Активируйте вашу скидку
Справочник руководителя образовательного учреждения

Ответственность за нарушение закона «О персональных данных»

  • 18 мая 2019
  • 238

В связи с процессами повсеместной глобализации, практики отказа от использования фактических средств хранения информации в пользу электронных перед образовательными организациями был остро поставлен вопрос привлечения к ответственности за нарушение «Закона о персональных данных». Характер полномочий школы по данному вопросу регламентируется Федеральным законом № 152-ФЗ от 27.07.2006 г. «О персональных данных», что не отменяет необходимость получения разъяснений по целому ряду вопросов:

  • какую информацию охватывает понятие «персональные данные», если речь идет об учащихся, их родителях, учителях и непедагогических работниках школы;
  • как получить от родителей согласие на обработку персональных данных, чтобы избежать его отзыва и конфликтов в случае передачи информации внешним операторам;
  • как организовать в ОУ работу с персональными данными, чтобы избежать административной и уголовной ответственности.

Как обеспечить исполнение закона «О персональных данных» в школе

Персональные данные (далее ПДн) — сложный объект правового регулирования, который, с одной стороны, является отражением частной жизни, с другой — остается важным элементом социализации и юридической основой для реализации правоспособности граждан. Закон «О персональных данных» в школе должен реализовываться с целью защиты прав и свобод участников образовательного процесса, в том числе обеспечивать неприкосновенность сохранения семейной и личной жизни.

ПДн определяются как любая информация об определенном или поддающемся определению юридическом лице. В правовой литературе персональные данные разделяют на:

  1. Общие, к числу которых относят Ф.И.О., место работы, домашний адрес, номер телефона, сведения об образовании, трудовой деятельности, размере заработка. Данная информация может быть получена из свидетельства о рождении ребенка, паспорта, личного дела, локальных приказов организации или озвучена в ходе беседы.
  2. Специальные — сведения о национальной и расовой принадлежности, состоянии здоровья, религиозных или политических убеждениях. Информация такого типа может указываться в анкетах родителей, заполняемых при поступлении ребенка в школу или на тематических собраниях, а также в опросниках сотрудников при их зачислении в штат. Специальные ПДн также содержатся в медицинской документации (справках, выписках), психолого-педагогических характеристиках, составляемым по результатам коррекционной работы.
  3. Биометрические данные — сведения личностного характера, определяющие психофизиологические особенности человека. Это показатели роста, веса, цвет радужной оболочки глаз, отпечатки пальцев, данные исследований ДНК, которые могут использоваться при освидетельствовании личности.

В соответствии с Федеральным законом «О защите персональных данных» неразглашение ПДн в школе можно трактовать как результат организованных действий, в результате которых определить личность без получения дополнительной информации становится невозможно. Следует отметить, что образовательные организации преимущественно используют общие персональные данные, подлежащие огласке в рамках организации учебно-воспитательного процесса, но в силу обстоятельств перед представителями школы может возникнуть необходимость уточнения или разглашения специальных и биометрических ПДн, и данный момент важно предусмотреть в локальной документации. Например, если в случае чрезвычайных ситуаций возникает угроза жизни и здоровью учащегося или сотрудника, правомочной является передача медикам персональных данных без ограничений.

платные образовательные услуги

Сохраните это себе, чтобы не потерять:

Читайте в журнале «Справочник руководителя образовательного учреждения» рекомендации по организации сбора, обработки и хранения персональных данных в школе:

- Как составить политику обработки персональных данных

 (рекомендации Роскомнадзора)

- Что учесть при обработке персональных данных учащихся и работников

 (со ссылками на нормативную базу)

Хочется акцентировать внимание на том факте, что хранение и использование персональных данных участников учебно-воспитательного процесса находится в правовом поле образовательной организации, поэтому в случае специального или непреднамеренного разглашения личных данных представители, в первую очередь руководитель, будут нести ответственность в соответствии с актуальными нормативными актами. Чтобы избежать нарушений закона «О персональных данных» в школе, директору ОУ важно тщательно организовать работу по направлению, реализовав ряд организационных шагов:

  1. Назначить ответственного за проведение обработки ПДн посредством составления приказа, что подтверждает ч. 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ. В список должностных полномочий такого работника целесообразно включить контроль того, как в организации соблюдаются нормативы по защите персональной информации, консультирование педагогов по вопросам сбора ПДн, организация приема и обработки обращений, поступающих от родителей (законных представителей) учащихся, обеспечение условий для хранения данных такого типа на материальных носителях.
  2. Составить перечень персональных данных, предоставление которых необходимо для организации образовательного процесса. Удобнее всего сделать это, составив таблицу с указанием департамента или должности работника, ответственного за сбор определенной группы ПДн с указанием правовых оснований, порядка, способа и длительности хранения полученных данных. Наличие справочной таблицы, которую рекомендуется обновлять не реже, чем раз в полгода, гарантирует возможность оперативного обращения за уточнением в случае возникновения спорных ситуаций, например, обвинения со стороны сотрудников, родителей в несоблюдении закона «О персональных данных» в школе.
  3. Утвердить список работников, допущенных к обработке ПДн, приказом. Такое решение необходимо для сужения круга должностных лиц, ответственных за работу по направлению, для их своевременного информирования и оперативного привлечения к ответственности. С работниками, включенными в список, следует обязательно подписать обязательство о неразглашении персональных данных, а также провести разъяснительную беседу касательно последствий нарушений — вплоть до привлечения к уголовной ответственности по ст. 137 УК РФ.
  4. Выяснить, нужно ли подавать уведомление в Роскомнадзор. Это необходимо сделать, если школа вынуждена передавать ПДн третьим лицам без получения письменного согласия, а также в случаях использования информационных систем персональных данных, за исключением кадровых или государственных автоматизаторов. Исключения составляют случаи использования общедоступных данных, в частности для заключения внутренних договоров, оформления однократного пропуска, а также обработка ПДн без использования информационных системы или в соответствии с трудовым законодательством. При необходимости уведомление составляется по форме, представленной в приказе Роскомнадзора № 94 от 30.05.2017 г.
  5. Разработать внутреннюю политику обработки ПНд. Каждой школе согласно закону «О персональных данных» необходимо разработать такой документ, представив в нем цели сбора личной информации, правовые основания таких действий, объем и категории используемых ПДн, порядок и условия их обработки, а также алгоритм актуализации, исправления и удаления. Важно не только создать такой документ, но и представить его в публичном доступе — в противном случае директору ОУ при проверке будет выписан штраф в размере от 3 до 6 тыс. руб., на имя организации — от 15 до 30 тыс. руб.
  6. Составить и утвердить локальные акты, устанавливающие требования к обработке ПДн участников образовательного процесса и третьих лиц. Дополнительно для каждого из сотрудников целесообразно составить инструкцию по обработке личной информации учеников, работников, третьих лиц — с учетом специфики должности.
  7. Подготовить формы соглашений на обработку персональных данных, которые должны отличатся четкостью слога, лаконичностью содержания и соответствовать образовательным реалиям. Использование типовых форм, повсеместно доступных для скачивания, без предварительной правки может обусловить возникновение множества вопросов, а также спровоцировать отказы родителей в предоставлении полномочий ОУ по использованию личных данных учащихся.

Ответственность за нарушение закона «О персональных данных»

В 2019 году, как и ранее, регулятор дорабатывает порядок обеспечения выборочного доступа к личной информации, в частности, привлекает виновных должностных лиц к ответственности за нарушение закона «О персональных данных» по результатам проверок, частота проведения которых была изменена. Правомочность оценивания работы школ и детских садов, которые только начали организацию деятельности по обработке ПДн, была упразднена — теперь проверяющие могут посетить образовательную организацию только при условии истечения трехлетнего срока с момента проведения последней проверки. Плановые оценивания ОУ проводятся в документарной или выездной форме, при этом режим проведения проверок утверждается Роскомнадзором в декабре на будущий год. При поступлении жалоб от граждан, по решению прокурора, по поручению Правительства или Президента РФ школа может быть подвергнута внеплановой проверке, уведомление о которой предоставляется за 24 часа до начала действий уполномоченных проверяющих.

Отвечает Елена Пуляева, старший преподаватель Института законодательства и сравнительного правоведения при Правительстве Российской Федерации, к. ю. н.

По результатам планового или внепланового контрольного мониторинга составляется акт, на основании которого налагается ответственность за нарушение закона «О персональных данных», если были выявлена неправомочность действий ОУ. В качестве наказания могут применяться различные организационные меры, на которые следует реагировать должным образом в установленный срок:

  1. Если проверяющие выдают предписание о нарушении требований закона «О персональных данных», его необходимо исполнить в установленный срок и сообщить об этом ответственному инспектору Роскомнадзора.
  2. Требования приостановить или прекратить работу по сбору и обработке ПДн, уничтожить информацию, полученную незаконным или неправомочным путем, следует выполнить или разработать аргументированный отказ, направив его инспектору. Для выполнения предписаний или составления отказа школе предоставляется 10-тидневный срок.
  3. При условии составления протокола о выявлении административных нарушений после вынесения постановления можно оплатить штраф, или обжаловать его в судебном порядке.

Нарушение закона «О персональных данных» в школе влечет за собой дисциплинарную и материальную ответственность, привлечение к которой регламентируется ст. 90 ТК РФ, гражданско-правовую (ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ), а также административную и уголовную, которая будет рассмотрена нами подробнее.

Административная ответственность за нарушение закона «О персональных данных»

Нарушение Ответственность должностных лиц (штраф, руб.) Ответственность образовательной организации (штраф, руб.) Правовое основание
Непредставление участнику образовательного процесса информации о порядке сбора, хранения, обработки, актуализации, удаления и уничтожения ПДн в ОУ. От 4000 до 6000 От 20 000 до 40 000 ч. 4 ст. 13.11 КоАП
Обработка персональных данных, не соответствующая озвученным целям их сбора. От 5 000 до 10 000 От 30 000 до 50 000 ч. 2 ст. 13.11 КоАП
Обработка ПДн без получения письменного согласия субъекта или с нарушениями требований к согласию. От 10 000 до 20 000 От 15 000 до 75 000 ч. 1 ст. 13.11 КоАП
Ограничение публичного доступа к локальному документу, регламентирующему порядок обработки и сбора ПДн.  От 3 000 до 6 000 От 15 000 до 30 000 ч. 3 ст. 13.11 КоАП
Несвоевременное исполнение требований об уточнении личной информации, ее блокировании или удалении. От 4 000 до 10 000 От 25 000 до 45 000 ч. 5 ст. 13.11 КоАП
Недобросовестное выполнение обязанности по сохранению ПДн, что повлекло за собой несанкционированный доступ к личной информации и иные нарушения (за исключением случаев, грозящих привлечением к уголовной ответственности за нарушение закона «О персональных данных») От 4 000 до 10 000 От 25 000 до 50 000 ч. 6 ст. 13.11 КоАП
Проведение процедуры обезличивания ПДн с нарушениями или полное непроведение. От 3 000 до 6 000 Не предусмотрено ч. 7 ст. 13.11 КоАП
Непредставление или несвоевременное представление, предоставление в неполном объеме или в искаженном виде сведений в Роскомнадзор От 300 до 500 От 3 000 до 5 000 ст. 19.7 КоАП

Что касается уголовной ответственности за нарушение закона «О персональных данных», то ее вменяют при выявлении подозрений на сбор информации о частной жизни гражданина, которая может классифицироваться как семейная или личная тайна, с последующим распространением данных во время публичных выступлений, в СМИ и другими путями. В соответствии со ст. 137 УК РФ данные действия наказываются наложением штрафа в размере 200 тыс. руб. или дохода за период до 1,5 лет, исправительными работами сроком до 1 года, принудительными работами сроком до 2 лет с лишением права занимать определенные должности, арестом до 4 месяцев, лишением свободы сроком до 2 лет.

За неправомерный отказ в предоставлении полученных персональных данных, повлекший нанесение законным интересам гражданина, налагается штраф в размере 200 тыс. руб. или взимается доход сроком дол 1,5 лет, выносится решение о лишении права занимать определенные должности или заниматься указанным видом деятельности сроком от 2 до 5 лет (ст. 140 УК РФ). Неправомерный доступ к компьютерной информации, охраняемой законом, обусловивший ее уничтожение, блокирование, модификацию либо копирование, наказывается штрафом в размере 200 тыс. руб. или дохода за период до 1,5 лет, исправительными или принудительными работами сроком до 1 года или 2 лет соответственно, ограничением или лишением свободы на срок до 2 лет (ч. 1 ст. 272 УК РФ).

При принятии решения о наложении штрафа за нарушение закона «О персональных данных» или привлечения сотрудника к другому виду административной или уголовной ответственности в качестве отягчающего обстоятельства может быть принят тот факт, что неправомерное деяние, связанное с посягательством на неприкосновенность личных данных, было совершено с использованием служебного положения.

Директору школы важно понимать и донести до сотрудников, что вред, причиненный работником при выполнении должностных обязанностей, по общему правилу возмещается юридическим лицом (образовательной организацией). Однако если при разбирательстве удастся выяснить, что неправомочные действия не были вызваны трудовой необходимостью, к гражданско-правовой ответственности будет дополнительно привлечен работник. Таким образом, после выплаты материальных компенсаций гражданам, пострадавшим от совершенных правонарушений, ОУ согласно ст. 238 ТК РФ имеет право требовать у должностного лица возмещения материального ущерба в размере средней заработной платы, за исключением случаев применения уголовной ответственности, предусматривающих полное погашение фактического ущерба.

Разглашение персональных данных в школе: реальные риски

Нормативная база, регулирующая реализацию закона «О персональных данных» в школе, неоднократно разъяснялась в экспертных источников, но ввиду обширности требований регулятора и строгих мер ответственности, на фоне сохранения регионального фактора в большинстве образовательных организаций ощущаются затруднения в вопросах сбора и обработки личной информации учеников, их родителей и педагогов. С одной стороны, школа не является коммерческой структурой, и осуществляемый ее представителями сбор ПДн не несет высоких рисков. С другой, согласно букве закона, неприкосновенности общих, специальных и биометрических личных данных имеет первоочередной приоритет, поэтому во избежание рисков представителям администрации следует очень тщательно организовывать работу по направлению.

Одной из наиболее распространенных ситуаций является процесс подписания соглашения на обработку ПДн родителями первоклассников, которым для ознакомления под роспись предоставляется бланк типичного содержания. Недостатком использования документов такого типа, скачиваемых без последующей адаптации, является обтекаемость формулировок, которая может натолкнуть родителей (законных представителей) учащихся на вероятность неправомерного использования данных. Большинство родителей характеризует высокий уровень правовой грамотности, поэтому, чтобы предупредить разглашение персональных данных ребенка в школе без возможности привлечения виновных к ответственности, мамы и папы отказываются подписывать подобные разрешения, апеллируя к защите личных интересов.

Административному составу ОУ важно осознать правомочность требовать согласие только на те виды персональных данных, которые действительно будут использоваться для организации образовательного процесса. В стандартный бланк согласия целесообразно внести следующие категории ПДн:

  1. ФИО, адрес и год рождения ребенка.
  2. ФИО, адрес родителей, реквизиты документа, удостоверяющего его личность.
  3. Перечень действий с данными, на совершение которых родитель дает согласие, способы обработки данных.
  4. Срок действия согласия и способ его отзыва.
  5. Подпись родителей.

В случае возникновения необходимости получения дополнительной информации (для проведения учебно-воспитательных исследований, организации олимпиадной и конкурсной деятельности учащихся) необходимо составить дополнительное соглашение и предоставить его для ознакомления и получения письменного согласия тем родителям, дети которых привлекаются к дополнительным видам активности. Составление соглашений «на все случаи жизни» повышает вероятность школы избежать ответственности в случае возникновения конфликтной ситуации, но может повлечь большое число отказов и снижения уровня доверия со стороны потребителей образовательных услуг.

Документы образовательной организации

Получите диплом установленного образца



Для грамотной и качественной оценки результатов работы педагогов рекомендуем пройти обучение по программе «Документы образовательной организации».

Кабинет информатики в школе

Высокая вероятность получения предупреждения или наложения штрафа за нарушение закона «О персональных данных» возникает в случае публикации на сайте портретного изображения ребенка — победителя олимпиады, конкурса, спортивных соревнований, исполните роли в школьном спектакле. Запрет на использование фотографий и видеозаписей, участником которых был гражданин, не давший согласие на публикацию, грозит привлечением к ответственности согласно в ст. 152.1 ГК РФ. Исключение составляют случаи, когда велась не портретная съемка, а полученное изображение используется в общественных или информационных интересах. Таким образом, групповые фотографии с торжественных мероприятий можно публиковать на школьном сайте без получения согласия от родителей, но перед использованием портрета необходимо получить согласие.

При возникновении претензий фото стоит удалить или заменить, чтобы избежать конфликта. Также не следует публиковать в свободном доступе приказы, содержание ФИО или другие данные об ученике, позволяющие идентифицировать личность (например, ученица 3 класса Марьяна, если среди третьеклассников есть только одна девочка с таким именем). Отдельное внимание следует уделить защите персональных данных во время проведения спортивных мероприятий, заключив с родителями допсоглашение на общедоступное разглашение отдельных категорий персональных данных (например, фамилия, имя, возраст, рост, вес), которые принято озвучивать по регламенту мероприятия.

Представители образовательной организации должны быть готовы к ситуации отзыва согласия на обработку ПДн родителями, спровоцированного по ряду причин. В таком случае с целью реализации закона «О персональных данных» в школе все ранее используемые данные следует удалить с публичных ресурсов (фото с сайта школы), и при организации учебно-воспитательного процесса указывать в локальной документации только те данные, которые подлежат раскрытию в силу закона или по решению суда, или ранее был представлены по договору (например, по договору об оказании платных образовательных услуг). Важно проинформировать родителей, что в связи с их решением школа не сможет вести учет успеваемости ребенка, который фактически окажется вольным слушателям и не будет включаться в учебно-воспитательные мероприятия, требующие использования именных списков. Отказ от передачи персональных данных учащегося внешним операторам делает невозможным проведение итоговой аттестации и выдачу документов об окончании школьного обучения.

Пройдите повышение квалификации в «Школе менеджера образования»

Курс «Управление образовательной организацией» — это знания и навыки по управлению ресурсами, кадрами, развитием образовательной организации.

Дистанционно! Вы сами выбираете удобное время для обучения!

logo

Внимание!
Сайт предназначен только для работников образования.

Зарегистрируйтесь.
Это бесплатно и займёт менее 1 минуты!
За регистрацию на сайте для Вас сегодня — журнал «Справочник заместителя директора школы» (скачать в pdf) и самые необходимые для работы статьи:

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
ИЛИ ВОЙТИ ЧЕРЕЗ СОЦСЕТИ
Зарегистрироваться
×
Сайт предназначен для работников сферы образования!

Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
ИЛИ ВОЙТИ ЧЕРЕЗ СОЦСЕТИ
Зарегистрироваться
×
Пожалуйста, зарегистрируйтесь на сайте и скачайте файл!

Вы сможете скачать любые документы и получить бесплатный доступ ко всем материалам на сайте.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать файл
Зарегистрироваться
×
Пожалуйста, зарегистрируйтесь на сайте и скачайте файл!

Вы сможете скачать любые документы и получить бесплатный доступ ко всем материалам на сайте.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать файл
Зарегистрироваться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.