ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ). |
| Нарушение Ответственность должностных лиц Ответственность образовательной организации Основание Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации |
Штраф от 1000 до 3000 руб. ст. 5.39 КоАП РФ |
| Обработка персональных данных в случаях, которые не предусмотрены законодательством и несовместимы с целями их сбора, за исключением случаев, предусмотренных частью 2 статьи 13.11 Кодекса РФ об административных правонарушениях | Штраф от 5000 до 10 000 руб.Штраф от 30 000 до 50 000 руб. ч. 1 ст. 13.11 КоАП РФ |
| Обработка персональных данных без письменного согласия гражданина или с нарушением состава сведений в письменном согласии | Штраф от 10 000 до 20 000 руб. Штраф от 15 000 до 75 000 руб. ч. 2 ст. 13.11 КоАП РФ |
| Отсутствие доступа к документу, который устанавливает требования о защите персональных данных | Штраф от 3000 до 6000 руб. Штраф от 15 000 до 30 000 руб. ч. 3 ст. 13.11 КоАП РФ |
| Непредоставление гражданину информации, которая касается обработки его персональных данных | Штраф от 4000 до 6000 руб. Штраф от 20 000 до 40 000 руб. ч. 4 ст. 13.11 КоАП РФ |
| Невыполнение в установленные сроки требования гражданина об уточнении персональных данных, их блокировании или уничтожении | Штраф от 4000 до 10 000 руб. Штраф от 25 000 до 45 000 руб. ч. 5 ст. 13.11 КоАП РФ |
| Неисполнение условий сохранности персональных данных | Штраф от 4000 до 10 000 руб. Штраф от 25 000 до 50 000 руб. ч. 6 ст. 13.11 КоАП РФ |
| Невыполнение обязанности по обезличиванию персональных данных | Штраф от 3000 до 6000 руб. ч. 7 ст. 13.11 КоАП РФ |
| Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации | Штраф от 1000 до 2000 руб. Штраф от 10 000 до 15 000 руб. ч. 6 ст. 13.12 КоАП РФ |
| Штраф от 4000 до 5000 руб. ст. 13.14 КоАП РФ | |
| Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде | Штраф от 300 до 500 руб. Штраф от 3000 до 5000 руб. ст. 19.7 КоАП РФ |
| Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации |
– штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев; – обязательные работы на срок до 360 часов; – исправительные работы на срок до 1 года; – принудительные работы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового; – арест на срок до 4 месяцев; – лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет ст. 137 УК РФ |
| Неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан | Штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет ст. 140 УК РФ |
| Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации | – штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев; – исправительные работы на срок до 1 года; – ограничение свободы на срок до 2 лет; – принудительные работы на срок до 2 лет; – лишение свободы на тот же срок ч. 1 ст. 272 УК РФ |
