Защита персональных данных учащихся и учителей в образовательных организациях осуществляется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Кроме того, в целях обеспечения защиты персональных данных в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства Российской Федерации, ведомственные нормативные правовые акты).
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными понимают любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Данная терминология даёт основания для отнесения к персональным данным практически любых сведений о работниках, учащихся образовательных организаций и их родителях.
Все образовательные учреждения осуществляют обработку персональных данных и являются операторами персональных данных.
Персональные данные, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента Российской Федерации от 06.03.1997 № 188. Следовательно, образовательные организации, получающие доступ к персональным данным, должны обеспечить их конфиденциальность.
Основные требования к обработке персональных данных, в том числе к их сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче, обезличиванию, блокированию, удалению и уничтожению, регламентированы Федеральным законом «О персональных данных».
По общему правилу, образовательные организации самостоятельно определяют состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных нормативными правовыми актами в сфере защиты персональных данных. К таким мерам могут быть отнесены:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику образовательной организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля соответствия обработки персональных данных законодательству, требованиям к защите персональных данных, политике образовательной организации в отношении обработки персональных данных, локальным актам;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона, соотношение указанного вреда и принимаемых образовательной организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
6) ознакомление работников образовательной организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику образовательной организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
В рамках текущей деятельности образовательных организаций при обработке персональных данных учащихся и учителей, ключевым вопросом выступает оценка наличия оснований для обработки персональных данных, предусмотренных п.п. 2-11 ч. 1 ст. 6 Федерального закона «О персональных данных», а в случаях, когда они отсутствуют, – получение согласия субъекта персональных данных на их обработку. При этом, обязанность доказательства согласия субъекта персональных данных на их обработку возлагается на оператора, то есть на образовательную организацию.
Согласно вышеуказанному закону субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. При этом субъектом персональных данных согласие на обработку персональных данных может быть отозвано.
Статьей 10 Федерального закона «О персональных данных» установлены специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка такой информации не допускается, за исключением отдельных случаев, определенных законом, в том числе наличия согласия субъекта персональных данных в письменной форме на обработку своих персональных данных.
За неисполнение требований Федерального закона «О персональных данных» предусмотрена дисциплинарная ( ст. 81, 90, 192 Трудового кодекса Российской Федерации), административная ( ст. 5.39, 13.11, 13.12, 13.13, 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) и уголовная ( ст. 137, 140, 272 Уголовного кодекса Российской Федерации) ответственность. Кроме того, указанным законом регламентировано право субъекта персональных данных возместить моральный вред за нарушение его прав независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
И.М. ГАМИДОВ,
заместитель прокурора
Сергокалинского района