Юридические основы обработки персональных данных поступающих и обучающихся
В соответствии с п.п. 6, 22 Порядка приема на обучение по образовательным программам среднего профессионального образования, утвержденного приказом Минпросвещения России от 02.09.2020 № 457, образовательная организация осуществляет обработку полученных в связи с приемом в образовательную организацию персональных данных поступающих в соответствии с требованиями законодательства Российской Федерации в области персональных данных, тогда как подписью поступающего заверяется также согласие на обработку полученных в связи с приемом в образовательную организацию персональных данных поступающих.
В тоже время, согласно п. 44 Порядка приема на обучение по образовательным программам высшего образования – программам бакалавриата, программам специалитета, программам магистратуры, утвержденного приказом Минобрнауки России от 21.08.2020 № 1076, образовательная организация принимает от поступающего документы, необходимые для поступления, при представлении заявления о согласии на обработку его персональных данных, которое содержит в том числе согласие на обработку персональных данных, разрешенных поступающим для распространения (раскрытия неопределенному кругу лиц).
В свою очередь, на основании п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В силу п. 3 ст. 3 Закона о персональных данных обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных).
Согласно ч. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Соответственно, юридической основой для возможности обработки персональных данных поступающих и обучающихся является получение в ходе приема документов добровольного согласия на обработку персональных данных.
На основании ч. 4 ст. 9 Закона о персональных данных согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Как правило, образовательным организациям следует получить указанное согласие на весь период обучения с указанием перечня действий, которые будут необходимы как в период приемной кампании, так и в период обучения.
Одновременно с этим, в соответствии с п. 1.1 ст. 3 Закона о персональных данных персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 1 Закона о персональных данных).
В свою очередь, в силу ч. 1 ст. 10.1 Закона о персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Названное согласие должно соответствовать требованиям приказа Роскомнадзора от 24.02.2021 № 18 и содержать следующее:
- фамилия, имя, отчество (при наличии) субъекта персональных данных;
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
- сведения об операторе-организации – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
- цель (цели) обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные;
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
- условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
- срок действия согласия.
Таким образом, образовательной организации при распространении персональных данных обучающегося, то есть при их раскрытии неопределенному кругу лиц, например, при размещении информации об обучающемся на своем сайте, в электронно-информационно образовательной среде, необходимо получить отдельное согласие на обработку персональных данных, в котором необходимо предоставить обучающемуся возможность определить перечень персональных данных по каждой категории, разрешенный для распространения.
Такое согласие обязательно к получению при приеме документов на образовательные программы высшего образования, однако рекомендуем его получать и от поступающих на образовательные программы среднего профессионального образования, при этом как и простое согласие на обработку персональных данных указанное согласие также следует получить на весь период обучения.