Обязанности образовательной организации как оператора персональных данных
В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (далее – ПД), а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Соответственно, если образовательная организация самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД, то она является оператором ПД, и как следствие на нее возлагается ряд обязанностей, предусмотренных Законом о персональных данных.
Согласно ч. 1 ст. 22 Закона о персональных данных в общем порядке, за исключением случаев, указанных в ч. 2 ст. 22 Закона о персональных данных, оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять их обработку.
При этом содержание, порядок и сроки направления такого уведомления содержатся в ст. 22 Закона о персональных данных, а его форма утверждена приказом Роскомнадзора от 28.10.2022 № 180.
Одной из главных обязанностей оператора ПД является обязанность по сохранению конфиденциальности персональных данных, а именно недопущение раскрытия третьим лицам и распространения ПД без согласия субъекта ПД, если иное не предусмотрено законодательством РФ (ст. 7 Закона о персональных данных).
На основании ч. 1 ст. 18.1 Закона о персональных данных оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами. К таким мерам, в частности, относятся:
- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПД;
- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД;
- применение правовых, организационных и технических мер по обеспечению безопасности ПД;
- осуществление внутреннего контроля и (или) аудита соответствия обработки ПД Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам оператора;
- оценка вреда, который может быть причинен субъектам ПД в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер;
- ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, документами, определяющими политику оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников.
Таким образом, состав и перечень мер, которые принимает оператор ПД, для соблюдения законодательства РФ в области ПД, определяется им самостоятельно, но с учетом положений Закона о персональных данных, при этом одной из основных целей является сохранение конфиденциальности ПД.
В тоже время, в силу ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор ПД с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор ПД, документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В свою очередь, согласно письму Роскомнадзора от 19.10.2021 № 08-71063 требование о наличии документа, определяющего политику в отношении обработки ПД, и обеспечения неограниченного доступа к нему предъявляется ко всем операторам вне зависимости от способа сбора ПД.
Соответственно, политика в отношении обработки ПД должна быть принята у всех операторов ПД.
Вместе с тем, на оператора при обработке ПД возлагается обязанность по принятию необходимых правовых, организационных и технических мер или обеспечения их принятия для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД (ч. 1 ст. 19 Закона о персональных данных).
При этом способы защиты ПД определяются ст. 19 Закона о персональных данных, а также соответствующими нормативными правовыми актам Правительства РФ и Роскомнадзора.
В соответствии с ч. 1 ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 Закона о персональных данных, субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Следовательно, оператор в любое время обязан сообщить субъекту ПД или его представителю информацию об имеющихся ПД такого субъекта.
В свою очередь, в случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителя либо Роскомнадзора оператор обязан осуществить блокирование неправомерно обрабатываемых ПД или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование таких ПД или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц (ч. 1 ст. 21 Закона о персональных данных).
В заключении, следует отметить, что законодательством в области ПД и локальными нормативными актами самого оператора на оператора могут быть возложены и иные обязанности, связанные с обработкой ПД.