Что проверяет Роскомнадзор на официальном сайте образовательной организации? И чем всё заканчивается?

В линии консультаций «Правовое обеспечение» неоднократно упоминалось о необходимости соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при ведении официального сайта образовательной организации. В выпуске от 01.04.2019 было также рассказано о новой форме контроля за соблюдением требований 152-ФЗ, а именно о мероприятиях по контролю без взаимодействия с оператором. В публикации расскажем о результатах таких мероприятий по контролю.

Для начала настоятельно рекомендуем ознакомиться с содержанием Постановления Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Кому всё же лениво читать весь документ, отметим главные моменты.

Организация и проведение мероприятий по контролю без взаимодействия с операторами

Мероприятия по контролю без взаимодействия с операторами проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований. Мероприятия по контролю без взаимодействия с операторами проводятся уполномоченными должностными лицами органа по контролю и надзору на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) органа по контролю и надзору.

К мероприятиям по контролю без взаимодействия с операторами относятся:

а) наблюдение за соблюдением требований при размещении информации в сети «Интернет» и средствах массовой информации;
б) наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая представляется оператором (в том числе посредством использования федеральных государственных информационных систем) в орган по контролю и надзору в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия) органом по контролю и надзору.

Задание на проведение мероприятия по контролю без взаимодействия с оператором выдается в случае:

а) наличия поручения Президента Российской Федерации, Правительства Российской Федерации, а также руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.

По итогам проведения мероприятия по контролю без взаимодействия с оператором должностными лицами составляется докладная записка на имя руководителя органа по контролю и надзору (уполномоченного заместителя руководителя).

изображение При выявлении по итогам проведения мероприятия по контролю без взаимодействия с оператором нарушения (признаков нарушения) требований оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 дней с информированием органа по контролю и надзору об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований. В случае неисполнения оператором требований составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях.

Организация и проведение мероприятий по профилактике нарушения требований

В целях предупреждения нарушения оператором требований, устранения причин, факторов и условий, способствующих нарушению требований, орган по контролю и надзору осуществляет мероприятия по профилактике нарушения требований в соответствии с ежегодно утверждаемой им программой.

В целях профилактики нарушения требований орган по контролю и надзору:

а) размещает на своем официальном сайте в сети «Интернет» перечень нормативных правовых актов, содержащих требования;
б) осуществляет информирование операторов о положении дел в области защиты прав субъектов персональных данных;
в) обеспечивает ежегодное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством подготовки отчета о деятельности по осуществлению государственного контроля и надзора в области персональных данных;
г) размещает на своем официальном сайте в сети «Интернет» информацию о наиболее часто выявляемых в ходе осуществления контроля и надзора нарушениях требований, в результате которых оператор был привлечен к административной ответственности либо оператору было выдано предписание об устранении выявленных нарушений;
д) размещает на своем официальном сайте в сети «Интернет» руководства по соблюдению требований, информацию о проведении семинаров и конференций;
е) осуществляет разъяснительную работу в средствах массовой информации и иными способами;
ж) выдает предостережения о недопустимости нарушения требований.

pen

Оператор вправе обратиться в орган по контролю и надзору устно (в ходе личного приема) или письменно с жалобой на решения и действия (бездействие) должностных лиц в ходе проведения проверок (далее — жалоба). Жалоба может быть направлена в форме электронного документа, подписанного усиленной квалифицированной электронной подписью оператора, по адресу электронной почты органа по контролю и надзору, указанному на официальном сайте органа по контролю и надзору в сети «Интернет».

Итак, по Постановлению Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» Роскомнадзор уже работает больше года. В период пандемии, когда осуществлять плановые и внеплановые выездные проверки фактически невозможно, мероприятия по контролю без взаимодействия с оператором стали главным «рабочим инструментом» Роскомнадзора.

Рассмотрим пример из практики. Далее размещён текст документа без указания данных оператора (скрыто преднамеренно).

РОСКОМНАДЗОР

УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И МАССОВЫХ КОММУНИКАЦИЙ
ПО ЦЕНТРАЛЬНОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ
(Управление Роскомнадзора
по Центральному федеральному округу)

Старокаширское шоссе, д. 2, корп.10, ГСП-7, Москва, 117997
Справочная: (495) 587-44-85; факс (495) 249-24-16
E-mail: rsockanc77@rkn.gov.ru

Муниципальное бюджетное общеобразовательное учреждение
средняя школа № ____

22.05.2020 № _____________

О направлении запроса-требования

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (далее — Управление) в соответствии с п. 9.1.4.1 Положения об Управлении, утвержденного приказом Роскомнадзора от 25.01.2016 № 38, осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Управлением был проведен анализ информации на сайтах в информационно-телекоммуникационной сети Интернет с целью проверки соблюдения законодательства Российской Федерации в области персональных данных.
Установлено, что на сайте Муниципального бюджетного общеобразовательного учреждения средняя школа № ___ ИНН ________ (далее — Оператор) «адрес сайта» размещены персональные данные педагогических работников Оператора.
В соответствии с п. з ч. 2 ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» образовательные организации обеспечивают открытость и доступность информации о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.
Объем размещаемой информации определен Правилами размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации, утвержденными Постановлением Правительства РФ от 10.07.2013 № 582 (далее — Постановление). В соответствии с пп. а) п. 3 Постановления образовательная организация размещает на официальном сайте следующую информацию:
о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе:

фамилия, имя, отчество (при наличии) руководителя, его заместителей;
должность руководителя, его заместителей;
контактные телефоны;
адрес электронной почты;
о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе:
фамилия, имя, отчество (при наличии) работника;
занимаемая должность (должности);
преподаваемые дисциплины;
ученая степень (при наличии);
ученое звание (при наличии);
наименование направления подготовки и (или) специальности;
данные о повышении квалификации и (или) профессиональной переподготовке (при наличии);
общий стаж работы;
стаж работы по специальности.

Таким образом, объем сведений, размещенных на сайте Оператора, превышает объем, установленный Постановлением, а именно: фотография. Каких-либо указаний на наличие у Оператора согласия работников на распространение их персональных данных в объеме, превышающем объем, установленный Постановлением, на сайте Оператора не выявлено.

В связи с изложенным, на основании полномочий Управления, предусмотренных ч. 3 ст. 23 Закона о персональных данных, сообщаем, что Оператору надлежит провести проверку правомерности обработки персональных данных по указанным фактам, принять меры по приведению деятельности в соответствие с требованиями законодательства в области персональных данных, и в течение тридцати дней с даты получения настоящего запроса представить в Управление информацию о принятых мерах, а также:

сведения о правовых основаниях распространения (опубликования) персональных данных педагогических работников (фотография);
иные пояснения по существу изложенного.

Обращаем внимание, что непредставление или несвоевременное представление сведений, представление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, либо представление в государственный орган таких сведений в неполном объёме или в искажённом виде является административным правонарушением, ответственность за которое предусмотрена ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

Приложение, упомянутое в тексте на 1 л.

Заместитель руководителя
О. А. Коротова

-- Конец документа-

Обращаем внимание, что в соответствии с федеральным законодательством в сфере образования, перечень обязательной информации включает сведения:

  • о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе фамилию, имя, отчество (при наличии) руководителя, его заместителей, должность руководителя, его заместителей, контактные телефоны, адреса электронной почты;
  • о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе фамилию, имя, отчество (при наличии) работника, занимаемую должность (должности), преподаваемые дисциплины, ученую степень (при наличии), ученое звание (при наличии), наименование направления подготовки и (или) специальности, данные о повышении квалификации и (или) профессиональной переподготовке (при наличии), общий стаж работы, стаж работы по специальности.
?

Поскольку размещения данной информации предусмотрено законом, то согласия на её размещение от работника не требуется. Обратите внимание, речь идёт только об указанной категории работников, а не про всех работников организации. Отдельный акцент для руководителя образовательной организации! Речь идёт о работниках, но не о людях, которые могут оказывать услуги в рамках гражданско-правовых договоров. Данная категория не является работниками в понимании Трудового Кодекса Российской Федерации.

Размещение иной дополнительной информации и (или) о иных категориях работников образовательной организации возможно только с письменного согласия работника в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

pen

Таким образом, размещение любой дополнительной информации, относящейся к персональным данным, которая не входит в перечень обязательной, но размещается по решению образовательной организации (например, фотография работника и т. п.), осуществляется только с письменного согласия работника. Объём, цели, задачи обрабатываемых персональных данных должны быть отражены в документе, определяющим политику оператора в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

Всё это необходимо прописать либо в отдельном согласии на обработку персональных данных, либо добавить в текст основного документа «Согласие на обработку персональных данных», который подписывается работником при трудоустройстве.
Надеемся, прочитав данную публикацию, работники, отвечающие за работу с контентом официального сайта совместно с администрацией образовательной организации, проведут ревизию контента в части размещения персональных данных обучающихся, работников, иных лиц на своём информационном ресурсе в сети Интернет.

Помните, что мероприятия по контролю без взаимодействия с оператором осуществляются вне всякого плана и без уведомления!

Написать комментарий

Прикрепить файл
Вы можете прикрепить к сообщению не более пяти файлов (текст, видео, аудио), объемом не больше 5Мб каждый.

Информация персонального характера о пользователях официального сайта образовательной организации хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

КомментарииКомментариев: 0