Как работать с персональными данными в детском саду

Обновлено: 05.07.2024

В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) обработка персональных данных (далее – ПД) осуществляется с согласия субъекта ПД на обработку его данных.

Получение персональных данных осуществляется в соответствии с нормативными правовыми актами РФ в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Положением, локальными актами ДОУ в случае согласия субъектов на обработку их персональных данных.

ДОУ обрабатывает и защищает сведения о работниках, детях и их родителях (законных представителях) на правовом основании.

Основной задачей ДОУ в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников, обучающихся и их родителей (законных представителей) ДОУ, а также персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъектов персональных данных.

Правовое основание обработки персональных данных:

Правовое основание защиты персональных данных:

Цель обработки персональных данных: выполнение работ, оказание услуг в целях обеспечения реализации предусмотренных законодательством Российской Федерации полномочий Администрации муниципального района Мелеузовский район Республики Башкортостан в сфере образования в связи с реализацией права граждан на образование, обеспечением государственных гарантий и свобод человека в сфере образования и созданием условий для реализации права граждан на образование; осуществление образовательной деятельности.

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.

Ваше согласие будет храниться только в ДОУ, распространяться только на ДОУ. Любой другой оператор персональных данных должен будет получать от Вас разрешение на обработку ваших персональных данных. Мы ответственно относимся к Вашим персональным данным и персональным данным Вашего ребенка. В любой момент согласие на обработку данных может быть отозвано субъектом ПД. В соответствии с ч.2 ст.9 Закона № 152-ФЗ в случае отзыва субъектом ПД согласия на обработку ПД. Оператор ДОУ вправе продолжить обработку данных без согласия субъекта ПД при наличии оснований, указанных в пп. 2–11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Закона № 152-ФЗ. Таким образом, согласие субъекта на размещение ПД обязательно, при этом объем таких данных не важен (имя, фамилия без фото; имя, фамилия и грамота, диплом). При наличии согласий размещение информации будет правомерным. Данное согласие защищает ваши данные, которые вы уже предоставили нам при поступлении ребенка ДОУ.

С нормативно-правовыми и локальными актами и формами согласия можно ознакомиться на нашем сайте и/или в заведующего ДОУ .

Согласия на обработку персональных данных ребенка и родителя (законного представителя), работника можно получить у заведующего ДОУ.

К персональным данным лица относится любая информация о нем, например, его Ф.И.О., сведения о его заболеваниях, о прежних местах работы и тому подобное. Даже фотоснимки, видеозапись, на которых изображен человек, является его конфиденциальной информацией.

Персональные данные – одна из актуальных тем для многих руководителей организаций. Как работать с персональными данными сотрудников ДОУ, воспитанников и их родителей? Есть ли необходимость работать в рамках закона о персональных данных при осуществлении госзакупок?

При приеме на работу сотрудников, заключении договоров с родителями воспитанников, осуществлении государственных закупок у дошкольной организации возникает потребность осуществлять различные операции с персональными данными. Нормами закона выделен достаточно большой перечень возможных действий с личными данными. Отметим лишь часть из них:

Особенности обработки персональных данных работников

При оформлении трудовых отношений с сотрудниками работодатель вынужден работать с их персональными данными. Так, согласно ст. 60 ТК РФ, работодатель должен при приеме сотрудника обрабатывать его личные данные, содержащиеся в следующих документах:

дипломе об образовании (или другом документе, подтверждающем наличие необходимого образования);

других документах (при необходимости).

Работодатель имеет право получать персональные данные о работнике только лично от него. Если по тем или иным причинам необходимая информация не может быть получена непосредственно от сотрудника, а необходимо прибегать к помощи третьей стороны, то сделать это возможно с согласия работника.

В этой ситуации необходимо заранее письменно уведомить сотрудника о получении его персональных данных у третьей стороны и запросить его письменное согласие на это. В данном уведомлении должна содержаться следующая информация:

цели, источники и способы получения информации о сотруднике;

характер персональных данных;

последствия для работника в случае его отказа от дачи согласия.

Форма уведомления о запросе персональных данных у третьей стороны, а также письменного согласия сотрудника на такой запрос законом не установлена. Поэтому указанные документы можно составлять в свободной форме.

На работодателя возложена обязанность ознакомить каждого принимаемого на работу сотрудника с внутренними документами, в которых установлен порядок обработки персональных данных сотрудников, а также права и обязанности работников в этой области.

Важно, чтобы у работодателя осталось подтверждение факта ознакомления работников с данными документами. Например, можно просить сотрудника расписаться в журнале ознакомления с локальными актами организации, где будет указано, с каким конкретно документом ознакомлен сотрудник, дата ознакомления, его ФИО и должность.

Нужно ли получать согласие сотрудника на обработку его персональных данных?

По общему правилу любая работа с конфиденциальной информацией требует получения согласия её владельца. Но законодательство о персональных данных содержит и исключения, которые позволяют обрабатывать указанные данные без согласия сотрудника.

Относительно персональной информации работников можно выделить следующие ситуации, когда можно обойтись без согласия. Не нужно запрашивать согласия, если обработка персональных данных связана:

с осуществлением сотрудником трудовой деятельности в рамках трудового договора;
с обязанностью в силу закона размещать персональные данные своих сотрудников в сети Интернет. Согласно законодательству об образовании на официальном сайте образовательного учреждения должны быть отражены персональные данные учредителя организации, руководителя, педагогов. В этой ситуации нет необходимости требовать согласия на размещение в сети Интернет персональных данных, которые указаны в нормативных актах, в рамках исполнения указанной обязанности;
с заполнением личной карточки работника в отношении информации об их близких родственниках и строго в том объеме, который предусмотрен унифицированной формой такого документа. Также можно обрабатывать персональные данные родственников без их согласия, если это требуется для получения алиментов или социальных пособий;
с получением информации, относящейся к специальной категории персональных данных, в рамках трудового законодательства. Например, необходимо получить информацию о состоянии здоровья сотрудника в целях выявления возможности выполнения им своих трудовых функций;
с передачей информации о сотрудниках третьим лицам в целях предупреждения угрозы жизни и здоровья, например, когда происходит несчастный случай в организации;
с передачей личных данных третьим лицам для исполнения обязанностей в соответствии с трудовым законодательством или другими законами. Например, не требуется согласия сотрудника при обращении в ФСС РР, в ПФР РФ, в органы воинского учета и тому подобное;
для осуществления пропускного режима, если такой режим осуществляется организацией самостоятельно либо предусмотрен в локальных нормативных актах;
с передачей данных банку, который обслуживает зарплатные карты сотрудников. В этой ситуации важно наличие одного из следующих условий: договор на выпуск карты заключен с работником и в нем указано положение о передаче данных работодателем; у работодателя имеется доверенность от работника на оформление карты; коллективный договор содержит условие о подобной форме и системе оплаты труда.

Однако если речь идет о замещении вакантной должности, то обработка персональных данных соискателя должна осуществляться только с их согласия.

Указанные выше выводы сделаны на основе норм законодательства о персональных данных и Разъяснений Роскомнадзора от 14 декабря 2012 года.

Как составить согласие на обработку персональных данных?

Законом не установлена форма подобного документа, но в ч. 4 ст. 9 ФЗ о персональных данных отражена обязательная информация, которая должна там содержаться:

ФИО и реквизиты паспорта субъекта персональных данных (или представителя с указанием реквизитов доверенности или другого документа, подтверждающего полномочия);
название и адрес организации, которая занимается обработкой конфиденциальной информации;
цель обработки персональных данных (например, заказ именных подарков сотрудникам компании);
перечень личных данных, которые предстоит обрабатывать;
название и адрес компании, которая будет непосредственно обрабатывать персональные данные, если эта работа передается третьему лицу (например, магазин фототехники при заказе именных подарков сотрудникам);
перечень действий, которые могут быть совершены с персональными данными;
срок действия согласия и порядок его отзыва;
подпись субъекта персональных данных (например, сотрудника организации).

Что делать, если сотрудник не дает согласия на обработку персональных данных?

Как мы видим, в большинстве случаев, связанных с трудовыми отношениями и исполнением своих обязанностей, работодателю не требуется получать согласие сотрудника на обработку персональных данных. Тем не менее, в процессе взаимодействия работника и работодателя нередко возникают ситуации, когда требуется получить письменное согласие. Как же быть руководителю ДОУ, если работник отказался предоставить такое согласие? В этой ситуации работник имеет полное право отказать в даче такого согласия. В случае, когда сотрудник отказывается дать согласие на обработку своей личной информации, работодатель не имеет права обрабатывать её, например, передавать третьим лицам.

Отказ от дачи согласия не является нарушением трудовой дисциплины, и работник не может быть привлечен за это к ответственности.

Работа с персональными данными воспитанников и их родителей

Обработка личной информации воспитанников и их родителей во многом схожа с таковой в отношении сотрудников. Случаи, когда не требуется получения согласия от родителей на работу с личными данными их самих и их детей, аналогичны указанным выше для работников организации.

Так, например, не нужно требовать от родителей согласие на обработку их данных, которые были получены при заключении договора по присмотру и уходу за ребенком, и используется ДОУ для исполнения данного договора.

Кроме того, не нужно согласия родителей на обработку информации о воспитанниках, которая была получена при поступлении в ДОУ согласно нормам приказа Минобрнауки РФ о порядке приема в дошкольную организацию (от 08.04.2014 N 293):

дата и место его рождения;

адрес места жительства.

Также в рамках указанного нормативного акта ДОУ вынуждено обрабатывать персональную информацию ребенка, содержащуюся в свидетельстве о его рождении, в медицинских документах.

Тем не менее, существуют ситуации, когда для обработки персональных данных воспитанников, их родителей и иных лиц необходимо получать согласие. Приведем некоторые примеры:

размещение фотографий и видеофайлов на сайте ДОУ с изображением детей;
передача третьим лицам фотографий детей для подготовки фотоальбома;
получение доверенностей, паспортных данных близких родственников или других лиц в целях передачи ребенка указанным лицам после завершения рабочего дня, когда сами родители не могут забрать ребенка. В этой ситуации необходимо получать согласие указанных лиц на обработку их персональных данных.

В согласие родителей (представителей ребенка) также необходимо включать сведения, которые были указаны для согласия сотрудников организации.

Государственные закупки и персональные данные

Минэкономразвития РФ в своем письме от 08.04.2015 года № Д28и-980 выразило позицию, согласно которой не нужно получать согласие на обработку персональных данных, полученных в рамках 44-ФЗ. Так, например, при заключении контракта с индивидуальным предпринимателем, в реестр контрактов необходимо включить следующие персональные данные лица: ФИО, место жительства. Такая обязанность предусмотрена п. 7 ч.2 ст. 103 закона о госзакупках. А согласно закону о персональных данных обработка информации о лице допускается без его согласия, если она осуществляется в случаях, предусмотренных федеральным законам. К ним и относится закон о госзакупках.

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Основные обязательные документы:

Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ).

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

для должностных лиц — от 20 000 до 40 000 руб.
для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

для должностных лиц — от 40 000 до 100 000 руб.
для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

для должностных лиц — от 300 до 500 руб.;
для юридических лиц — от 3 000 до 5 000 руб.

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
Проверьте порядок получения персональных данных от каждого субъекта.
Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Родитель воспитанника детского сада написал заявление-отзыв, в котором он "запрещает и отзывает навсегда обработку своих персональных данных и персональных данных своих детей, а также их хранение, систематизацию, накопление, изменение, использование. ".
Каким образом будет осуществляться обработка персональных данных в данном случае?

Рассмотрев вопрос, мы пришли к следующему выводу:
В рамках существования договорного обязательства обработка персональных данных воспитанника может осуществляться без согласия его законного представителя в том объеме, в котором это необходимо для исполнения принятых на себя обязательств.

Обоснование вывода:
В соответствии со ст. 3 Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных. Таким образом, информация о детях, их родителях (законных представителях), по которой их можно персонифицировать, является персональными данными этих субъектов.
Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, дошкольная образовательная организация в силу закона является оператором персональных данных и должна соблюдать требования законодательства о персональных данных. На него, как на оператора, возлагаются обязанности принимать меры, необходимые и достаточные для обеспечения выполнения предписаний, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами*(1) (ст. 18.1 Закона N 152-ФЗ).
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных или его представителя (п. 1 ч. 1 ст. 6, ч. 6 ст. 9 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Приведенные нормы корреспондируются и с положениями ст. 7 Закона N 152-ФЗ, в силу которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Исходя из приведенных норм, дошкольная образовательная организация в целях оказания услуг вправе обрабатывать персональные данные воспитанников без согласия их законных представителей для выполнения возложенных законодательством РФ на такую организацию функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно (п. 3 ч. 2 ст. 10 Закона N 152-ФЗ).
Таким образом, в рамках заключения и исполнения договора дошкольная образовательная организация вправе обрабатывать персональные данные воспитанников без согласия на это их законных представителей, соблюдая при этом основные принципы обработки персональных данных (ст. 5 Закона N 152-ФЗ) и режим конфиденциальности (ст. 7 Закона N 152-ФЗ). Соответственно, отзыв родителем согласия на обработку персональных данных своего ребенка не препятствует оператору при наличии законных оснований продолжить такую обработку (ч. 2 ст. 9, ч. 5 ст. 21 Закона N 152-ФЗ).

27 февраля 2020 г.

-------------------------------------------------------------------------
*(1) Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ).

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter