![МКДОУ №10 "Детский сад комбинированного вида г. Никольское"](/netcat_files/generated/catalogue/4/40x40/1/9a4a05ee513367f71bc5b4c397633696.jpg?crop=0%3A0%3A0%3A0&hash=f21aee3d5613b48bf10c725f03b43ec6&resize_mode=0&wm_m=0 "МКДОУ №10 "Детский сад комбинированного вида г. Никольское""){kind=icon}
Политика конфиденциальности
1. Что изменили в работе с персональными данными
С 1 марта 2023 года действуют Требования к подтверждению уничтожения персональных данных и Порядок учета инцидентов. С 26 декабря 2022 года нужно использовать новые формы уведомления об обработке персданных.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr13/?of=copy-9b2ee315ca
2. Уведомление
Роскомнадзор утвердил три формы уведомлений, которые надо направить ему, если только начали обрабатывать персданные, изменились условия обработки или прекратили обрабатывать данные (приказ Роскомнадзора от 28.10.2022 № 180). Это первые утвержденные формы. До этого действовали рекомендованные формы из методических рекомендаций, утвержденных приказом Роскомнадзора от 30.05.2017 № 94.
В уведомлении о намерении осуществлять обработку теперь надо указывать сведения по каждой цели обработки. Это соответствует логики изменений Закона № 152-ФЗ, в результате которых в локальных актах оператора так же надо указывать сведения по каждой цели обработки отдельно.
Добавили пункт со сведениями о лице, имеющим доступ к персданным в государственных и муниципальных информационных системах.
Уведомление об изменении условий обработки отличается сильнее от рекомендованной формы, действовавшей до этого. Теперь оно повторяет содержание уведомления о намерении осуществлять обработку персданных.
Уведомление о прекращении обработки – новая форма. До этого действовала рекомендуемая форма заявления о внесении в реестр операторов сведений о прекращении обработки персданных. Подробнее – в разделе.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr15/?of=copy-1a041da9b6
3. Уничтожение персональных данных
Утвердили содержание и наименование актов, которые надо составлять, чтобы подтвердить уничтожение персданных (приказ Роскомнадзора от 28.10.2022 № 179). Они зависят от способа обработки – с использованием или без использования средств автоматизации. Для первого случая достаточно составить акт. А во втором – надо дополнительно оформить выгрузку из журнала регистрации событий в информационной системе персональных данных. Подробнее – в разделе.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr21/?of=copy-baaf499e06
4. Какие персональные данные обрабатывает школа и детский сад
Школы и детские сады обрабатывают персональные данные учащихся и воспитанников, родителей, работников и физических лиц, которые выполняют работы по договорам подряда, оказывают услуги.
К персональным данным можно отнести любую совокупность информации о конкретном человеке (п. 1 ст. 3 Закона № 152-ФЗ). По режиму обработки их делят на общие и специальные. Специальные – информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Закона № 152-ФЗ). Школа и детский сад вправе обрабатывать ее только с согласия субъекта. Общие персональные данные – все остальные. Обрабатывать их можно и без согласия, но только в границах, установленных законодательством (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr27/?of=copy-99737cf942
5. Какие персональные данные обрабатывает детский сад
Отдельно выделяют категорию биометрических персональных данных. Они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором только с этой целью (ч. 1 ст. 11 Закона № 152-ФЗ).
Биометрические персданные обрабатывают только с личного письменного согласия субъекта. В связи с этим Роскомнадзор и Минцифры решили, что в образовательных организациях такие данные обрабатывать нельзя, потому что несовершеннолетние не вправе давать на это письменное согласие (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059). Без него обрабатывать биометрию можно только, чтобы осуществить правосудие и исполнить судебные акты, провести обязательную государственную дактилоскопическую регистрацию, а также в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством об обороне, оперативно-розыскной деятельности, о безопасности, противодействии терроризму и коррупции, транспортной безопасности, нотариате, порядке выезда из России и въезда в Россию, гражданстве РФ (ч. 2 ст. 11 Закона № 152-ФЗ).
К персональным данным не относят обезличенную информацию. Она не дает возможности точно определить человека, хоть и содержит некоторые сведения о нем – например, возраст или район проживания. Однако совокупности формально обезличенной информации бывает достаточно, чтобы понять, о ком идет речь. Например, если написать о «директоре школы» либо «жителе села N», то сведений недостаточно. А если о «директоре школы – жителе села N», которое находится вне пределов транспортной доступности от иных населенных пунктов и имеет только одну школу, то человека определить легко. В таком случае суды и проверяющие не признают информацию обезличенной и отнесут к персональным данным.
Персональные данные есть в большинстве документов, с которыми работают школы и детские сады. Примерный перечень смотрите в таблице.
Учащийся
Воспитанник
Заявление о приеме.
Копия свидетельства о рождении ребенка.
Копия свидетельства о регистрации ребенка по месту жительства или месту пребывания.
Медицинская карта ребенка.
Рекомендация психолого-медико-педагогической комиссии.
Заключение и протоколы психолого-педагогического консилиума.
Справка-допуск после перенесенного заболевания.
Документы, которые образуются во время учебы, например, характеристики по результатам психолого-педагогической помощи, справки по результатам учебно-методической деятельности.
Работник
Заявление о приеме на работу.
Резюме соискателя.
Документы об образовании и квалификации.
Трудовая книжка.
Трудовой договор.
Личная карточка.
Документы из личного дела.
Медицинское заключение, медкнижка и заключительный акт по итогам медосмотра.
Листок нетрудоспособности.
Справка 2-НДФЛ.
Распорядительные акты школы
Фамилия, имя, отчество.
Пол, возраст.
Изображение.
Паспортные данные.
Дата и место рождения.
Адрес места жительства.
Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации.
Семейное положение, наличие детей, родственные связи.
Факты биографии и предыдущей трудовой деятельности.
Сведения о деловых и личных качествах.
Сведения о здоровье.
Сведения о заработной плате.
Номер банковского счета и наименование банка.
СНИЛС
Физическое лицо, выполняющее работы по договорам подряда, оказывающее услуги
Гражданско-правовой договор
Фамилия, имя, отчество.
Паспортные данные.
Адрес места жительства.
Номер банковского счета и наименование банка
Физическое лицо, сотрудничающее с организацией в рамках некоммерческой совместной деятельности –просветительских мероприятий и т.п.
Договор, соглашение.
Согласие на обработку персональных данных.
Документы для допуска на территорию
Фамилия, имя, отчество.
Паспортные данные.
Биографические данные – о трудовом стаже, научной и образовательной деятельности, достижениях и т.п.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr41/?of=copy-8a4caebfe7
6. В каких целях можно обрабатывать персональные данные
Обрабатывать персональные данные можно только в целях, которые установлены в законодательстве или локальных актах (ч. 2, 4–6 ст. 5 Закона № 152-ФЗ). Закрепите цели обработки в политике, так как с этим документом должны быть знакомы все, кто взаимодействует с вашей организацией.
Если цель не закрепили, то собирать персональные данные для нее нельзя. Например, обрабатывать личную информацию о кандидатах, если в политике указали, что собираете данные, чтобы регулировать трудовые отношения с работниками. Кандидат – еще не работник школы.
Определите цели обработки персданных. Для этого проанализируйте деятельность образовательной организации в целом и направления деятельности структурных подразделений, отдельных должностных лиц – в частности. Например, школы и детские сады обрабатывают персданные в целях:
- организации образовательной деятельности по основным образовательным программам общего образования, дополнительным общеобразовательным программам;
- ведения иных видов деятельности в соответствии с уставом;
- приема на работу и оформления трудовых отношений с работниками;
- реализации гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных;
- обеспечения безопасности.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr109/?of=copy-90855cc7ed
7. Уведомление Роскомнадзора
Уведомите Роскомнадзор о том, что будете обрабатывать персональные данные (ч. 1 ст. 22 Закона № 152-ФЗ). По факту это надо сделать сразу, после создания организации. Не уведомлять можно, если будете обрабатывать персданные:
- которые включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка – например, портал госуслуг;
- без использования средств автоматизации – то есть при непосредственном участии человека;
- в случаях, предусмотренных законодательством о транспортной безопасности – для устойчивой и безопасной работы транспортного комплекса.
Получается, что современные школа и детский сад, как правило, всегда обязаны подавать уведомление в территориальное управление Роскомнадзора. Это надо сделать один раз. Если уже направляли уведомление, заново это делать ненужно.
Поручите ответственному составить уведомление по форме из приложения № 1 к приказу Роскомнадзора от 28.10.2022 № 180. По каждой цели обработки укажите:
- категории персданных;
- категории субъектов;
- правовое основание обработки;
- перечень действий с персданными, осуществляемых с указанной целью;
- способы обработки.
По-прежнему надо указать дату начала обработки, срок или условие прекращения обработки персданных, сведения о наличии или отсутствии трансграничной передачи и месте нахождения базы данных информации, содержащей данные граждан России.
Добавьте сведения о лице, имеющим доступ к персданным в государственных и муниципальных информационных системах. Это новый пункт в форме.
Удобнее заполнить уведомление на портале Роскомнадзора, потому что там можно поставить галочки напротив готовых подходящих ответов или вписать свои данные в окошки. Такое уведомление можно подписать электронной подписью или распечатать и отправить почтой в территориальный орган Роскомнадзора по месту регистрации оператора.
Если в процессе работы школы и детского сада у вас меняются условия, которые вы описали в уведомлении, – например, наименование, адрес организации, цели обработки – поручите ответственному направить в Роскомнадзор уведомление об изменении сведений. Его надо составить по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180. Удобнее заполнить электронный вариант на портале Роскомнадзора. Его можно подписать электронной подписью или распечатать и отправить почтой в территориальный орган Роскомнадзора по месту регистрации оператора.
Форма повторяет содержание уведомления о намерении осуществлять обработку персданных, потому что могут измениться любые ранее указанные сведения.
Чтобы проверить, какие данные вы направляли в Роскомнадзор и надо ли их скорректировать, зайдите в Реестр операторов, обрабатывающих персональные данные. Ведомство вносит все сведения туда. Достаточно вписать в графы запроса название или ИНН школы или детского сада.
«Как организовать обработку персональных данных в школе и детском саду». А.А. Вавилова, В.Е. Ярцева
© Материал из МЦФЭР «Образование».
Подробнее: https://1obraz.ru/#/document/16/5168/bssPhr159/?of=copy-8cbd639b26
8. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
9. Перечень действий, производимых Оператором с полученными персональными данными
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
10. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом РФ.