В настоящее время Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее по тексту Закон) предъявляет серьезные требования к организации документооборота в образовательной организации, и, к сожалению, многие работодатели забывают про нормы указанного федерального закона или относятся к ним формально.
Что же такое персональные данные? Это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество; месяц, год, дата и место рождения; адрес регистрации по месту жительства или места пребывания; социальное и имущественное положение; образование, профессия, доходы и другая информация (ст. 3). Персональные данные относятся к категории конфиденциальной информации, за исключением случаев, предусмотренных законом (ст. 8).
Разберёмся, про какие основные действия не должен забыть оператор обработки персональных данных.
Во-первых, это невнесение, каких бы то ни было изменений (переименование, изменение местонахождения, появление новых направлений уставной деятельности, смена должностного лица ответственного за обработку персональных данных) в Реестр операторов, осуществляющих обработку персональных данных.
Коллеги, обращаю внимание, что в соответствии с Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" наименования образовательных учреждений подлежат приведению в соответствие с настоящим Федеральным законом не позднее 1 января 2016 года. То есть необходимость внесения изменений в реестр, может возникнуть.
Следовательно, в случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого он должен направить в уполномоченный орган информационное письмо с указанием основания изменения сведений.
Информационное письмо может быть представлено в уполномоченный орган одним из следующих способов:
- направлено в бумажном виде, т.е. путем почтового отправления. О возможности непосредственно представить документы в территориальный орган Роскомнадзора, см. в разделе материала о представлении уведомления в уполномоченный орган;
- направлено в электронном виде через Единый портал госуслуг.
Также возможность составить данное информационное письмо в электронном виде имеется на сайте Роскомнадзора, а также на интернет-портале персональных данных (pd.rsoc.ru). При этом согласно приведенным на сайте разъяснениям, заполненное в электронном виде письмо следует распечатать и направить в уполномоченный орган в бумажном виде.
В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого в уполномоченный орган подается соответствующее заявление с приложением обоснований.
В нем указываются:
- полное наименование оператора или его Ф.И.О.;
- адрес местонахождения и почтовый адрес оператора;
- сведения об операторе: ИНН, ОГРН, регистрационный номер записи в реестре;
- основание для исключения из реестра (ликвидация оператора, его реорганизация, прекращение деятельности по обработке персональных данных, аннулирование лицензии, наступление срока или условия прекращения обработки персональных данных).
Заявление подписывается уполномоченным лицом заявителя с указанием должности и расшифровкой подписи, в нем указывается дата его составления.
Еще одним моментом, в котором возникают нарушения при работе с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" является согласие субъекта персональных данных на обработку его персональных данных.
Во-вторых, указанное выше согласие не соответствует требованиям ст. 9 Федерального закона.
Обратите внимание, что должно в себя включать согласие субъекта персональных данных на обработку его персональных данных, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Основными неточностями, при разработке согласия являются следующие моменты:
- не указывается цель обработки персональных данных, или цель указана, а персональные данные требуются от субъекта персональных данных не соответствующие цели обработки персональных данных;
- при несовместимости целей обработки персональных данных, не позволяет осуществлять их обработку персональных данных;
- не указан полный перечень действий с персональными данными;
- к примеру, в согласии в действиях оператора обработки персональных данных, указаны только использование и хранение, и не указано сбор, запись, систематизация, накопление, уточнение (обновление, изменение), извлечение, передача (распространение), обезличивание, блокирование, удаление, уничтожение персональных данных;
- в согласии не указывается так же как происходит обработка персональных данных: с использованием средств автоматизации или без использования таких средств;
- очень часто в согласии не указывается срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.
Хранение необходимо осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Могут быть такие формулировки как:
- срок действия согласия – до дня расторжения трудового договора. А вот срок хранения может быть иной, например 75 лет со дня расторжения трудового договора (трудовые книжки);
- несоблюдение вышеуказанных требований влечет за собой определенные негативные правовые последствия.
Предусмотрена административная ответственность за нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных, установлена КоАП РФ.
Так, ст. 13.11 КоАП РФ за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.
Помните, существует, и уголовная ответственность, предусмотренная ст. 137 УК РФ, в соответствии с которой преступлением признается незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации как преступление в сфере конституционных прав и свобод человека и гражданина, которое наказывается:
- штрафом до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 мес.;
- либо обязательными работами на срок от 120 до 180 ч;
- либо исправительными работами на срок до 1 года;
- либо арестом на срок до 4 месяцев.
