Расширенный поиск
8 (800) 300-83-09 officeros@yandex.ru
Личный кабинет
Главная Авторские обзоры Позиция юрисконсульта Действия образовательной организации в области обработки пер...
20 Июня 2025, 07:50
413
Версия для печати

Действия образовательной организации в области обработки персональных данных с 30 мая 2025 г.

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

На основании ч. 1 ст. 18.1 Закона о ПД оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПД или другими федеральными законами. К таким мерам, в частности, относятся:

  1. назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
  2. издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
  3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о ПД;
  4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о ПД и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  5. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона о ПД, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПД;
  6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Одновременно с этим, согласно ч. 1 ст. 22 Закона о ПД оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона о ПД.

В силу п.п. 7-9 ч. 2 ст. 22 Закона о ПД оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  • включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Таким образом, образовательной организации для правильной организации работы с персональными данными необходимо осуществить следующие действия: 

  1. назначить лицо, ответственное за обработку персональных данных;
  2. разработать и утвердить политику обработки персональных данных;
  3. разработать и утвердить локальные нормативные акты, связанные с обработкой персональных данных;
  4. сформировать уведомление о начале обработки персональных данных и направить в Роскомнадзор;
  5. обеспечить регулярный контроль актуальности внедренных документов на их соответствие законодательству о персональных данных;
  6. организовать ознакомление работника, ответственного за обработку персональных данных, с законодательством и локальными нормативными актами в области персональных данных, в том числе их защиты.

В свою очередь, с 30.05.2025 Федеральным законом от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ) внесены изменения, касающиеся нарушений в области обработки персональных данных.

Так, например, за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на юридических лиц от ста пятидесяти тысяч до трехсот тысяч рублей (ч. 1 ст. 13.11 КоАП РФ).

Согласно ч. 11 ст. 13.11 КоАП РФ невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, влечет наложение административного штрафа на юридических лиц от одного миллиона до трех миллионов рублей.

Также введена ответственность за действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные субъектов персональных данных и (или) идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч.ч. 12-18 ст. 13.11 КоАП РФ).

Таким образом, с 30.05.2025 многократно ужесточена административная ответственность оператора за нарушения в области персональных данных в целом, а также введены новые специальные составы нарушений в сфере персональных данных, например, за отсутствие уведомления Роскомнадзора о начале обработке персональных данных, их утечку и пр.