Обзор типичных нарушений законодательства Российской Федерации в сфере персональных данных

1. Публикация персональных данных несовершеннолетних на официальном сайте образовательной организации в нарушение требований ч. 1 ст. 6 Закона о персональных данных. Размещение персональных данных несовершеннолетних, в том числе ФИО, фото- или видеоизображений, даты и место рождения, паспортные данные и других данных, на официальном сайте образовательной организации не допускается, за исключением случаев, предусмотренных федеральным законом или иными нормативными правовыми актами, принятыми во исполнение федеральных законов.

Таким образом, при размещении персональных данных без соответствующих правовых оснований данная информация не допускается для размещения на официальном сайте образовательной организации.

В то же время, целью сбора персональных данных несовершеннолетних в рамках информирования о результатах олимпиад и о зачислении в образовательные организации является информирование участников образовательных отношений, таким образом данная информация может быть предоставлена неограниченному кругу лиц.

Кроме этого, не допускается публикация персональных данных несовершеннолетних на сайтах в сети "Интернет" должностных лиц оператора, в том числе размещение персональных данных несовершеннолетних на сайтах и (или) страниц сайтов педагогических работников в сети "Интернет".

2. Непредоставление в Роскомнадзор уведомления об осуществлении обработки персональных данных и предоставление в Роскомнадзор неполных (недостоверных) сведений об обработке персональных данных в нарушение требований ч. 22 ст. 6 Закона о персональных данных.

Также в соответствии с требованиями ст. 22 Закона о персональных данных необходимо предоставить изменения в ранее поданное уведомление, в связи с вступлением в силу с 1 сентября 2015 года Федерального закона от 21.07.2014 г. N 242 "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях".

3. Несоответствие письменных согласий субъектов персональных данных на обработку персональных данных требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных обучающихся образовательной организации третьим лицам, в том числе при ведении электронных дневников, в нарушение требований ч. 3 ст. 6 Закона о персональных данных.

5. Поручение обработки персональных данных несовершеннолетних операторами связи третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.

6. Неразмещение на сайте оператора документа, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, в соответствии с ч. 2 ст. 18.1 Закона о персональных данных.

7. Несоблюдение условий обработки персональных данных, в том числе биометрических и специальных категорий персональных данных, в нарушение требований ст. 10 и 11 Закона о персональных данных.

8. Принадлежность домена официального сайта организации не организации и использование баз данных, находящихся не на территории Российской Федерации в нарушение требований ч. 5 ст. 18 Закона о персональных данных.

9. Непринятие оператором мер по утверждению документов, регламентирующих обработку персональных данных в нарушение требований п. 2 ч. 1 ст. 18.1. Закона о персональных данных.

10. Несоблюдение оператором установленных требований к ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, в нарушение требований п. 6 ч. 1 ст. 18.1. Закона о персональных данных.

11. Обработка избыточных персональных данных по отношению к заявленным целям их обработки в нарушение требований ч. 2 ст. 5. Закона о персональных данных.

12. Нарушение порядка обработки специальных категорий персональных данных несовершеннолетних.

Законодательством Российской Федерации в области персональных данных обработка специальных категорий персональных данных несовершеннолетних с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных в пунктах 2 - 10 ч. 2 ст. 11 Закона о персональных данных. В этой связи в случае осуществления операторами обработки специальных категорий персональных данных несовершеннолетних без наличия законных оснований, необходимо принять меры по прекращению обработки таких персональных данных и их уничтожению (при наличии базы данных).

13. Обработка биометрических персональных данных несовершеннолетних.

Законодательством Российской Федерации в области персональных данных обработка биометрических персональных данных несовершеннолетних с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных, что исключает наличие оснований для осуществления такой обработки. В этой связи в случае осуществления операторами обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных несовершеннолетних и их уничтожению (при наличии базы данных).

14. Отсутствие ответственного за организацию обработки персональных данных в нарушение требований ст. 22.1. Закона о персональных данных, в том числе некорректное определение ответственного за организацию обработки персональных данных, назначение нескольких ответственных за организацию обработки персональных данных и отсутствие в должностном регламенте ответственного полномочий, установленных Законом о персональных данных.

15. Неосуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных в нарушение требований п. 4 ч. 1 ст. 18.1. Закона о персональных данных, в том числе отсутствие планов проведения внутреннего контроля/аудита и отсутствие материалов проверочных мероприятий внутреннего контроля и (или) аудита.