Имеет ли право школа разглашать информацию о дате рождения тренеров на своем сайте?

В век стремительного развития информационных технологий личные сведения людей все чаще поддаются огласке, выставляются на всеобщее обозрение, в общем, становятся доступными всем. Социальные сети, которые стали излюбленным местом виртуального времяпровождения, хранят в архивах полноценные досье на пользователей.

Но если взрослый человек избирательно относится к тому, какие личные данные следует обнародовать, а какие оставить при себе, то несовершеннолетние и дети зачастую наивны и охотно делятся в сети личной информацией.

Что относится к персональным данным детей

Очень часто родители задаются вопросом, в каких случаях, где и в каком виде могут быть использованы сведения об их ребенке. Ведь даже при поступлении в учебное заведение (школу) родители получают документ-соглашение, где указывают свое письменное согласие на обработку персональных данных ребенка.

Следует понимать, что же это за сведения. Многие не знают о том, что некоторую информацию организации не имеют права использовать. Согласно Федеральному Закону «О персональных данных», персональные данные являют собой любую информацию, косвенным или прямым образом относящуюся к физическому лицу (объекту персональных данных).

Проще говоря, это такие данные, которые позволяют устанавливать личность и создавать общую характеристику субъекта (гражданина). Личная информация бывает трех видов:

• общая – к ней относятся фамилия, имя, отчество, сведения об образовании, фактическом месте жительства и прописке, а также месте работы и заработной плате (для лиц старше 16 лет);
• специальная – сведения, которые дают возможность составить характеристику личности в полном объеме (половая и расовая принадлежность, политические взгляды, религиозные убеждения, а также медицинские справки о состоянии здоровья);
• биометрическая – материалы биологического характера для идентификации человека (ДНК, отпечатки пальца, сетчатка глаз, рост, вес, а также фото- и видеоизображения).

Использование этих сведений разрешается только в том случае, если на это есть письменное согласие человека.

Дать согласие на обработку, значит разрешить оператору сбор информации, ее хранение, обработку, распространение, уточнение, использование, извлечение, передачу доступа, блокирование или удаление.

У каждого школьного учреждения имеется специальный документ, в котором охарактеризованы персональные данные учеников. Помимо этого, УО должно иметь пакет документов, в которых указаны лица, имеющие доступ к ПДн с описанием их прав и обязанностей.

Таким образом, персональные данные ученика – это сведения:

• указанные в свидетельстве о рождении или паспорте (если ребенок старше 14 лет);
• из личного дела школьника;
• из классного журнала;
• из медицинской карты школьника;
• документ о зарегистрированном месте жительства;
• фотографии ребенка.

Информацию более личного характера, такая как справки о составе семьи, отношениях в семье, удостоверения о факте инвалидности, сиротстве, неполной семье и т. д.

, которая может потребоваться администрации школы в связи с воспитанием и обучением ребенка, можно получить, только если один из родителей или законных представителей напишет согласие.

Использоваться такие данные в личных целях не могут.

Также родители должны знать, кто имеет право использования персональных данных несовершеннолетних:

• служащие госдепартамента образования, если у них есть на это права;
• директор и секретарь учебного заведения;
• педагоги;
• медицинские работники;
• заместители директора по учебно-воспитательной работе;
• психолог;
• классный руководитель.

Стоит отметить, что если родитель по каким-либо причинам лишен родительских прав – он не имеет возможности доступа к персональным сведениям ребенка (в случае если таковое постановление суда уже вступило в силу). 

Лица, которым предоставлено право доступа к персональной информации несовершеннолетнего, должны в обязательном порядке:

• ни в коем случае не распространять эти данные третьим лицам без письменного разрешения родителей. Исключение составляют случаи, когда это требуется федеральными законами;
• обеспечить защиту персональных данных несовершеннолетних от несанкционированного использования, потери;
• использовать только ту личную информацию, которая получена конкретно от субъекта либо от его родителей;
• предоставить родителям свод правил для ознакомления с их правами и обязанностями, а также соглашение на обработку данных;
• в случае изменений в данных – вносить правки в уже имеющиеся записи по письменному запросу родителя;
• при предоставлении конфиденциальных данных уполномоченным государственным служащим ограничиваться лишь конкретно запрашиваемыми сведениями;  
• предоставить возможность доступа несовершеннолетнего (ученика) к его персональным данным и получения их копий;
• получать сведения о состоянии здоровья ребенка только от его родителей/попечителей;
• по требованию одного из родителей/попечителей – предоставить в полном объеме информацию о личных данных ученика (о ее хранении, обработке).

Как родителю ограничить подаваемую информацию о ребенке?

В первую очередь в письменной форме необходимо заполнить и подать заявление о согласии на обработку персональных данных, а затем уже в вольной форме (письменно) придется дать согласие. Этот документ является законным, и в случае его неисполнения или нарушения утвержденных полномочий со стороны оператора, родитель сможет заявить в суд.

Однако данный документ – это не обязанность, а всего лишь право. Соответственно, никто не может заставить заполнять согласие и уж тем более отказать на этом основании в услугах (к примеру, не принять в садик или школу). 

Как защитить несовершеннолетнего ребенка от сбора «лишних» данных? 

Для этого и создается описанный выше бланк. Состоять он должен из:

• фамилии, имени, отчества заявляющего лица, его паспортных данных;
• фамилии, имени, отчества объекта, данных из его свидетельства о рождении;
• если ребенок старше 14 лет – его паспортных данных;
• цели сбора этих сведений;
• всех данных о ребенке, которые будут использоваться;
• срока действия данной бумаги;
• списка действий, которые можно совершать с полученными данными.

В конце этой анкеты обязательно указывается дата составления и ставится подпись заявителя (родителя/попечителя) с инициалами. Рассмотрим форму-согласие на примере школы.

Учебное заведение собирает практически все конфиденциальные данные о несовершеннолетнем – сведение о здоровье, половой и расовой принадлежности, религиозных взглядах.

И происходит это после момента, когда родитель или законный представитель ребенка подписывает типовой бланк, выданный заведением. 

Суть в том, что все эти сведения не являются необходимыми школе, их можно не предоставлять. Как раз для этого и составляется вышеописанная бумага. В ней указывают только ФИО, возраст, место жительства и пол. Этого будет вполне достаточно.

Но и это еще не все. Заведение все равно сможет получить информацию, например, о составе семьи, так как данные время от времени собираются и структурируются. Чтобы этого не произошло, родители должны составить документ примерно следующего образца:

«Я, (ФИО, паспортные данные), мать (ФИО), учащегося в (школа, класс), запрещаю сбор всех персональных и конфиденциальных данных ребенка, кроме (указанное в бланке выше). В случае невыполнения условий буду заявлять в суд». 

Поднимая тему, затронутую в начале статьи, стоит отметить, что данная проблема существует, и масштабы ее велики. Различные сервисы в Сети собирают и хранят настолько огромные объемы информации о пользователях, что порой трудно себе представить. В последнее время на этой почве были случаи скандалов. 

Зачастую взрослые отдают себе отчет в том, что любые действия, слова и запросы в Интернете, не говоря уже об анкетах в социальных сетях, непременно будут «зачтены» в виртуальное досье о человеке. Но несовершеннолетний, а тем более ребенок, воспринимает Интернет как нечто увеселительное, игру, тем самым действует в Сети как хочет.

Во избежание сбора информации о ребенке на просторах Сети, родители обязаны проводить с детьми разъяснительную беседу. Например, стоит объяснить детям, что Сеть – это общественное место, где также возникает опасность встречи и диалога с незнакомцами и недоброжелателями.

Обязательно следует рассказать ребенку, что категорически запрещено выставлять данные о себе и своей семье, предоставлять кому-либо контактную информацию (телефоны, места учебы, работы). Личные фотографии также не следует загружать на общедоступные ресурсы. В качестве альтернативного варианта можно заполнить аккаунты в социальных сетях вместе с ребенком. 

Помимо всего этого, следует установить на ПК антивирусные программы, в настройках компьютера выбрать режим «Родительский контроль», заблокировать в браузере потенциально нежелательные сайты, оставив только разрешенные. И, конечно, время от времени проводить беседы с ребенком на тему опасности разглашения персональных данных и напоминать ему о правилах общения в Интернете. 

Какие персональные данные можно размещать на сайте школы и детского сада

18.10.2019

Иногда сотрудники школ и детских садов не подозревают, что работают с персональными данными коллег, детей и их родителей. И такие данные могут оказаться на сайте. Из нашей статьи вы узнаете, какие из этих данных можно публиковать на сайте образовательной организации и когда надо брать согласие на размещение материалов.

Школы и детские сады размещают на официальном сайте фотографии и видеозаписи с праздничных и образовательных мероприятий, приказы, копии достижений детей, информацию о работниках. При публикации этих данных можно допустить ошибки. Смотрите, в каких случаях обязательно получать согласие на размещение данных, чтобы не получить претензий и штрафов.

Фотографии и видеоматериалы

В школах и детских садах регулярно проходят праздничные, спортивные, образовательные мероприятия. После них остаются фотографии и видеозаписи, которые руководители хотят опубликовать на сайте. Эти материалы попадают под Закон о персональных данных. При размещении их на сайте учитывайте требования законодательства.

Когда можно размещать фотографии и видео без согласия. При проведении публичных мероприятий школы или детского сада родители не могут запретить вести фото- и видеосъемку. Образовательная организация – это публичное пространство, которые открыто для свободного посещения.

Поэтому школы и детские сады могут организовать и использовать съемки детских праздников и образовательного процесса, так как записи получены в публичном месте на публичном мероприятии (ст. 152.1 ГК).

Если съемка отражает информацию о мероприятии в целом, например как проходит прогулка в детском саду или олимпиада в школе, вы можете использовать эти изображения без согласия родителей.

Когда потребуется согласие на публикацию изображений. Без согласия нельзя использовать портретные изображения детей, родителей или работников.

В этом случае образовательные организации не вправе по собственному усмотрению публиковать их на сайте, даже если съемку вели в публичном месте.

Если на фотографии или видеозаписи портрет или крупный план конкретного человека, например ребенка, вам необходимо получить письменное согласие на публикацию изображения от работника или родителей (ст. 152.1 ГК).

Не публикуйте на сайте изображения, которые могут компрометировать детей или работников. Например, воспитатель сфотографировал ребенка, который упал в лужу и смешно испачкался. Объект съемки – ситуация с конкретным ребенком, и образовательная организация не вправе обнародовать эти изображения без согласия родителей.

• К СВЕДЕНИЮ
• Когда не требуется согласие на публикацию изображений
• – Изображение используется в государственных, общественных или иных публичных интересах.
• – Изображение получено при съемке, которая проводилась в местах, открытых для свободного посещения, или на публичных мероприятиях, кроме случаев, когда изображение является основным объектом использования.
• – Гражданин позировал за плату.
• Документы с информацией об обучающихся

На сайте образовательной организации могут размещать документы, например, приказы, где есть личные данные детей. Эти документы также попадают под закон о защите персональных данных.

Приказы. В приказах директора или заведующего могут фигурировать фамилии и имена учащихся и воспитанников.

Размещать такие приказы на сайте без согласия на обработку персональных данных нельзя.

Если руководитель собирается разместить на сайте приказ, в котором упоминаются фамилии и имена детей, у него должны быть согласия родителей или совершеннолетнего ученика на обработку персональных данных.

Обратите внимание, что на сайте школы или детского сада нельзя размещать приказы о зачислении (п. 17 Порядка, утв. приказом Минобрнауки от 08.04.2014 № 293, п. 19 Порядка, утв. приказом Минобрнауки 22.01.2014 № 32). Приказы о зачислении ребенка размещайте на информационном стенде образовательной организации. На сайте можно разместить только реквизиты приказа и количество принятых детей.

Грамоты и дипломы. Если руководитель хочет разместить на сайте образовательной организации отсканированные копии грамот и дипломов учеников или воспитанников, он также должен получить согласие на размещение персональных данных.

Отсканированная копия грамоты содержит Ф. И. О., класс или группу, название мероприятия. Эти данные являются персональными, и ребенок вправе не раскрывать информацию о себе.

В этом случае школа или детский сад могут публиковать только обезличенные данные.

Результаты итоговой аттестации. Школа не может публиковать на сайте результаты ОГЭ и ЕГЭ без согласия родителей или совершеннолетних учеников на обработку персональных данных. Результаты экзаменов содержат Ф. И. О. учеников, процент верных ответов, итоговые баллы. Эту информацию нельзя размещать без согласия, иначе суд может назначить Штраф директору.

Например. Прокурор в ходе проверки сайта школы нашел в свободном доступе результаты ЕГЭ с указанием персональных данных учеников. Согласие на размещение данной информации получено не было. Суд города Находки Приморского края признал директора школы виновным и назначил административное наказание в виде штрафа (ст. 13.11 КоАП).

Документы с информацией о зарплате работников

На сайтах школ и детских садов могут размещать документы с информацией о заработной плате членов педагогического коллектива. Делать это без согласия самих педагогов нельзя.

Информация о зарплате педагогов не входит в перечень данных, который должен быть опубликован на сайте (Правила, утв. постановлением Правительства от 10.07.2013 № 582).

Также сведения о зарплате каждого работника не входят в перечень обязательной информации, которую можно публиковать без согласия (пп. 2, 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Вы можете предоставить информацию о зарплате сотрудников в обезличенной форме – без указаний фамилий, имен и отчеств.

Но в этом случае проследите, чтобы в свободный доступ не попали сведения, благодаря которым можно идентифицировать личности работников.

Это может произойти, если на одной странице сайта разместить таблицу с заработной платой, в которой работники зашифрованы табельными номерами, а на другой странице – список работников с указанием табельных номеров.

1. Если нужно показать, что в образовательной организации создана прозрачная система распределения стимулирующих выплат, можно опубликовать на сайте положение о стимулирующих выплатах и там же указать общий размер фонда стимулирования, критерии и показатели назначения выплат.
2. К СВЕДЕНИЮ
3. Какую информацию о педагогах можно разместить на сайте без их согласия
4. На сайте образовательной организации можно размещать следующие сведения о педагогах:

– Ф.И.О. работника;

• – занимаемая должность;
• – преподаваемые дисциплины;
• – ученая степень и ученое звание (при наличии);
• – направление подготовки или специальности;
• – данные о повышении квалификации или профессиональной переподготовки;

– общий стаж работы и стаж работы по специальности (п. 3 Правил, утв. постановлением Правительства от 10.07.2013 № 582).

Без согласия работника не размещайте на сайте его фотографию.

© Материал из Справочной системы «Образование».  

Лесных Н.В.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

 Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О.

к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя.

Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга.

Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц.

При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных.

Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную Доверенность конкретному человеку.

Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных.

Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо.

В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность.

У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

• 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
• 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные Услуги связи, а также для рассмотрения претензий пользователей услугами связи;
• 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4. 4) являющихся общедоступными персональными данными;
5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная Оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

• Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
• — стандарты и рекомендации в области стандартизации Банка России;
• — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
• — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Персональные данные сотрудников: определение, правила работы | Ответственность за нарушение закона о персональных данных

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать Моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

• Основная информация о персональных данных:
• Глава 14 Трудового кодекса РФ
• Закон № 152-ФЗ О персональных данных
• Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна. 

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой Договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках. 

1. Вот список для ориентира:
2. Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
3. Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и Прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего. 

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. 

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ. 

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

???? Персональные данные работника обрабатывают только с его письменного согласия. 

???? Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

???? Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ. 

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

???? Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

???? Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.  

???? Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

???? Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

???? В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона. 

????

Оцените все возможности онлайн-бухгалтерии бесплатно

Хочу попробовать

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный Нормативный акт — Положение о защите персональных данных работников. 

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

Пример положения о защите персональных данных работников

2. Назначьте ответственного за персональные данные. 

Так нужно в силу ст. 22.1 Закона № 152-ФЗ. 

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

• ИП и организации с одним учредителем ответственным назначают себя. 
• Пример приказа о назначении ответственного за работу с персональными данными
• Пример обязательства о неразглашении

3. Берите с каждого работника письменное согласие на обработку персональных данных. 

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

1. Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
2. Пример согласия на обработку персональных данных
3. Пример согласия на получение персональных данных у третьих лиц
4. Типовая форма трудового договора для микропредприятия

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных. 

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ. 

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

• Электронное уведомление Роскомнадзору
• Образцы бумажных уведомлений
• А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально. 

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 27.01.2022