Персональные данные в образовательных учреждениях

00:00 Введение и организационные моменты

Проверка связи и оборудования участников.
Объяснение работы чатов: общий и для вопросов.
Просьба задавать вопросы в чате «Вопросы».

02:06 Начало вебинара

Представление ведущих: Наталья Саукова и Ярослав Федулов.
Представление группы компаний «Астрал»: опыт работы с 1993 года, направления деятельности.

04:18 Тема вебинара

Обсуждение изменений в законодательстве о персональных данных.
Обзор локальных актов, требований к согласию на обработку данных и типовых нарушений.

04:51 Оценка вреда субъектам персональных данных

Введение в приказ Роскомнадзора №178 от 27 октября 2022 года.
Три степени вреда: высокая, средняя и низкая.
Требования к акту оценки вреда: содержание, подпись должностных лиц.

08:28 Уничтожение персональных данных

Приказ Роскомнадзора №179 от 28 октября 2022 года о требованиях к уничтожению данных.
Акт об уничтожении персональных данных: содержание и требования.
Выгрузка из журнала событий информационной системы персональных данных.

11:25 Требования к выгрузке из журнала событий

Содержание выгрузки: ФИО субъекта, категория данных, причина и дата уничтожения.

11:46 Акт об уничтожении персональных данных

Акт может быть подписан лично или в электронной форме с учётом требований Федерального закона №63.
Если выгрузка из журнала регистрации событий не содержит всех необходимых сведений, они указываются в акте об уничтожении.
При смешанной обработке данных составляются два акта: об уничтожении и выгрузка журнала событий.

12:47 Хранение актов

Акт об уничтожении и выгрузка журнала хранятся три года с момента уничтожения данных.
По истечении трёх лет акт подлежит уничтожению в соответствии с требованиями статьи 21 Федерального закона о персональных данных.

14:26 Изменения в реестре операторов

С 1 сентября 2022 года изменились требования к сведениям в реестре операторов и формам уведомлений.
Цель обработки данных теперь указывается отдельно для каждой категории.
Указываются категории персональных данных и правовое основание обработки.

17:12 Оценка вреда

Акт оценки вреда может быть один или несколько в зависимости от категории субъектов данных.
В образовательных организациях оценка проводится для учащихся, работников, соискателей и других категорий.
Рекомендуется составить единый акт для удобства работы.

19:57 Удаление персональных данных

Удаление данных учащегося возможно только с согласия законного представителя.
Если согласие отозвано, данные должны быть уничтожены.
Обработка данных в рамках Федерального закона №273 осуществляется на основании законодательства.

21:38 Проведение оценки вреда

Оценка вреда проводится должностными лицами, определёнными локальным нормативным актом.
Подписи должностных лиц должны быть указаны в акте.
Ответственное лицо определяется оператором самостоятельно.

22:35 Отправка актов в Роскомнадзор

Нет требования отправлять акты оценки вреда и уничтожения в Роскомнадзор.
Документы предоставляются по запросу уполномоченного органа при поступлении жалобы.
Отчётность по оценке вреда и уничтожению данных не предусмотрена.

24:35 Локальные нормативные акты по обработке персональных данных

Законодательство устанавливает обязательные локальные нормативные акты для обработки персональных данных.
Среди них: политика в отношении обработки персональных данных, процедура предотвращения нарушений, порядок проведения внутреннего контроля и аудита, оценка вреда субъектам персональных данных.
Работники оператора, включая директора образовательной организации, должны быть ознакомлены с локальными актами.

27:35 Требования к политике обработки персональных данных

Политика должна определять цели обработки, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
Сведения из политики должны коррелировать с данными в реестре операторов.
Перед заполнением уведомлений об изменении сведений необходимо провести аудит деятельности по обработке персональных данных.

29:38 Требования к неавтоматизированной обработке персональных данных

Обработка данных без использования средств автоматизации требует информирования сотрудников о факте такой обработки и ознакомления с особенностями и правилами.
Типовые формы документов должны содержать сведения о цели обработки, наименовании оператора, адресе, источнике получения данных, сроках обработки, перечне действий с данными и общем описании способов обработки.
Формы должны предусматривать поле для согласия субъекта на обработку данных без использования средств автоматизации.

34:19 Хранение материальных носителей персональных данных

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность данных и исключающие несанкционированный доступ.
Оператор самостоятельно устанавливает перечень мер и ответственных лиц.

35:02 Опубликование политики обработки персональных данных

Политика должна быть размещена на сайте, где осуществляется сбор персональных данных, и на страницах с формами обратной связи.
Отсутствие ссылки на политику является нарушением законодательства.
Территориальный орган Роскомнадзора может направить требование об устранении нарушения.

35:53 Использование иностранных мессенджеров

Вопросы по использованию иностранных мессенджеров следует обращаться в центральный аппарат Роскомнадзора.
Более детальные разъяснения можно получить на основании приказа Роскомнадзора от 2023 года.

36:36 Изменения в законодательстве о мессенджерах

С 1 марта 2023 года введён запрет на использование иностранных мессенджеров для обработки персональных данных.
Запрет распространяется на предоставление государственных и муниципальных услуг, выполнение государственных заданий и реализацию товаров, работ и услуг определёнными субъектами.
Роскомнадзор публикует перечень запрещённых мессенджеров.

37:30 Перечень запрещённых мессенджеров

На сайте Роскомнадзора опубликован перечень из девяти запрещённых мессенджеров по состоянию на 20 сентября.
Приказ Роскомнадзора №22 от 21 февраля 2023 года устанавливает критерии для соблюдения запрета.

38:51 Назначение ответственного за обработку персональных данных

Все юридические лица, включая образовательные организации, обязаны назначить ответственного за обработку персональных данных.
Ответственным может быть любое лицо, не обязательно директор или кадровый работник.
Отсутствие ответственного лица является нарушением требований.

41:43 Назначение ответственного ежегодно

Ответственный назначается приказом или локальным нормативным актом.
Важно, чтобы ответственный действительно работал в организации, а не был «мёртвой душой».
Нарушение требований может привести к административной ответственности.

42:43 Специальные категории персональных данных

Справки о состоянии здоровья могут относиться к специальным категориям персональных данных, если содержат код заболевания.
Обработка специальных категорий данных возможна без согласия субъекта в соответствии с законодательством.

44:59 Использование мессенджеров в образовательных учреждениях

Использование мессенджеров для переписки без передачи персональных данных не запрещено.
Передача персональных данных через мессенджеры может быть рискованной из-за уязвимостей.
Рекомендуется использовать официальные каналы связи для передачи данных.

48:00 Изменения в согласии на обработку персональных данных

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Теперь согласие должно быть предметным и однозначным, с указанием конкретных целей, категорий данных и действий.
Несовершеннолетние не могут самостоятельно подписывать согласие на обработку персональных данных, это делают их законные представители.

50:15 Типовые нарушения в области персональных данных

Неполный перечень целей обработки персональных данных.
Неполный перечень категорий персональных данных.
Игнорирование категорий субъектов персональных данных, таких как соискатели, уволенные работники, родственники работников.
Неполный перечень правовых оснований обработки персональных данных, чаще всего согласие на обработку и договор.

52:12 Отсутствие сведений о базах данных

Отсутствие информации о всех базах данных с персональными данными.
Рекомендация использовать портал персональных данных для получения актуальной информации.

53:04 Аудит деятельности оператора

Проведение аудита деятельности оператора по обработке персональных данных не реже двух раз в год.
Анализ целей обработки персональных данных и формирование унифицированного перечня.
Формирование уведомления об обработке персональных данных на основе анализа.

55:45 Уведомление об изменении сведений

Уведомление об изменении сведений в реестре операторов не позднее 15-го числа месяца, следующего за месяцем внесения изменений.
Пример уведомления: изменение ответственности за организацию обработки персональных данных и контактной информации.

57:57 Нарушения, связанные с ответственностью и документами

Отсутствие назначенного ответственного за организацию обработки персональных данных.
Неизданные локальные нормативные акты, касающиеся обработки персональных данных.
Отсутствие внутреннего контроля и аудита, утверждённого локальным нормативным актом.

58:48 Ознакомление сотрудников с документами

Ознакомление сотрудников с документами, касающимися обработки персональных данных, включая политику в отношении обработки персональных данных.
Назначение ответственного, издание политики и локальных актов, утверждение плана проведения внутреннего контроля.

01:00:22 Требования к хранению персональных данных

Разработка локального нормативного акта, определяющего перечень мест хранения персональных данных.
Разработка перечня лиц, осуществляющих обработку персональных данных или имеющих к ним доступ.
Подтверждение мест хранения персональных данных в соответствии с приложением к приказу.

01:01:04 Информирование сотрудников о обработке персональных данных

Сотрудники должны быть проинформированы о факте обработки персональных данных без использования средств автоматизации.
Указываются категории обрабатываемых персональных данных и правила их обработки.
Дата ознакомления с информацией фиксируется.

01:01:52 Уничтожение персональных данных

Персональные данные уничтожаются по истечении законодательно установленных сроков.
Оформляется акт об уничтожении в соответствии с требованиями приказа Роскомнадзора №178.

01:02:21 Согласие на обработку персональных данных

Согласие на обработку персональных данных должно соответствовать требованиям части четвёртой статьи девятой закона о персональных данных.
Не указание необходимых сведений может привести к административной ответственности.
Примеры нарушений: отсутствие адреса или данных документа, удостоверяющего личность, указание нескольких целей обработки, отсутствие наименования или адреса лица, осуществляющего обработку.

01:04:11 Нарушения при обработке персональных данных через сайт

При сборе персональных данных через сайт необходимо размещать документ об обработке данных.
Использование метрических программ без сбора согласия на обработку персональных данных является нарушением.
Некорректные цели обработки или категории персональных данных также считаются нарушением.

01:06:20 Использование иностранных баз данных

Использование иностранных баз данных, например, Google Docs, для сбора персональных данных может быть нарушением.
Трансграничная передача персональных данных без согласия на обработку также является нарушением.

01:07:58 Различие между согласием и согласием на обработку

Согласие на обработку персональных данных в письменной форме требуется в строго установленных законодательством случаях, например, при обработке специальных категорий данных или биометрии.
Согласие должно соответствовать требованиям части четвёртой статьи девятой и указывать одну цель обработки.

01:11:00 Отказ сотрудника от согласия на обработку данных

Для целей, установленных законодательством, согласие сотрудника не требуется.
Примеры целей, не требующих согласия: ведение личного дела, направление сведений в налоговую.
Формирование телефонных справочников на работе без согласия сотрудника является нарушением законодательства.

01:13:13 Ответственность за обработку персональных данных

Обязанности ответственного лица установлены статьёй 22.1 закона о персональных данных и локальным нормативным актом образовательной организации.
При отсутствии иных правовых оснований обработка персональных данных должна быть прекращена в течение 30 дней.

01:14:09 Согласие на распространение персональных данных

Согласие на распространение персональных данных отделено от согласия на обработку.
Образовательные организации выведены из-под действия статьи 10.1 закона о персональных данных, требующей отдельного согласия на распространение.
Для работников согласие на распространение не требуется, но для учащихся необходимо согласие родителей.

01:16:20 Размещение сведений о педагогическом составе

Федеральный закон об образовании обязывает образовательные организации размещать сведения о педагогическом составе.
Перечень персональных данных установлен приказом, согласие на распространение в этом объёме не требуется.

01:17:20 Согласие детей на обработку персональных данных

Дети до 18 лет не могут подписывать согласие на обработку персональных данных, это делают их законные представители.

01:18:07 Публикация фотографий обучающихся

Для публикации фотографий на общедоступных мероприятиях согласие не требуется.
Для публикации фотографий, доступных неограниченному числу лиц, необходимо согласие законного представителя.

01:19:53 Передача данных учредителям

Учредитель имеет доступ к документам в соответствии с уставом образовательной организации.

01:21:45 Локальные нормативные акты и филиалы

Локальные нормативные акты разрабатываются для всей организации, включая филиалы.
Ответственность за обработку персональных данных назначается юридическим лицом, можно назначить заместителя на время отпуска или болезни.

01:24:12 Политика в области обработки персональных данных

Обсуждение важного документа — политики в области обработки персональных данных и обязанностей оператора персональных данных.

01:25:13 Обязанности оператора персональных данных

Обязанности оператора персональных данных изложены в Федеральном законе №152 и Постановлении правительства №1119.
Необходимо назначить ответственного за работу с персональными данными приказом.
Ошибки часто связаны с назначением ответственного, который не разбирается во всех аспектах работы с персональными данными.

01:26:12 Выбор ответственного лица

Ответственный должен иметь доступ во все отделы учебного заведения и понимать, как обрабатываются персональные данные в каждом отделе и филиале.
Рекомендуется пройти курсы для понимания Федерального закона №152 и других регламентирующих документов.

01:27:13 Издание документа о политике обработки персональных данных

Документ должен содержать информацию об операторе: наименование, ФИО, ИНН, контактную информацию.
Цели обработки персональных данных должны быть чётко и конкретно прописаны.
Категории обрабатываемых персональных данных указываются в разрезе целей.

01:28:07 Содержание документа о политике

Контактная информация должна включать местоположение, адрес электронной почты и телефон.
Цели обработки должны быть разделены, а не указаны в одной строке.
Категории персональных данных указываются отдельно для каждой цели.

01:30:03 Правовые основания и меры безопасности

Правовые основания включают Конституцию РФ, устав образовательного учреждения, законы, гражданское и трудовое законодательство.
Согласие субъекта персональных данных также является важным правовым основанием.
Меры безопасности включают назначение ответственного, разработку локально-нормативных актов, установку средств защиты информации и антивирусов.

01:31:52 Передача персональных данных третьим лицам

В политике указывается, на основании чего передаются персональные данные третьим лицам, с какими целями и какие данные передаются.
При трансграничной передаче данных указываются страны, на территорию которых передаются персональные данные.

01:32:23 Примеры разделов политики

Пример целей обработки: ведение кадрового и бухгалтерского учёта, оказание услуг или выполнение работ.
Примеры правовых оснований: Конституция РФ, трудовой кодекс, налоговый кодекс, гражданский кодекс, устав организации, согласие.
Примеры субъектов персональных данных: работники, родственники работников, уволенные работники, соискатели вакантных должностей, студенты, родители студентов, отчисленные учащиеся.

01:35:28 Категории персональных данных

Категории персональных данных включают фамилию, имя, отчество, год рождения, паспортные данные и другие.
Перечни категорий персональных данных различаются в зависимости от целей обработки.

01:36:08 Использование уведомлений Роскомнадзора

Уведомления Роскомнадзора помогают избежать ошибок при составлении документов.
Данные из уведомлений можно использовать для корректного заполнения документов.

01:36:57 Копирование политик

Часто политики копируются с других сайтов без изменений.
Необходимо указывать название образовательного учреждения, адрес сайта и электронной почты.
Важно учитывать особенности своей организации и цели сбора персональных данных.

01:38:34 Размытые цели сбора данных

Цели сбора данных должны быть короткими и чёткими.
Нельзя объединять цели в один общий абзац.
Цели должны совпадать с целями, указанными в уведомлении Роскомнадзора.

01:39:09 Несоответствие целей в политике и уведомлении

В политике могут быть указаны цели, не отражённые в уведомлении.
Например, цель «посетители сайта» должна быть указана в политике.
Нарушение законодательства может привести к штрафу.

01:40:49 Неправильные правовые основания

152-й федеральный закон и приказы №1721 не являются правовыми основаниями для сбора персональных данных.
Правовым основанием является законодательство, описывающее, какие данные нужно собирать.

01:41:43 Доступность документа

Документ должен быть опубликован на сайте или в доступном месте в учреждении.
Политика должна быть доступна для всех субъектов персональных данных.

01:42:37 Бессрочная обработка данных

Обработка данных должна иметь конечную дату или действие для прекращения обработки.
Примеры действий: ликвидация учреждения, отзыв согласия.
Бессрочная обработка данных является нарушением законодательства.

01:43:34 Ограничение прав субъектов данных

Оператор не имеет права обязывать субъектов предоставлять персональные данные.
Субъекты имеют больше прав, чем оператор.
Избыточная информация, требуемая от сотрудников, является нарушением.

01:44:31 Устаревшие сроки реагирования

Сроки реагирования на запросы субъектов данных сокращены с 30 до 10 рабочих дней.
Неправильные сроки в политике не наказываются, но могут привести к штрафу за нарушение сроков ответов на запросы.

01:45:26 Локальные нормативные акты

Оператор персональных данных обязан издать локальные нормативные акты.
Перечень документов, необходимых для оператора, представлен в видео.

01:45:35 Документы для операторов персональных данных

Инструкции, шаблоны согласий, планы мероприятий по защите данных, правила обработки персональных данных и другие документы необходимы операторам персональных данных.
Рекомендации по составлению документов можно найти на сайте Роскомнадзора.
Самостоятельно созданные документы можно отправить на проверку в Роскомнадзор, но это может занять много времени из-за ограниченных ресурсов ведомства.

01:46:29 Определение персональных данных и субъектов

Персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
Субъекты персональных данных — это физические лица, чьи данные собираются.
В образовательном учреждении субъектами могут быть учащиеся, студенты, родители, сотрудники, соискатели, посетители сайтов и представители компаний.

01:48:10 Сбор информации для разработки документов

Ответственный сотрудник должен собрать информацию по всем отделам, где поступают персональные данные.
Необходимо чётко понимать цели обработки персональных данных.

01:48:45 Использование таблицы для сбора данных

Таблица в Excel помогает систематизировать информацию о местах сбора персональных данных: сайт, отдел кадров, учебная часть, медицинский кабинет.
Важно указать, чьи данные собираются в каждом отделе: посетители сайта, сотрудники, студенты и ученики.

01:50:38 Детализация данных в таблице

В таблице нужно указать, какие именно данные собираются: например, имя и телефон для сайта.
Необходимо определить цели сбора данных: информирование посетителей сайта, заключение трудовых договоров, исполнение трудового законодательства.
Также нужно указать, где хранятся данные: в каких кабинетах.

01:51:26 Организация работы с персональными данными

Определите места хранения данных и сотрудников, имеющих к ним доступ.
Детальная таблица поможет в создании документов и проведении аудитов.
Для упрощения работы можно использовать сервис «152 док».

01:52:24 Использование сервиса «152 док»

Сервис автоматически создаёт документы на основе указанной информации.
Документы включают политику в области обработки персональных данных.
Возможность внесения изменений в документы через сервис.

01:53:23 Политика в области обработки персональных данных

Политика должна быть подписана всеми сотрудниками, работающими с персональными данными.
Документ должен быть опубликован на сайте организации.

01:54:17 Внутренний контроль и аудит

Необходимо проверять соответствие документов реальным процессам в организации.
Рекомендуется проводить аудиты раз в квартал.

01:55:15 Оценка вреда и обучение сотрудников

Сервис «152 док» помогает оценить вред, причиняемый субъектам персональных данных.
Оператор обязан ознакомить сотрудников с законодательством и провести обучение.
Ошибки в работе с персональными данными могут привести к штрафам.

01:56:59 Подача уведомления в Роскомнадзор

С февраля 2023 года форма уведомления изменилась.
Необходимо подать корректирующее уведомление, описав каждую цель отдельно.
Головная компания подаёт уведомление, а не филиалы.

01:58:43 Уведомления об изменениях

При изменениях в работе с персональными данными необходимо подавать уведомления в Роскомнадзор.
Сроки подачи уведомлений — не позднее 15-го числа месяца, следующего за месяцем возникновения изменений.
Уведомления подаются через сайт Роскомнадзора.

01:59:50 Проверки Роскомнадзора

Обсуждаются проверки сайтов образовательных учреждений со стороны Роскомнадзора.
Проверяются сайты, где происходит сбор персональных данных через формы обратной связи и заявки.

02:00:41 Требования к сайтам

Сайт должен располагаться на территории Российской Федерации.
При использовании куки-файлов должен быть куки-баннер.
Необходимо указать использование Яндекс.Метрики и Google Analytics в политике обработки персональных данных.

02:03:32 Проблемы с Google Analytics

Использование Google Analytics может привести к трансграничной передаче данных.
Требуется уведомление Роскомнадзора о трансграничной передаче данных.
Рекомендуется отказаться от использования Google Forms.

02:05:28 Ссылки на согласие и политика обработки

Под каждой формой сбора персональных данных должны быть ссылки на документ согласия.
Политика обработки персональных данных должна быть размещена на сайте.

02:06:15 Примеры нарушений

Неактивные ссылки на согласие и отсутствие политики — грубые нарушения.
Предустановленная галка в формах сбора данных нарушает добровольность предоставления данных.

02:08:00 Правильное размещение документов

Политику обработки персональных данных можно разместить в подвале сайта или под формой сбора данных.
Документ согласия должен соответствовать рекомендациям Роскомнадзора.
Галочка возле документа согласия не обязательна.

02:10:45 Штрафы за нарушения

Штрафы выписываются за нарушения работы с персональными данными, а не только за утечку.
Избыточный сбор персональных данных может привести к штрафу.
Локализация персональных данных не на территории РФ влечёт за собой самые большие штрафы.

02:11:39 Рекомендации

Рекомендуется отказаться от использования Google Forms и других сервисов, передающих данные за границу.
Важно соблюдать требования законодательства по обработке персональных данных.

02:12:37 Помощь в составлении документов

Предлагается помощь в составлении документов и демонстрация сервиса.
Контакты для связи: почта якб собака астрал точка ру.

02:13:36 Вопросы о согласии сотрудников

Обсуждение документа согласия каждого сотрудника.
Подчёркивается, что согласие требуется только при сборе данных вне рамок законодательства.

02:14:06 Проблемы с презентацией

Татьяна сообщает, что не видела презентацию.
Презентация появляется после запроса.

02:14:20 Хранение данных о детях

Рекомендации по хранению данных в личных делах детей: следовать законодательству.
Минимизация сбора персональных данных и разделение данных по ученикам и родителям.

02:15:18 Запись вебинара

Запись вебинара будет отправлена на электронную почту всем зарегистрированным участникам.
Если запись не придёт в течение следующей недели, нужно написать запрос на почту екб собака астрал точка ру.

02:16:37 Завершение вебинара

Проверка видимости презентации.
Благодарность участникам за участие.

02:17:03 Дополнительная услуга

Предложение бесплатной услуги аудита сайтов.
Условия предоставления услуги: запрос на почту екб собака астрал точка ру.
Пожелания минимизации рисков и избежания штрафов.

Работа с персональными данными в Образовательных учреждениях!