1

1. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее —
Положение) Муниципального автономного общеобразовательного учреждения –
лицей № 173 (далее Учреждение) разработано на основании нормативных
документов:
 Конституции Российской Федерации от 12 декабря 1993 г.;
 Гражданским кодексом Российской Федерации от 30 ноября 1994 года
№ 51-ФЗ;
 Трудового кодекса Российской Федерации от 30 декабря 2001 г. № 197-ФЗ;
 Федерального закона от 19 декабря 2005 г. № 160-ФЗ "О ратификации
Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных";
 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных
данных";
 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации,
информационных технологиях и о защите информации".
 Постановления Правительства Российской Федерации от 6 июля 2008 г.
№ 512 "Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных";
 Постановления Правительства Российской Федерации от 15 сентября
2008 г. № 687 "Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации";
 Постановления Правительства Российской Федерации от 21 марта 2012 г.
№ 211 "Об утверждении Перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных" и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами";
 Постановление Правительства Российской Федерации от 1 ноября 2012 г.
№ 1119 "Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных";
 Приказа ФСТЭК России от 18.02.2013. № 21 "Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных".
 Пункта 6
протокола
заседания
рабочей
группы
"Безопасное
информационное пространство для детей" при Координационном совете
при Правительстве Российской Федерации по проведению в Российской
Федерации Десятилетия детства от 22 июля 2020 года рабочей группой по
вопросам совершенствования государственной политики в сфере развития
информационного
общества
Комитета
Совета
Федерации
по
2

конституционному
законодательству,
Минкомсвязью
России,
Минпросвещения России и Роскомнадзором были подготовлены
методические рекомендации для общеобразовательных организаций по
вопросам обработки персональных данных;
 Методических рекомендаций для общеобразовательных организаций по
обеспечению комплексной безопасности, направленных письмом
Минкомсвязи России от 10.04.2020 № ЛБ-С-088-8929.
1.2. Деятельность образовательных организаций, в том числе Учреждения
регулируется положениями Федерального закона от 29.12.2012 № 273-ФЗ "Об
образовании в Российской Федерации" и иными нормативными правовыми
актами, принятыми в реализацию данного Федерального закона, в том числе
касающиеся регламентации оборота личных данных обучающегося, в том числе в
части приема граждан на обучение, ведения личных дел обучающихся,
электронных форм успеваемости, договорных отношений и иных аспектов
организации образовательного процесса в общеобразовательных организациях.
1.3. Персональные данные относятся к категории конфиденциальной
информации.
1.4. Все работники Учреждения, в соответствии со своими полномочиями
владеющие информацией, относящейся к персональным данным, о сотрудниках,
учащихся и их родителях (законных представителях), получающие и
использующие ее, несут ответственность в соответствии с законодательством
Российской Федерации за нарушение режима защиты, обработки и порядка
использования этой информации.
1.5. Режим конфиденциальности персональных данных снимается в случаях
их обезличивания и по истечении 75 летнего срока их хранения, или продлевается
на основании заключения экспертной комиссии Учреждения, если иное не
определено законом.
2. Основные понятия и состав персональных данных
2.1. Для целей настоящего Положения используются следующие основные
понятия:
- персональные данные - любая информация, относящаяся к определенному
или определяемому на основании такой информации работнику, обучающемуся и
его родителям (законным представителям), в том числе его фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая информация,
необходимая работодателю в связи с трудовыми отношениями;
- обработка персональных данных - сбор, систематизация, накопление,
хранение, уточнение (обновление, изменение), использование, распространение (в
том числе передача), обезличивание, блокирование, уничтожение персональных
данных работников Учреждения, обучающихся и их родителей (законных
представителей);
- конфиденциальность персональных данных - обязательное для соблюдения
назначенного ответственного лица, получившего доступ к персональным данным
работников, обучающихся и их родителей (законных представителей) требование
3

не допускать их распространения без согласия работника или родителя
(законного представителя) или иного законного основания;
- распространение персональных данных - действия, направленные на
передачу персональных данных работников, обучающихся и их родителей
(законных представителей) определенному кругу лиц (передача персональных
данных) или на ознакомление с персональными данными неограниченного круга
лиц, в том числе обнародование персональных данных в средствах массовой
информации, размещение в информационно-телекоммуникационных сетях или
предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с
персональными данными, совершаемые должностным лицом Учреждения в целях
принятия решений или совершения иных действий, порождающих юридические
последствия в отношении работников, обучающихся и их родителей (законных
представителей), либо иным образом затрагивающих их права и свободы или
права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора,
систематизации, накопления, использования, распространения персональных
данных работников, обучающихся и их родителей (законных представителей) в
том числе их передачи;
- уничтожение персональных данных - действия, в результате которых
невозможно восстановить содержание персональных данных в информационной
системе персональных данных работников, обучающихся и их родителей
(законных представителей) или в результате которых уничтожаются
материальные носители персональных данных работников, обучающихся и их
родителей (законных представителей);
- обезличивание персональных данных - действия, в результате которых
невозможно определить принадлежность персональных данных конкретному
работнику, обучающемуся и его родителям (законным представителям);
- общедоступные персональные данные - персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия работника,
законного представителя обучающегося или на которые в соответствии с
федеральными законами не распространяется требование соблюдения
конфиденциальности.
- информация - сведения (сообщения, данные) независимо от формы их
представления.
- документированная информация - зафиксированная на материальном
носителе путем документирования информация с реквизитами, позволяющими
определить такую информацию или ее материальный носитель.
3. Основы правового регулирования в сфере персональных данных
3.1. В соответствии с п. 1 ст. 3 Закона о персональных данных под
персональными данными понимается любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу (субъекту
персональных данных).
4

3.2. Среди персональных данных выделяются следующие категории
персональных данных.
3.2.1. Персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных):
 фамилия, имя, отчество;
 год, месяц, дата рождения;
 место рождения;
 адрес;
 телефон;
 семейное положение;
 социальное положение;
 имущественное положение;
 образование;
 профессия;
 занимаемая должность;
 стаж работы;
 доходы;
 иная информация.
3.2.2. К персональным данным несовершеннолетнего обучающегося можно
отнести сведения, содержащиеся в свидетельстве о рождении, паспорте или ином
документе, удостоверяющем личность, и информацию, содержащуюся в личном
деле и классном журнале.
3.2.3. Специальные категории персональных данных, которые включают
следующие персональные данные:
 расовая или национальная принадлежность;
 политические взгляды;
 религиозные или философские убеждения;
 состояние здоровья;
 состояние интимной жизни.
Обработка специальных категорий персональных данных допускается только
в специально предусмотренных ч. 2 ст. 10 Закона о персональных данных
случаях:
1. субъект персональных данных дал согласие в письменной форме на
обработку своих персональных данных;
2. персональные данные сделаны общедоступными субъектом персональных
данных;
3. обработка персональных данных необходима в связи с реализацией
международных договоров Российской Федерации о реадмиссии;
4. обработка персональных данных осуществляется в соответствии с
Федеральным законом от 25 января 2002 года № 8-ФЗ "О Всероссийской
переписи населения";

5

5. обработка персональных данных осуществляется в соответствии с
законодательством о государственной социальной помощи, трудовым
законодательством, пенсионным законодательством Российской Федерации;
6. обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных либо
жизни, здоровья или иных жизненно важных интересов других лиц и получение
согласия субъекта персональных данных невозможно;
7. обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза, оказания
медицинских и медико-социальных услуг при условии, что обработка
персональных данных осуществляется лицом, профессионально занимающимся
медицинской деятельностью и обязанным в соответствии с законодательством
Российской Федерации сохранять врачебную тайну;
8. обработка персональных данных членов (участников) общественного
объединения или религиозной организации осуществляется соответствующими
общественным объединением или религиозной организацией, действующими в
соответствии с законодательством Российской Федерации, для достижения
законных целей, предусмотренных их учредительными документами, при
условии, что персональные данные не будут распространяться без согласия в
письменной форме субъектов персональных данных;
9. обработка персональных данных необходима для установления или
осуществления прав субъекта персональных данных или третьих лиц, а равно и в
связи с осуществлением правосудия;
10. обработка персональных данных осуществляется в соответствии с
законодательством Российской Федерации об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности, об исполнительном
производстве,
уголовно-исполнительным
законодательством
Российской
Федерации;
11. обработка полученных в установленных законодательством Российской
Федерации случаях персональных данных осуществляется органами прокуратуры
в связи с осуществлением ими прокурорского надзора;
12. обработка персональных данных осуществляется в соответствии с
законодательством об обязательных видах страхования, со страховым
законодательством;
13. обработка персональных данных осуществляется в случаях,
предусмотренных законодательством Российской Федерации, государственными
органами, муниципальными органами или организациями в целях устройства
детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
14. обработка персональных данных осуществляется в соответствии с
законодательством Российской Федерации о гражданстве Российской Федерации.
3.2.4.
Биометрические
персональные
данные
это
сведения,
характеризующие физиологические и биологические особенности человека, на
основе которых можно установить его личность и которые используются
оператором для установления личности субъекта персональных данных.
6

Биометрические персональные данные будут являться таковыми при наличии
условий:
1. они признаны таковыми в силу положений нормативных правовых актов;
2. они характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность;
3. они используются оператором для установления личности субъекта
персональных данных.
К биометрическим персональным данным относятся физиологические
параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК,
рост, вес и др.) и иные физиологические или биологические характеристики
человека, в том числе его изображения (фотография и видеозапись), в частности
фотографические изображения обучающихся, сотрудников и посетителей
организации, поскольку они характеризуют физиологические и биологические
особенности человека.
Отпечатки пальцев человека являются биометрическими персональными
данными (дактилоскопической информацией), обработка которых осуществляется
только в случаях установленных Федеральным законом от 25.07.1998 № 128-ФЗ
"О государственной дактилоскопической регистрации в Российской Федерации",
которым четко определены виды и порядок проведения дактилоскопической
регистрации. Обработка указанных данных в иных случаях, действующим
законодательством не предусмотрена. В Российской Федерации проведение
государственной дактилоскопической регистрации, а также использование
дактилоскопической информации осуществляются в целях идентификации
личности
человека.
Проведение
государственной
дактилоскопической
регистрации возможно в случаях:
1. розыска пропавших без вести граждан Российской Федерации,
иностранных граждан и лиц без гражданства;
2. установления личности человека по отпечаткам пальцев (ладоней) рук
неопознанного трупа;
3. установления личности граждан Российской Федерации, иностранных
граждан и лиц без гражданства, не способных по состоянию здоровья или
возрасту сообщить данные о своей личности либо не имеющих документов,
удостоверяющих личность;
4. подтверждения личности граждан Российской Федерации, иностранных
граждан и лиц без гражданства;
5. предупреждения, раскрытия и расследования преступлений, а также
предупреждения и выявления административных правонарушений.
3.3. Дактилоскопическая регистрации посетителей для осуществления
однократного и (или) многократного пропуска на территорию, в том числе в
Учреждении, не подпадает под действие Закона о персональных данных и в
таком случае обработка биометрических персональных данных осуществляется
без наличия оснований, предусмотренных законодательством Российской
Федерации.
3.4. Биометрические персональные данные могут обрабатываться оператором
только при согласии в письменной форме субъекта персональных данных, за
7

исключением случаев, установленных в ч. 2 ст. 11 Закона о персональных данных,
в частности согласно указанной норме обработка биометрических персональных
данных может осуществляться без согласия субъекта персональных данных в
связи с реализацией международных договоров Российской Федерации о
реадмиссии, в связи с осуществлением правосудия и исполнением судебных
актов, в связи с проведением обязательной государственной дактилоскопической
регистрации, а также в случаях, предусмотренных законодательством Российской
Федерации об обороне, о безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об оперативнорозыскной деятельности, о государственной службе, уголовно-исполнительным
законодательством Российской Федерации, законодательством Российской
Федерации о порядке выезда из Российской Федерации и въезда в Российскую
Федерацию и о гражданстве Российской Федерации.
3.5. Не относятся к биометрическим персональным данным:
1. данные, полученные при сканировании паспорта оператором
персональных данных для подтверждения осуществления определенных действий
конкретным лицом (например, заключение договора на оказание услуг, в том
числе банковских, медицинских и т.п.), т.е. без проведения процедур
идентификации (установления личности);
2. данные, полученные при осуществлении ксерокопирования документа,
удостоверяющего личность;
3. фотографическое изображение, содержащееся в личном деле работника;
4. подпись лица, наличие которой в различных договорных отношениях
является обязательным требованием, и почерк, в том числе анализируемый
уполномоченными органами в рамках почерковедческой экспертизы;
5. рентгеновские или флюорографические снимки, характеризующие
физиологические и биологические особенности человека и находящиеся в
истории болезни (медицинской карте) пациента (не имеет значения, бумажной
или электронной), поскольку они не используются оператором (медицинским
учреждением) для установления личности пациента;
6. материалы видеосъемки в публичных местах и на охраняемой территории.
3.6. Общедоступные персональные данные - это сведения, доступные
неограниченному кругу лиц, информация из открытых справочников, к которой
доступ имеет любой желающий, в частности из таких общедоступных источников
персональных данных как справочники и адресные книги.
3.7. Субъектом персональных данных является физическое лицо, в том числе
граждане Российской Федерации, которое принимает решение о предоставлении
своих персональных данных операторам персональных свободно, своей волей и в
своем интересе.
Согласно части 1 статьи 6 Закона о персональных данных одним из правовых
оснований обработки персональных данных является наличие согласия субъекта
персональных данных на обработку его персональных данных.
Каждый субъект персональных данных самостоятельно принимает решение о
предоставлении своих персональных данных и дает согласие на их обработку
свободно, своей волей и в своем интересе.
8

3.8. Согласие на обработку персональных данных может быть дано если иное
не установлено федеральным законом в любой позволяющей подтвердить факт
его получения форме, в том числе в письменной форме, с использованием
электронной цифровой подписи, акцептирования публичной оферты, получения
на мобильный телефон и (или) электронную почту уникальной
последовательности символов и иными способами и формами.
Вместе с тем, в случаях, когда Законом о персональных данных
предусмотрена обработка персональных данных только с согласия в письменной
форме субъекта персональных данных, то равнозначным признается только
согласие в форме электронного документа, подписанного с электронной
подписью.
3.9. Источником получения персональных данных может быть как
непосредственно субъект персональных данных (иное лицо, действующее от
имени или по поручению субъекта персональных данных на законных
основаниях), так и лицо, не имеющее правовых оснований для раскрытия
конфиденциальной информации о субъекте персональных данных, а также
общедоступные источники.
3.10. Закон о персональных данных предусматривает возможность дачи
согласия в случае недееспособности субъекта персональных данных законным
представителем субъекта персональных данных, в том числе законными
представителями несовершеннолетнего являются его родители, а законным
представителем лица, лишенного дееспособности, выступает его опекун. В тоже
время, для предоставления согласия на обработку персональных данных ребенка в
письменной форме, достаточно подписи одного из родителей в соответствии с п. 1
ст. 61 Семейного кодекса Российской Федерации.
Документами, подтверждающими законность представительства, могут
являться свидетельство о рождении, акт о назначении опекуном, а в случае
добровольного
представительства
надлежащим
образом
оформленная
доверенность в простой письменной форме.
3.11. При лишении права представительства право дачи согласия от имени
недееспособности субъекта персональных данных утрачивается, в частности
родитель (законный представитель), лишенный или ограниченный в родительских
правах на основании вступившего в законную силу постановления суда, не имеет
права дачи согласия на обработку персональных данных от имени ребенка.
3.12.
При
обработке
биометрических
персональных
данных
несовершеннолетних необходимо руководствоваться частями 1 и 2 статьи 11
Закона о персональных данных, согласно которым обработка биометрических
персональных данных несовершеннолетних в силу их недееспособности, в том
числе с согласия в письменной форме законного представителя субъекта
персональных данных на обработку его биометрических персональных данных,
не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о
персональных данных.
4. Обработка персональных данных
9

4.1. В соответствии с п. 3 ст. 3 Закона о персональных данных обработка
персональных данных - это любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или
без использования таких средств с персональными данными, включая сбор,
запись, систематизацию, накопление, хранение, уточнение (обновление,
изменение),
извлечение,
использование,
передачу
(распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.
4.2. Законодательством перечень действий по обработке персональных
данных не ограничен и не исключает возможности обработки персональных
любыми способами.
4.3. Обработка персональных данных должна соответствовать определенным
целям, а обработка персональных данных, несовместимая с целями сбора
персональных данных, не допускается.
4.4. Основополагающими началами обработки персональных данных
являются заложенные в Законе о персональных данных принципы обработки
персональных данных:
1. обработка персональных данных на законной и справедливой основе;
2. ограничение обработки персональных данных достижением конкретных,
заранее определенных и законных целей;
3. недопустимость обработки персональных данных, несовместимой с
целями сбора персональных данных;
4. обработка персональных данных, которые отвечают целям их обработки;
5. соответствие содержания и объема обрабатываемых персональных данных
заявленным целям обработки;
6. исключение обработки персональных данных, являющихся избыточными
по отношению к заявленным целям их обработки и др.
4.3. Способы обработки персональных данных:
1. автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
2. неавтоматизированная обработка персональных данных - обработка
персональных данных, осуществляемая при непосредственном участии человека;
3. смешенная обработка персональных данных.
4.4. Критерии обработки персональных данных без использования средств
автоматизации установлены Постановлением Правительства РФ от 15.09.2008
№ 687, утвердившим Положение об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации.
4.5. Статьей 16 Закона о персональных данных установлены права субъектов
персональных данных при принятии решений на основании исключительно
автоматизированной обработки их персональных данных, в частности
запрещается принятие на основании исключительно автоматизированной
обработки персональных данных решений, порождающих юридические
последствия в отношении субъекта персональных данных или иным образом
затрагивающих его права и законные интересы, за исключением следующих
случаев: при наличии согласия в письменной форме субъекта персональных
10

данных или в случаях, предусмотренных федеральными законами,
устанавливающими также меры по обеспечению соблюдения прав и законных
интересов субъекта персональных данных. В частности, примерами могут стать
следующие ситуации:
1. по результатам автоматизированной обработки данных выявлено, что у
работника недостаточный уровень квалификации, то на этом основании уволить
его как несоответствующего занимаемой должности нельзя;
2. по результатам автоматизированной обработки данных выявлено, что
работник не зашел на территорию организации, то на этом основании привлечь
его к ответственности нельзя.
Данное положение нашло также отражение в статье 86 Трудового кодекса
Российской Федерации, согласно которой при принятии решений, затрагивающих
интересы работника, работодатель не имеет права основываться на персональных
данных
работника,
полученных
исключительно
в
результате
их
автоматизированной обработки или электронного получения.
4.6. Оператор непосредственно определяет порядок получения согласия
субъекта персональных данных для обработки его персональных данных.
4.7. Письменная форма согласия должна включать в себя цель обработки
персональных данных, а согласие субъекта персональных данных на обработку
его персональных данных может включать в себя только одну цель обработки
персональных данных. Указанная норма является императивной и не подлежит
расширенному толкованию. При обработке персональных данных субъекта в
случаях, требующих составления письменной формы согласия в соответствии с ч.
4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно
для каждой из целей обработки персональных данных.
Согласно пункту 2 статьи 9 Закона о персональных данных согласие на
обработку персональных данных может быть отозвано субъектом персональных
данных.
4.8. Требования по обработке персональных данных не распространяются на
отношения, возникающие:
1. при обработке персональных данных физическими лицами исключительно
для личных и семейных нужд, если при этом не нарушаются права субъектов
персональных данных;
2. организации хранения, комплектования, учета и использования
содержащих персональные данные документов Архивного фонда РФ и других
архивных документов в соответствии с законодательством об архивном деле в
Российской Федерации;
3. обработке персональных данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну.
4.9. Положениями 2-11 части 1 Закона о персональных данных
предусмотрены случаи, при наступлении которых обработка персональных
данных допускается без согласия субъекта персональных данных:
1. обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
11

законом, для осуществления и выполнения возложенных законодательством
Российской Федерации на оператора функций, полномочий и обязанностей;
2. обработка персональных данных осуществляется в связи с участием лица в
конституционном,
гражданском,
административном,
уголовном
судопроизводстве, судопроизводстве в арбитражных судах;
3. обработка персональных данных необходима для исполнения судебного
акта, акта другого органа или должностного лица, подлежащих исполнению в
соответствии с законодательством Российской Федерации об исполнительном
производстве (далее - исполнение судебного акта);
4. обработка персональных данных необходима для исполнения полномочий
федеральных органов исполнительной власти, органов государственных
внебюджетных фондов, исполнительных органов государственной власти
субъектов Российской Федерации, органов местного самоуправления и функций
организаций, участвующих в предоставлении соответственно государственных и
муниципальных услуг, предусмотренных Федеральным законом от 27 июля
2010 года № 210-ФЗ "Об организации предоставления государственных и
муниципальных услуг", включая регистрацию субъекта персональных данных на
едином портале государственных и муниципальных услуг и (или) региональных
порталах государственных и муниципальных услуг;
5. обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем;
6. обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных, если
получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных необходима для осуществления прав и
законных интересов оператора или третьих лиц, в том числе в случаях,
предусмотренных Федеральным законом "О защите прав и законных интересов
физических лиц при осуществлении деятельности по возврату просроченной
задолженности и о внесении изменений в Федеральный закон "О
микрофинансовой деятельности и микрофинансовых организациях", либо для
достижения общественно значимых целей при условии, что при этом не
нарушаются права и свободы субъекта персональных данных;
8. обработка персональных данных необходима для осуществления
профессиональной деятельности журналиста и (или) законной деятельности
средства массовой информации либо научной, литературной или иной творческой
деятельности при условии, что при этом не нарушаются права и законные
интересы субъекта персональных данных;
9. обработка персональных данных осуществляется в статистических или
иных исследовательских целях, за исключением целей, указанных в статье 15
настоящего Федерального закона, при условии обязательного обезличивания
персональных данных;
12

10.
осуществляется
обработка
персональных
данных,
доступ
неограниченного круга лиц к которым предоставлен субъектом персональных
данных либо по его просьбе;
11. осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным
законом.
4.10. Согласно п. 2 ч. 1 ст. 6 Закона о персональных данных Учреждение
осуществляет деятельность в целях реализации федерального законодательства,
согласие на обработку персональных данных обучающихся не требуется. В
частности образовательная организация, осуществляя в качестве оператора
персональных данных обработку персональных данных обучающихся в целях
организации образовательного процесса и представляя информацию о текущей
успеваемости учащегося, осуществляя ведение электронного дневника и
электронного журнала успеваемости, оказывает государственную услугу в
соответствии с п. 8 приложения № 1 Распоряжения Правительства Российской
Федерации от 17 декабря 2009 г. № 1993-р, не обязана получать согласия
обучающихся и их законных представителей.
При этом, следует обратить внимание, что в случае, если ранее организация
получила согласие на обработку персональных данных в рамках оказания
государственной услуги, то уничтожение данного согласия не требуется, а в
случае, если законные представители несовершеннолетнего отозвали ранее
данное согласие на обработку персональных данных в рамках оказания данной
государственной услуги, то организация может продолжить обработку
персональных данных в случаях, предусмотренных законодательством в сфере
образования.
4.11. Иные персональные данные обучающегося, не связанные с
образовательным процессом, общеобразовательная организация может получить
только с письменного согласия одного из родителей (законного представителя), в
том числе к таким данным относятся документы, содержащие сведения,
необходимые для предоставления обучающемуся гарантий и компенсаций,
установленных действующим законодательством, например, документы о составе
семьи и ее социально-экономическом положении.
4.12. В случае, когда для предоставления государственной или
муниципальной услуги необходима обработка персональных данных лица, не
являющегося заявителем, и если в соответствии с федеральным законом
обработка таких персональных данных может осуществляться с согласия
указанного лица, при обращении за получением государственной или
муниципальной услуги заявитель дополнительно представляет документы,
подтверждающие получение согласия указанного лица или его законного
представителя на обработку персональных данных указанного лица (ч. 3 ст. 7
Закона о персональных данных). Необходимо отметить, что в этом случае
основание, допускающее обработку персональных данных без соответствующего
согласия в рамках оказания государственных и муниципальных услуг,
распространяется на субъекта персональных данных, которым, помимо заявителя,
может быть и иное лицо.
13

4.13. При зачислении несовершеннолетнего лица в общеобразовательную
организацию
согласно
действующему
законодательству
необходимо
осуществлять обработку персональных данных родителей (законных
представителей) ребенка, в частности согласно Приказу Минобрнауки России от
22.01.2014 № 32 в целях зачисления ребенка в общеобразовательную организацию
родитель должен предоставить свои персональные данные в объеме фамилия,
имя, отчество (при наличии), адрес места жительства и контактные телефон, а
согласно п. 13 данного приказа в целях зачисления несовершеннолетнего в
общеобразовательную организацию родители (законные представители) ребенка
фиксируют своей подписью согласие на обработку своих персональных данных, а
также персональных данных несовершеннолетнего. Таким образом, в указанном
случае правовым основанием обработки персональных данных родителей будет
являться согласие на обработку персональных данных, что предусмотрено п. 1 ч.
1 ст. 6 Закона о персональных данных.
4.14. Учреждение предоставляет услуги дополнительного образования, для
чего между образовательной организацией и родителем (законным
представителем) заключается договор, в котором согласно приказу Минобрнауки
России от 25 октября 2013 г. № 1185 указываются паспортные данные родителя
(законного представителя). В указанном случае правовым основанием обработки
персональных данных будет являться п. 5 4. 1 ст. 6 Закона о персональных
данных, в соответствии с которым получение отдельного согласия на обработку
персональных данных в рамках договорных отношений не требуется.
4.15. В образовательной организации могут проводиться разного рода
исследования,
направленные
в
частности,
на
выявление
уровня
удовлетворенности родителей образовательным процессом, в ходе которого
родителю необходимо будет указать фамилию, инициалы и номер класса, в
котором учится ребенок. В данном случае, правовым основанием обработки
персональных данных также является согласие на обработку его персональных
данных, получаемое в соответствии с п. 1 ч. 1 ст. 6 Закона о персональных
данных.
В тоже время, согласно части 3 статьи 9 Закона о персональных данных
обязанность представить доказательства того, что согласие на обработку его
персональных данных получено, возлагается на оператора.
4.16. Государственные и муниципальные органы могут создавать в пределах
своих полномочий, установленных в соответствии с федеральными законами,
государственные или муниципальные информационные системы персональных
данных, а особенности учета персональных данных в них могут быть
установлены федеральными законами. В сфере образования в соответствии с
частью 9 и 10 статьи 98, пункта 2 части 15 статьи 107 Федерального закона от 29
декабря 2012 г. № 273-ФЗ "Об образовании в Российской Федерации" и
постановления Правительства Российской Федерации от 26 августа 2013 г. № 729
реализуется федеральная информационная система "Федеральный реестр
сведений о документах об образовании и (или) о квалификации, документах об
обучении".
14

5. Оператор персональных данных
5.1. Определение целей действий с персональными данными, состава
подлежащих обработке персональных данных, конкретного перечня действий с
персональными данными, а также принятие мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных Законом о
персональных данных, возложено на операторов персональных данных.
5.2. В соответствии п. 2 ст. 3 Закона о персональных данных оператор - это
государственный орган, муниципальный орган, юридическое или физическое
лицо, организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели и содержание обработки персональных данных, в
данном случае – Муниципальное автономное общеобразовательное учреждение –
лицей № 173 (оператор).
5.3.Согласно статье 22 Закона о персональных данных оператор до начала
обработки персональных данных обязан уведомить уполномоченный орган по
защите прав субъектов персональных данных о своем намерении осуществлять
обработку персональных данных, которым согласно абзацу 2 пункта 1
Постановления Правительства РФ от 16.03.2009 № 228 является Федеральная
служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор).
Уведомление направляется в виде документа на бумажном носителе или в
форме электронного документа и подписывается уполномоченным лицом, в
частности в качестве уполномоченного лица в случае, если оператором является
юридическое лицо, может выступать руководитель организации или иное лицо,
действующее от имени организации по доверенности, а уведомление от имени
физического лица может быть подписано им самостоятельно либо
уполномоченным им лицом по доверенности.
5.4. В соответствии с частью 7 статьи 22 Закона о персональных данных если
предоставленные для внесения в реестр операторов сведения будут изменены
либо будет прекращена обработка персональных данных, то оператор обязан
уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты
возникновения таких изменений или с даты прекращения обработки
персональных данных.
5.5. Информация о внесении сведений об операторе в реестр операторов
размещается на официальном сайте и Портале персональных данных в
общедоступной форме (за исключением сведений о средствах обеспечения
безопасности персональных данных при их обработке), и любое лицо может
ознакомиться с ней на Портале персональных данных по адресу
http://pd.rkn.gov.ru.
5.6. Не требуется уведомлять Роскомнадзор об обработке следующих
персональных данных:
1. обрабатываемых в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной
которого является субъект персональных данных (при этом такие персональные
данные не распространяются, а также не предоставляются третьим лицам без
согласия субъекта персональных данных и используются оператором
15

исключительно для исполнения указанного договора и заключения договоров с
субъектом персональных данных);
3. относящихся к членам (участникам) общественного объединения или
религиозной организации и обрабатываемых соответствующими общественным
объединением или религиозной организацией, действующими в соответствии с
законодательством РФ, для достижения законных целей, предусмотренных их
учредительными документами, при условии, что персональные данные не будут
распространяться или раскрываться третьим лицам без согласия в письменной
форме субъектов персональных данных;
4. сделанных субъектом персональных данных общедоступными;
5. включающих в себя только фамилии, имена и отчества субъектов
персональных данных;
6. необходимых в целях однократного пропуска субъекта персональных
данных на территорию, на которой находится оператор, или в иных аналогичных
целях;
7. включенных в информационные системы персональных данных, имеющие
в соответствии с федеральными законами статус государственных
автоматизированных информационных систем, а также в государственные
информационные системы персональных данных, созданные в целях защиты
безопасности государства и общественного порядка;
8. обрабатываемых без использования средств автоматизации;
9. обрабатываемых в целях обеспечения устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов личности,
общества и государства в сфере транспортного комплекса от актов незаконного
вмешательства.
5.7. Согласно ч. 3 ст. 6 Закона о персональных данных оператор вправе
поручить обработку персональных данных другому лицу с согласия субъекта
персональных данных. Если обработка персональных данных поручена третьему
лицу в силу ч. 3 ст. 6 Закона о персональных данных, с оператора не снимаются
обязанности уведомлять Роскомнадзор об обработке персональных данных,
поскольку ст. 22 Закона о персональных данных, регулирующая вопросы
уведомления об обработке персональных данных, таких исключений не содержит.
В то же время, в соответствии с ч. 5 ст. 6 Закона о персональных данных в случае,
если оператор поручает обработку персональных данных другому лицу,
ответственность перед субъектом персональных данных за действия указанного
лица несет оператор, а лицо, осуществляющее обработку персональных данных
по поручению оператора, несет ответственность перед оператором.
5.8. Лицо, осуществляющее обработку персональных данных по поручению
оператора, обязано соблюдать принципы и правила обработки персональных
данных, предусмотренные Законом о персональных данных.
5.9. Поручение оператора третьему лицу на обработку персональных данных
должно содержать:
1. перечень действий (операций) с персональными данными, которые будут
совершаться третьим лицом;
2. цели обработки;
16

3. обязанность такого лица соблюдать конфиденциальность персональных
данных и обеспечивать безопасность персональных данных при их обработке;
4. требования к защите обрабатываемых персональных данных в
соответствии со ст. 19 Закона о персональных данных.
При этом лицо, осуществляющее обработку персональных данных по
поручению оператора, не обязано получать согласие субъекта персональных
данных на обработку его персональных данных.
5.10. В случае если оператор поручает обработку персональных данных
другому лицу, ответственность перед субъектом персональных данных за
действия указанного лица несет оператор. Лицо, осуществляющее обработку
персональных данных по поручению оператора, несет ответственность перед
оператором.
5.11. При сборе персональных данных оператор должен исполнять
следующие обязанности.
Субъект персональных данных имеет право на получение информации от
оператора персональных данных, касающейся обработки его персональных
данных, в том числе содержащей:
1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных
данных;
4. наименование и место нахождения оператора, сведения о лицах (за
исключением работников оператора), которые имеют доступ к персональным
данным или которым могут быть раскрыты персональные данные на основании
договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему
субъекту персональных данных, источник их получения, если иной порядок
представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав,
предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной
передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению оператора,
если обработка поручена или будет поручена такому лицу.
Следует обратить внимание, что указанный перечень сведений
предоставляется субъекту персональных данных или его представителю
оператором персональных данных при обращении либо при получении запроса
субъекта персональных данных или его представителя.
При этом, запрос должен содержать номер основного документа,
удостоверяющего личность субъекта персональных данных или его
представителя, сведения о дате выдачи указанного документа и выдавшем его
органе, сведения, подтверждающие участие субъекта персональных данных в
отношениях с оператором (номер договора, дата заключения договора, условное
17

словесное обозначение и (или) иные сведения), либо сведения, иным образом
подтверждающие факт обработки персональных данных оператором, подпись
субъекта персональных данных или его представителя.
5.12. Согласно ст. 20 Закона о персональных данных оператор персональных
данных обязан сообщить субъекту персональных данных или его представителю
информацию о наличии персональных данных, относящихся к соответствующему
субъекту персональных данных, а также предоставить возможность ознакомления
с этими персональными данными при обращении субъекта персональных данных
или его представителя либо в течение тридцати дней с даты получения запроса
субъекта персональных данных или его представителя. Сведения должны быть
предоставлены субъекту персональных данных в доступной форме, и в них не
должны содержаться персональные данные, относящиеся к другим субъектам
персональных данных, за исключением случаев, если имеются законные
основания для раскрытия таких персональных данных.
5.13. Субъект персональных данных вправе требовать от организации
уточнения его персональных данных, их блокирования или уничтожения в случае,
если персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленной цели
обработки, а также принимать предусмотренные законом меры по защите своих
прав.
5.14. Оператор персональных данных обязан разъяснить субъекту
персональных данных юридические последствия отказа предоставить его
персональные данные. Если предоставление персональных данных является
обязательным, то оператор должен разъяснить последствия непредоставления
таких данных, например, отказ в предоставлении персональных данных
работодателю при заключении трудового договора повлечет невозможность
заключения такого договора.
5.15. При обработке персональных данных граждан РФ использовать базы
данных, находящиеся на территории Российской Федерации. При записи,
систематизации, накоплении, хранении, уточнении (обновлении, изменении),
извлечении персональных данных граждан РФ, в том числе при сборе
персональных данных посредством Интернета, должны обязательно
использоваться базы данных, находящиеся на территории Российской Федерации,
за исключением специально предусмотренных случаев, указанных в части 5
статьи 18 Закона о персональных данных.
5.16. Принимать меры, необходимые и достаточные для обеспечения
выполнения возложенных на оператора обязанностей.
5.17. Оператор персональных данных обязан принимать меры, необходимые
и достаточные для обеспечения выполнения обязанностей, предусмотренных
Законом о персональных данных и принятыми в соответствии с ним
нормативными правовыми актами.
К таким мерам могут, в частности, в организациях относиться:
1. Назначение организацией из числа сотрудников или привлеченной
организации лица, ответственного за организацию обработки персональных
данных. Лицо, ответственное за организацию обработки персональных данных,
18

получает указания непосредственно от исполнительного органа организации,
являющейся оператором, и подотчетно ему. Лицо, ответственное за организацию
обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением организацией и ее
работниками законодательства Российской Федерации о персональных данных, в
том числе требований к защите персональных данных;
- доводить до сведения работников организации положения законодательства
Российской Федерации о персональных данных, локальных актов по вопросам
обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов
персональных данных или их представителей и (или) осуществлять контроль за
приемом и обработкой таких обращений и запросов.
2. Издание организацией документов, определяющих политику организации
в отношении обработки персональных данных, локальных актов по вопросам
обработки персональных данных, а также локальных актов, устанавливающих
процедуры, направленные на предотвращение и выявление нарушений
законодательства Российской Федерации, устранение последствий таких
нарушений.
6. Обработка персональных данных работников
6.1. Под персональными данными работника понимается информация,
необходимая работодателю в связи с трудовыми отношениями и касающаяся
конкретного гражданина.
6.2. Статьей 65 Трудового кодекса Российской Федерации установлен
перечень документов, предъявляемых при заключении трудового договора:
1. паспорт или иной документ, удостоверяющий личность;
2. трудовая книжка (при наличии);
3. СНИЛС;
4. документы воинского учета (для военнообязанных и лиц, подлежащих
призыву на военную службу);
5. документ об образовании и (или) о квалификации или наличии
специальных знаний (если работа требует специальных знаний или специальной
подготовки);
6. справку о наличии (отсутствии) судимости и (или) факта уголовного
преследования (при поступлении на работу, связанную с деятельностью, к
осуществлению которой не допускаются лица, имеющие или имевшие судимость,
подвергающиеся или подвергавшиеся уголовному преследованию);
7. справку о том, является или не является лицо подвергнутым
административному наказанию за потребление наркотических средств или
психотропных веществ (при поступлении на работу, связанную с деятельностью,
к
осуществлению
которой
не
допускаются
лица,
подвергнутые
административному наказанию за потребление наркотических средств или
психотропных веществ).
Необходимо отметить, что вышеуказанный перечень может быть расширен
специальным (отраслевым) законодательством и возможно использование
19

унифицированных форм первичной учетной документации по учету труда и его
оплаты, утверждённых Постановлением Госкомстата РФ от 05.01.2004 № 1.
6.3. Согласно статье 86 Трудового кодекса Российской Федерации обработка
сведений о работнике может осуществляться исключительно в целях обеспечения
соблюдения законов и иных нормативных правовых актов, содействия
работникам в трудоустройстве, получении образования и продвижении по
службе, обеспечения личной безопасности работников, контроля количества и
качества выполняемой работы и обеспечения сохранности имущества.
Работодатель не имеет права получать и обрабатывать персональные данные
работника о его политических, религиозных, философских убеждениях, о его
членстве в общественных объединениях, а данная информация согласно Закону о
персональных данных отнесена к специальной категории персональных данных, а
их обработка их допускается в определенных случаях, в частности если работник
дал согласие в письменной форме на обработку этих сведений или сделал их
общедоступными.
6.4. Согласие работника может быть оформлено как в виде отдельного
документа, так и закреплено в тексте трудового договора и отвечать требованиям,
предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона о
персональных данных.
6.5. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть
ознакомлены под роспись с документами работодателя, устанавливающими
порядок обработки персональных данных работников, а также об их правах и
обязанностях в этой области. Работодатели, работники и их представители
должны совместно вырабатывать меры защиты персональных данных
работников.
6.6. В соответствии со ст. 89 ТК РФ в целях обеспечения защиты
персональных данных, хранящихся у работодателя, работники имеют следующие
права:
1. право на полную информацию о своих персональных данных и обработке
этих данных;
2. право на свободный бесплатный доступ к своим персональным данным,
включая право на получение копий любой записи, содержащей персональные
данные работника;
3. В соответствии со ст. 62 ТК РФ такие документы работодатель обязан
выдать работнику по его письменному заявлению не позднее трех рабочих дней
со дня подачи этого заявления, а копии документов должны быть заверены
надлежащим образом и предоставляться работнику безвозмездно.
4. право на определение своих представителей для защиты своих
персональных данных, в частности представителями работников могут быть
профсоюз либо иные лица, которые должны быть наделены соответствующими
полномочиями;
5. право на доступ к медицинской документации, отражающей состояние
своего здоровья, с помощью медицинского работника по своему выбору;

20

6. право на требование об исключении или исправлении неверных или
неполных персональных данных, а также данных, обработанных с нарушением
требований ТК РФ или иного федерального закона;
7. право на требование об извещении работодателем всех лиц, которым ранее
были сообщены неверные или неполные персональные данные работника, обо
всех произведенных в них исключениях, исправлениях или дополнениях;
8. право на обжалование в суд любых неправомерных действий или
бездействия работодателя при обработке и защите персональных данных
работника.
6.7. Обработка персональных данных работников организации не требует
получения соответствующего согласия указанных лиц, при условии, что объем
обрабатываемых работодателем персональных данных не превышает
установленные
перечни,
а
также
соответствует
целям
обработки,
предусмотренным трудовым законодательством или специальным (отраслевым)
законодательством, например, работодателю, осуществляющему торговую
деятельность продуктами питания, сотрудник, работающий в должности
продавца, помимо прочих обязан предоставить сведения о состоянии здоровья.
6.8. Получение работодателем согласия на обработку персональных данных
не требуется в следующих случаях:
1. Обязанность по обработке, в том числе опубликованию и размещению
персональных данных работников в сети Интернет или при передаче
персональных
данных
работника
третьим
лицам,
предусмотрена
законодательством Российской Федерации.
Примерами прямого указания в законодательстве Российской Федерации
норм, связанных с обработкой персональных данных, могут стать следующие
случаи:
- Согласно статье 9 и пункту 2 статьи 11 Федерального закона от 01.04.1996
№ 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе
обязательного пенсионного страхования" в обязанности работодателя вменяется
представление в Пенсионный фонд РФ в определенных случаях и в
установленные сроки информации о работниках, содержащей персональные
данные;
- Согласно статье 357 ТК РФ работодатель обязан предоставить
персональные данные работников государственным инспекторам труда при
выполнении ими надзорных и контрольных функций.
Другим примером может служить обязанность в соответствии с пунктом 2
статьи 10 Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации,
информационных технологиях и о защите информации" владельцев сайтов в сети
"Интернет" разместить на принадлежащем ему сайте информацию о своих
наименовании, месте нахождения и адресе, а также адресе электронной почты.
Согласие работника не требуется при получении, в рамках установленных
полномочий,
мотивированных
запросов
от
органов
прокуратуры,
правоохранительных органов, органов безопасности, от государственных
инспекторов труда при осуществлении ими государственного надзора и контроля
за соблюдением трудового законодательства и иных органов, уполномоченных
21

запрашивать информацию о работниках в соответствии с компетенцией,
предусмотренной законодательством Российской Федерации. Мотивированный
запрос должен включать в себя указание цели запроса, ссылку на правовые
основания запроса, в том числе подтверждающие полномочия органа,
направившего запрос, а также перечень запрашиваемой информации. В случае
поступления запросов из организаций, не обладающих соответствующими
полномочиями, работодатель обязан получить согласие работника на
предоставление его персональных данных и предупредить лиц, получающих
персональные данные работника, о том, что эти данные могут быть использованы
лишь в целях, для которых они сообщены, а также требовать от этих лиц
подтверждения того, что это правило будет (было) соблюдено.
В соответствии с ч. 1 ст. 17 Федерального закона от 12 января 1996 г. № 10ФЗ "О профессиональных союзах, их правах и гарантиях деятельности" для
осуществления уставной деятельности профсоюзы вправе бесплатно и
беспрепятственно получать от работодателей, их объединений (союзов,
ассоциаций), органов государственной власти и органов местного самоуправления
информацию по социально-трудовым вопросам. Согласно определению
Верховного суда Российской Федерации от 20 июля 2012 г. № 56-КГ12-3 согласие
работников на передачу их персональных данных профессиональному союзу не
требуется, так как коллективный договор заключен от имени всех работников, а
профессиональный союз, запрашивая персональные данные, контролирует
соблюдение коллективного договора.
Образовательные организации в соответствии с постановлением
Правительства Российской Федерации от 10.07.2013 № 582 публикуют на своем
официальном сайте в сети "Интернет" без согласия на обработку персональных
данных следующие данные о работниках организации: информация о
руководителе образовательной организации, его заместителях, руководителях
филиалов образовательной организации (при их наличии), в том числе: фамилия,
имя, отчество (при наличии) руководителя, его заместителей; должность
руководителя, его заместителей; контактные телефоны; адрес электронной почты;
персональный состав педагогических работников с указанием уровня
образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество
(при наличии) работника; занимаемая должность (должности); преподаваемые
дисциплины; ученая степень (при наличии); ученое звание (при наличии);
наименование направления подготовки и (или) специальности; данные о
повышении квалификации и (или) профессиональной переподготовке (при
наличии); общий стаж работы; стаж работы по специальности. В иных случаях
согласно ст. 88 ТК РФ при передаче персональных данных работника
работодатель должен не сообщать персональные данные работника третьей
стороне без письменного согласия работника, а письменная форма согласия
должна соответствовать ч. 4 ст. 9 Закона о персональных данных.
2. Обработка персональных данных близких родственников работника в
объеме,
предусмотренной
законодательством
Российской
Федерации
предусмотренном
унифицированной
формой
№ Т-2,
утвержденной
постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 "Об
22

утверждении унифицированных форм первичной учетной документации по учету
труда и его оплаты", либо в случаях, установленных законодательством
Российской Федерации (получение алиментов, оформление допуска к
государственной тайне, оформление социальных выплат).
Согласно пункту 1 статьи 20 Федерального закона от 27.07.2004 № 79-ФЗ "О
государственной гражданской службе Российской Федерации" граждане,
претендующие на замещение должности гражданской службы и замещающие
должность гражданской службы, включенную в перечень, установленный
нормативными правовыми актами Российской Федерации, обязаны предоставлять
сведения о своих доходах, об имуществе и обязательствах имущественного
характера, а также о доходах, об имуществе и обязательствах имущественного
характера членов своей семьи.
В иных случаях, получение согласия близких родственников работника
является обязательным условием обработки их персональных данных.
3. Обработка специальных категорий персональных данных работника, в том
числе, сведений о состоянии здоровья, относящихся к вопросу о возможности
выполнения работником трудовой функции на основании положений п. 2.3 ч. 2
ст. 10 Закона о персональных данных в рамках трудового законодательства, в
частности согласно ст. 228 ТК РФ о несчастном случае с работником
работодатель обязан проинформировать соответствующие органы.
6.9. Передача персональных данных работника организации кредитным
организациям, открывающим и обслуживающим платежные карты для
начисления заработной платы, осуществляется без его согласия в следующих
случаях:
1. договор на выпуск банковской карты заключался напрямую с работником
и в тексте которого предусмотрены положения, предусматривающие передачу
работодателем персональных данных работника;
2. наличие у работодателя доверенности на представление интересов
работника при заключении договора с кредитной организацией на выпуск
банковской карты и ее последующем обслуживании;
3. соответствующая форма и система оплаты труда прописана в
коллективном договоре (ст. 41 Трудового кодекса РФ).
6.10. Согласие работника не требуется при передаче его персональных
данных в случаях, связанных с выполнением им должностных обязанностей, в
том числе, при его командировании в соответствии с Правилами оказания
гостиничных услуг в Российской Федерации, утвержденными постановлением
Правительства Российской Федерации от 25.04.1997 № 490.
6.11. Работодатель вправе обрабатывать персональные данные уволенного
работника в случаях и в сроки, предусмотренные федеральным
законодательством. К таким случаям, в том числе, относится обработка
персональных данных в рамках бухгалтерского и налогового учета. С учетом
положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных
работников на обработку их персональных данных в вышеуказанных случаях не
требуется.
23

6.12. По истечении сроков, определенных законодательством Российской
Федерации, личные дела работников и иные документы передаются на архивное
хранение на срок 75 лет. При этом, на организацию архивного хранения,
комплектования, учет и использование архивных документов, содержащих
персональные данные работников, действие Закона о персональных данных не
распространяется, и соответственно, обработка указанных сведений не требует
соблюдения условий, связанных с получением согласия на обработку
персональных данных.
6.13. Обработка персональных данных соискателей на замещение вакантных
должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ,
предполагает получение согласия соискателей на замещение вакантных
должностей на обработку их персональных данных на период принятия
работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует
кадровое агентство, с которым данное лицо заключил соответствующий договор,
а также при самостоятельном размещении соискателем своего резюме в сети
Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты,
факсимильной связи работодателю необходимо дополнительно провести
мероприятия, направленные на подтверждение факта направления указанного
резюме самим соискателем. К примеру, к таким мероприятиям можно отнести
приглашение соискателя на личную встречу с уполномоченными сотрудниками
работодателя, обратная связь посредством электронной почты и т.д.
При поступлении в адрес работодателя резюме, составленного в
произвольной форме, при которой однозначно определить физическое лицо, его
направившее, не представляется возможным, данное резюме подлежит
уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется
посредством типовой формы анкеты соискателя, утвержденной оператором, то
данная типовая форма анкеты должна соответствовать требованиям п. 7
Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации, утвержденного постановлением
Правительства Российской Федерации от 15 сентября 2008 г. № 687, а также
содержать информацию о сроке ее рассмотрения и принятия решения о приеме
либо отказе в приеме на работу. Типовая форма анкеты соискателя может быть
реализована в электронной форме на сайте организации, где согласие на
обработку персональных данных подтверждается соискателем путем
проставления отметки в соответствующем поле, за исключением случаев, когда
работодателем запрашиваются сведения, предполагающие получение согласия в
письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем,
должны быть уничтожены в течение 30 дней, за исключением случаев,
предусмотренных законодательством Российской Федерации, в частности
законодательством о государственной гражданской службе, где срок хранения
персональных данных соискателя определен в течение 3 лет.
24

Получение согласия также является обязательным условием при направлении
работодателем запросов в иные организации, в том числе, по прежним местам
работы, для уточнения или получения дополнительной информации о соискателе.
Исключение составляют случаи заключения трудового договора с бывшим
государственным или муниципальным служащим. В соответствии со ст. 64.1
Трудового кодекса Российской Федерации работодатель при заключении
трудового договора с гражданами, замещавшими должности государственной или
муниципальной службы, перечень которых устанавливается нормативными
правовыми актами Российской Федерации, в течение двух лет после их
увольнения с государственной или муниципальной службы обязан в
десятидневный срок сообщать о заключении такого договора представителю
нанимателя (работодателю) государственного или муниципального служащего по
последнему месту его службы в порядке, устанавливаемом нормативными
правовыми актами Российской Федерации.
Обязанность получения согласия также не распространяется на обработку
персональных данных соискателей, подавших документы на замещение
вакантных должностей государственной гражданской службы, поскольку
перечень предоставляемых документов определен Федеральным законом "О
государственной гражданской службе Российской Федерации" и п. 7 Положения о
конкурсе на замещение вакантной должности государственной гражданской
службы Российской Федерации, утвержденного Указом Президента Российской
Федерации от 01.02.2005 № 112, а форма анкеты, предполагающая внесение
персональных данных заявителя, утверждена распоряжением Правительства
Российской Федерации от 26.05.2005 № 667-р. Ведение кадрового резерва на
сегодняшний день трудовым законодательством не регламентировано. В этом
случае, обработка персональных данных лиц, включенных в кадровый резерв,
может осуществляться только с их согласия, за исключением случаев нахождения
в кадровом резерве действующих сотрудников, в трудовом договоре которых
определены соответствующие положения. Согласие на внесение соискателя в
кадровый резерв организации оформляется либо в форме отдельного документа
либо путем проставления соискателем отметки в соответствующем поле
электронной формы анкеты соискателя, реализованной на сайте организации в
сети Интернет. Обязательным является условие ознакомления соискателя с
условиями ведения кадрового резерва в организации, сроком хранения его
персональных данных, а также порядком исключения его из кадрового резерва.
6.14. Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной
гражданской службе Российской Федерации" предусмотрено формирование
кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального
государственного органа, кадровый резерв субъекта Российской Федерации и
кадровый резерв государственного органа субъекта Российской Федерации).
Согласие на обработку персональных данных гражданских служащих, а
также иных лиц, при ведении органом государственной власти кадрового резерва
не требуется.
Вышеуказанные требования распространяются на не только штатных
сотрудников, но и граждан, с которыми у юридического или физического лица
25

заключены гражданско-правовые договоры, а в соответствии с п. 8 ст. 86 ТК РФ
работники должны быть ознакомлены под роспись с документами работодателя,
устанавливающими порядок обработки персональных данных работников, а
также с их правами и обязанностями в этой области.
Отдельно необходимо отметить, что согласно статье 7 Закона о
персональных данных операторы и иные лица, получившие доступ к
персональным данным, обязаны не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных
данных, а данное положение также закреплено в специальном (отраслевом)
законодательстве:
1. Согласно ст. 13 Федерального закона "Об основах охраны здоровья
граждан в Российской Федерации" от 21.11.2011 № 323-ФЗ сведения о факте
обращения гражданина за оказанием медицинской помощи, состоянии его
здоровья и диагнозе, иные сведения, полученные при его медицинском
обследовании и лечении, составляют врачебную тайну, а разглашение сведений,
составляющих врачебную тайну, допускается лишь с согласия самого человека
или его законного представителя.
2. На сайтах и (или) страниц сайтов педагогических работников в сети
"Интернет" в соответствии методическими рекомендациями по созданию и
развитию сайтов и (или) страниц сайтов педагогических работников в сети
"Интернет", направленных письмом члена Совета Федерации Л.Н. Боковой от 26
февраля 2019 года № 66-02.41/ЛБ, не допускается размещение персональных
данных обучающихся без их согласия на публикацию их персональных данных на
сайте и (или) странице сайта педагогического работника.
7. Система государственного контроля и надзора за обработкой
персональных данных. Ответственность за нарушение требований Закона о
персональных данных
7.1. Уполномоченным органом по защите прав субъектов персональных
данных является Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор), территориальные органы
которой действуют в каждом субъекте Российской Федерации, а права и
обязанности этого Роскомнадзора устанавливаются положением о нем в
соответствии со ст. 23 Закона о персональных данных.
7.2. В соответствии со ст. 354 ТК РФ Федеральная инспекция труда,
состоящая из федерального органа исполнительной власти и его территориальных
органов (государственных инспекций труда), является уполномоченным органом
на проведение государственного надзора и контроля за соблюдением трудового
законодательства и иных нормативных правовых актов, содержащих нормы
трудового права, в т.ч. и по вопросам защиты персональных данных работников.
7.3. Ответственность за невыполнение оператором предусмотренной
законодательством РФ в области персональных данных предусмотрена
статьей 13.11 Кодекса Российской Федерации об административных
правонарушениях. К ответственности может быть привлечена как сама
организация, так и ее руководитель как должностное лицо, которое согласно
26

примечанию к ст. 2.4 КоАП РФ совершило административные правонарушения в
связи с выполнением организационно-распорядительных или административнохозяйственных функций руководителей и других работников организаций.
Согласно статье 90 Трудового кодекса в случае, когда по вине одного
работника нарушены положения законодательства РФ в области персональных
данных при обработке персональных данных других работников, такой работник
привлекается к дисциплинарной и материальной ответственности в порядке,
установленном ТК РФ и иными федеральными законами, а также привлекается к
гражданско-правовой, административной и уголовной ответственности в порядке,
установленном федеральными законами.
7.4. Работники оператора могут привлекаться к уголовной ответственности в
следующих случаях:
1. В ч. 2 ст. 137 УК РФ установлена ответственность за незаконное
распространение сведений о частной жизни лица, составляющих его личную или
семейную тайну, без его согласия либо распространение этих сведений в
публичном выступлении, публично демонстрирующимся произведении или СМИ,
совершенные лицом с использованием своего служебного положения;
2. В ч. 3 ст. 272 УК РФ установлена ответственность за неправомерный
доступ к охраняемой законом компьютерной информации, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование
компьютерной информации, совершенное лицом с использованием своего
служебного положения.

27

Powered by TCPDF (www.tcpdf.org)