Нормативные документы-9. 9 сентябрь'2022e normobr ru

Что сделать, чтобы организовать
обработку персональных данных
в начале учебного года
В статье – рекомендации, как организовать работу с персональными данными в этом году.
Узнайте, кому поручить обработку персональных данных в школе и детском саду
13
. А также, воспользуйтесь таблицей, где указаны случаи, в которых у работника, родителя или посетителя необходимо запрашивать согласие
16
В работе с персональными данными в начале этого учебного года используйте методические рекомендации от 28.08.2020 и Феде- ральный закон от 14.07.2022 № 266-ФЗ. Читайте, как организовать работу с персональными данными, пока не вышли новые методиче- ские рекомендации и пояснения для тех изменений, которые были внесены в федеральный закон в июле этого года.
Организуйте работников
Назначьте ответственного за обработку персданных. Поручите ответственному контролировать, как хранят и используют данные в детском саду и школе. Включите в его обязанности инструктировать работников, обновлять перечень обрабатываемых данных и состав- лять локальные акты, которые регулируют работу с персональными данными в вашем учреждении. В должностную инструкцию или в трудовой договор ответственного включите обязанности, которые требует законодательство. Воспользуйтесь готовым образцом приказа о назначении ответственного в школе
28
и детском саду
30
Отправьте уведомление в Роскомнадзор.
Оформите уведомление о начале обработки персданных и направьте его в территориальное управление Роскомнадзора. Теперь только в редких случаях не нужно отправлять уведомление. Узнайте, в каких случаях
18
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Статьи по теме
12
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

№9 сентябрь 2022 года
13
Получите согласия на публикацию фото.
Раздайте работни- кам и родителям формы согласий на публикацию фото или видео с их изображением или с изображением их детей. Без согласия не публикуйте фото и персональные данные на сайте. Без согла- сия можно публиковать общее фото, то есть фото с общим планом, на котором изображено много людей. Согласие нужно взять, если речь идет о портретной съемке, когда ребенок на фото – основной объект изображения (ст. 152.1 ГК). Воспользуйтесь готовым образцом согласия
60
Пересмотрите политику обработки
персональных данных
Контролируйте, чтобы политика включала шесть разделов, которые рекомендовал Роскомнадзор. В политику должны входить: общие положения; цели сбора; правовые основания обработки; объем и ка- тегории обрабатываемых персональных данных; порядок и условия обработки; актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных. Проверьте, чтобы в Политике не было положений, которые
Таблица 1. Работники, которые обрабатывают персональные данные
В школе
В детском саду
Директор
Заведующий детским садом
Специалист по кадрам
Секретарь
Секретарь
Педагоги и помощник воспитателя
Педагоги
Бухгалтер
IT-специалист
Старший воспитатель
Бухгалтер
Медсестра
Заместитель директора по УВР
Охранник
Заместитель директора по воспитательной работе
–
Медсестра
–
Охранник
–

ограничивают права субъектов персональных данных. И исключите полномочия и обязанности операторов, которые не предусматривает законодательство.
Не путайте политику и положение об обработке персональных данных. У документов разные цели и содержание. Как правило, положение регулирует обработку персональных данных конкрет- ных субъектов – работников, учеников, воспитанников, родителей.
Политика распространяется на всех граждан, которые взаимодей- ствуют со школой или детским садом, даже если для них не раз- рабатывали специального положения об обработке персональных данных. Воспользуйтесь готовым образцом политики обработки персданных
33
Опубликуйте на сайте политику обработки персональных
данных.
Каждая образовательная организация должна разрабо- тать правила, по которым собирает и обрабатывает персональные данные, – политику. Документ нужен, чтобы граждане, которые взаимодействуют с организацией, знали, как она будет работать с их персональными данными. Поэтому обеспечьте неограниченный
В ОПРО С ПО ТЕМЕ
Может ли образовательная организация передавать персданные
бывших работников по запросам новых работодателей?
Да, если получила письменное согласие работника. Работодатель вправе запрашивать информацию у третьей стороны, если не может получить ее у самого работника. В таком случае он должен оформить согласие работника
(абз. 2 ч. 1 ст. 88 ТК). При этом предыдущий работодатель также должен получить письменное согласие гражданина на передачу его персональных данных новому работодателю (п. 3 ст. 3, ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Статьи по теме
14
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

№9 сентябрь 2022 года
15
доступ к политике. Проще всего выполнить это требование, если разместить документ на своем сайте. Политику можно разместить еще и на стендах у входа в здание.
Проверьте остальные локальные акты по регулированию
работы с персональными данными.
Убедитесь, что положение тоже соответствуют новому законодательству и методическим ре- комендациям. Если нет, внесите изменения. Поручите ответствен- ному подготовить формы документов, которые понадобятся для обработки, – согласия, отзывы, запросы и уведомления.
Запустите процесс работы с персональными
данными
Ознакомьте работников с локальными актами. Оформите два листа ознакомления – с положениями законодательства и локальными актами. Если ваша организация обрабатывает персональные дан- ные без средств автоматизации, например без автоматических баз данных, попросите ответственного проинформировать об этом
В ОПРО С ПО ТЕМЕ
Нужно ли получать согласие, чтобы разместить на сайте сканы
грамот обучающихся?
Да, нужно. На копии грамоты, которая отсканирована, есть Ф. И. О., группа или класс, название мероприятия. На практике существует мнение, что информация о достижениях не может быть ограничена к распространению обладателем, но это не так. Человек имеет право не раскрывать о себе любую информацию.
В таком случае публикуйте только обезличенные данные, то есть грамоты без полных имен. А лучше соберите согласия у обучающихся на публикацию их грамот.

работников. Кроме того, ответственный должен сообщить им кате- гории обрабатываемых данных, особенности и правила обработки.
Проверьте, чтобы в трудовых договорах и должностных инструкциях работников были обязанности по обработке персональных данных и их защите, как устанавливает законодательство.
Проверьте личные дела работников.
Уберите из личных дел работников и детей документы, которые закон не требует получать.
Уничтожьте персональные данные, когда цель обработки достигну-
Таблица 2. Согласия на каждый случай
Кто дает согласие
С какой целью запрашивать
Какое согласие
Работник
Опубликовать фото работника на сайте
Согласие работника школы на обработку персданных для размещения фото на сайте
Заполнить раздел личной карточки о составе семьи
Согласие работника школы на обработку персданных о составе семьи
Получить персданные работника у тре- тьих лиц
Согласие работника школы на получение персданных у третьих лиц
Передать персданные работника тре- тьим лицам
Согласие работника школы на передачу персданных третьей стороне
Родители, закон- ные представители несовершеннолетнего учащегося
Предоставить льготы и компенсации
Согласие на обработку персональных дан- ных ученика для льгот и компенсаций
Опубликовать фото ребенка на сайте
Согласие на обработку персданных учаще- гося для размещения фотографий на сайте
Внести сведения о ребенке в базу данных региональной АИС управления качеством образования
Согласие на обработку персданных уча- щегося для заполнения региональной АИС качества образования
Сформировать архивы данных о ре- зультатах индивидуальных достижений ребенка, обеспечить их хранение
Согласие на обработку персданных учаще- гося для учета результатов участия школь- ника в конкурсах и олимпиадах
Посетители
Обеспечить безопасность школы и впус- тить на территорию посторонних лиц
Согласие на обработку персданных для пропуска на территорию школы
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Статьи по теме
16
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

№9 сентябрь 2022 года
17
та – уволился работник или отчислили ребенка. Для этого создайте комиссию по уничтожению. Данные, которые не можете уничтожить, обезличьте. Процедуры закрепите в локальном акте.
Утвердите план внутреннего контроля.
Поручите ответствен- ному утвердить план-график внутреннего контроля, чтобы регу- лярно проверять, как ведется работа с персональными данными.
Воспользуйтесь готовым образцом приказа о создании комиссии и внутреннем контроле
31
. Проверьте, чтобы ответственный оформил по итогам проверки отчет или справку.
Оформите сайт.
Оформите официальный сайт по адресу, который зарегистрирован на детский сад. Не пользуйтесь услугами органи- заций по обработке персональных данных, если их базы данных расположены за пределами России.
На каждую конкретную цель получайте отдельное согласие.
Согласие должно содержать только одну цель обработки. Получайте отдельное согласие по каждой цели, для которой запрашиваете данные. Воспользуйтесь таблицей с согласиями на каждый кон- кретный случай
Рек лама
НОРМАТИВНАЯ БАЗА
с ежедневным обновлением в электронном журнале
Ответим на Ваши вопросы
8 (800) 511-98-65
Реклама e.normobr.ru

Как ужесточили требования
к работе с персональными данными
В статье – изменения, которые необходимо соблюдать уже с 1 сентября этого года.
Узнайте, как теперь устроена работа с персональными данными и какую информацию необходимо срочно донести до работников. Ознакомьтесь с предстоящими изменениями, которые вступают в силу с марта 2023 года
19
Роскомнадзор принял поправки в Закон о персональных данных.
Усилили меры, которые должен принимать оператор для безопасности обработки персданных. Детализировали правила трансграничной передачи персданных и ее запрета. Часть требований вступает в силу 01.09.2022, другая – 01.03.2023. Ознакомьтесь с изменениями и донесите всю информацию до операторов, которые обрабатывают персональные данные в вашем образовательном учреждении.
Добавили требования к согласию.
С первого сентября этого года согласие на обработку персональных данных должно быть не только конкретным, информированным и сознательным. Согласие должно быть еще предметным и однозначным. По поводу формы согласий
Роскомнадзор никаких указаний пока не давал.
Сократили срок ответа на запрос.
Теперь срок, в течение которого оператор обязан ответить субъекту персональных данных, сократили до 10 дней. Раньше у оператора на ответ было 30 дней. Речь идет о ситуа- ции, когда человек направляет запрос оператору с целью узнать, какие его персональные данные обрабатываются. В таком случае оператор должен ответить в течение 10 дней. Срок можно продлить максимум на пять рабочих дней. Для этого оператор должен направить мотивированное уведомление субъекту персданных и указать причины, по которым он даст ответ позже. Такое же правило действует и в случае, если субъ- ект персданных просит прекратить обработку своих данных. Оператор обязан прекратить обрабатывать данные в течение 10 рабочих дней.
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Статьи по теме
18
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

№9 сентябрь 2022 года
19
Перечислили, что нужно включить в локальные акты.
Теперь в локальных актах по вопросам обработки персональных данных нужно указать категории и перечень данных, которые обрабатыва- ются. И так для каждой цели обработки. Например, в Положении об обработке персональных данных родителей и учеников ука- жите, что для зачисления обучающегося вы обрабатываете общие и специальные персональные данные, которые вам предоставляют родители. Также в положениях и других локальных актах по во- просам обработки надо указать категории субъектов, персональные данные которых обрабатываются. А еще способы, сроки обработки и хранения, порядок уничтожения персональных данных.
Уточнили, чего в локальных актах быть не должно.
Проверь- те, чтобы в локальных актах по вопросам обработки персональных данных не было положений, которые ограничивают права субъектов персданных. А также там не должно быть полномочий и обязанностей операторов, которые не предусмотрены законодательством. Например, субъект персданных может в любой момент отозвать свое согласие на обработку и оператор не имеет права препятствовать ему в этом.
Таблица. Изменения, которые вступят в силу с 1 марта 2023 года
Область изменений
Что сделали
Передача персональных дан- ных за границу
Детализировали правила оформления трансграничной передачи персданных.
Расширили перечень оснований, по которым Роскомнадзор может запретить такую передачу. Установили для этого сроки и процедуру
Оценка вреда в случае нару- шения
Скорректировали обязанность оператора проводить оценку вреда, который может быть причинен субъектам в случае нарушения Закона о персданных.
Теперь это надо делать в соответствии с требованиями, установленными
Роскомнадзором. Пока таких требований не утвердили
Уничтожение персональных данных
Прописали, что, если субъект персданных потребовал уничтожить его данные, необходимо подтверждать уничтожение этих данных в соответствии с требо- ваниями Роскомнадзора. Пока документа с требованиями Роскомнадзора нет
Уведомление Роскомнадзора об изменениях
Указали сроки, в которые необходимо уведомить Роскомнадзор, если изменены сведения из последнего уведомления. Повторное уведомление об изменении необходимо направить не позднее 15-го числа месяца, следую- щего за месяцем, в котором возникли такие изменения. А если вы прекратили обработку, то уведомить Роскомнадзор надо в течение 10 рабочих дней

Обязали взаимодействовать с ГосСОПКА.
Теперь оператор обязан взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Порядок взаимо- действия ФСБ определит позже. Но уже известно, что надо переда- вать информацию о компьютерных инцидентах, которые повлекли неправомерную передачу, предоставление, распространение, доступ персональных данных. Если произошел компьютерный инцидент утечки данных, необходимо уведомить Роскомнадзор в течение 24 ча- сов о том, что произошло. В этом уведомлении нужно прописать предполагаемые причины утечки, предполагаемый вред и о том, что было предпринято, чтобы устранить последствия. А в течение трех дней необходимо уведомить Роскомнадзор о результатах внутрен- него расследования инцидента и предоставить сведения о лицах, которые это допустили, если таких удалось вычислить.
Указали, что надо чаще направлять уведомление в Роском-
надзор.
Теперьнаправлять уведомление в Роскомнадзор о начале обработки персданных нужно почти всегда. Осталось три случая, в которых этого делать не нужно. Во-первых, когда данные, которые вы обрабатываете, включены в государственные информационные системы персональных данных, созданные в целях защиты без- опасности государства и общественного порядка. Во-вторых, когда оператор обрабатывает данные исключительно без использования средств автоматизации. И в-третьих, когда обрабатывают данные для транспортной безопасности.
Добавили сведения, которые надо указывать в уведомлении.
Теперь в уведомлении нужно указывать категорию персональных данных, которые обрабатываются. Еще надо указывать категорию субъектов, персональные данные которых обрабатываются. А так- же – правовое основание обработки данных, перечень действий с данными и способ их обработки.
Если в соответствии с Федеральным Законом предоставление персональных данных и получение оператором согласия на обра- ботку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа
24
часа
даны на то, чтобы уве- домить Роскомнадзор в случае утечки персональных данных
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Статьи по теме
20
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

№9 сентябрь 2022 года
21
Десять ошибок в работе
с персональными данными
В статье – десять ошибок, которые часто обнаруживает комиссия при проверке.
Узнайте, как ликвидировать ошибки и избежать штрафов.
Роскомнадзор собрал ошибки, которые школы и детские сады часто допускают при обработке персональных данных. Читайте, что на- рушили коллеги и как это исправить.
Опубликовали на сайте фото, Ф. И. О.
и дату рождения работника без его согласия
Если получаете персональные данные в составе тех документов, которые требует трудовое законодательство, то согласие оформлять не надо. Но для того, чтобы обработать другие персональные данные – фотографию для сайта или сведения о семье для личной карточки, возьмите письменное согласие работника (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Получайте отдельное согласие по каждой цели. Воспользуйтесь готовым образцом согласия
60
. Если при проверке выяснится, что вы опубликовали фото без согласия, то вам грозит штраф на сумму до 40 тыс руб., а детскому саду или школе – до 170 тыс. руб. (п. 2 ст. 13.11 КоАП).