К персональным данным можно отнести любую совокупность информации о конкретном человеке (п. 1 ст. 3 Закона № 152-ФЗ). По режиму обработки их делят на общие и специальные. Специальные – информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Закона № 152-ФЗ). Детский сад вправе обрабатывать ее только с согласия субъекта. Общие персональные данные – все остальные. Обрабатывать их можно и без согласия, но только в границах, установленных законодательством (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).

Отдельно выделяют категорию биометрических персональных данных. Они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором только с этой целью (ч. 1 ст. 11 Закона № 152-ФЗ).

Биометрические персданные обрабатывают только с личного письменного согласия субъекта. В связи с этим Роскомнадзор и Минцифры решили, что в образовательных организациях такие данные обрабатывать нельзя, потому что несовершеннолетние не вправе давать на это письменное согласие (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059). Без него обрабатывать биометрию можно только, чтобы осуществить правосудие и исполнить судебные акты, провести обязательную государственную дактилоскопическую регистрацию, а также в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством об обороне, оперативно-розыскной деятельности, о безопасности, противодействии терроризму и коррупции, транспортной безопасности, нотариате, порядке выезда из России и въезда в Россию, гражданстве РФ (ч. 2 ст. 11 Закона № 152-ФЗ).

К персональным данным не относят обезличенную информацию. Она не дает возможности точно определить человека, хоть и содержит некоторые сведения о нем – например, возраст или район проживания. Однако совокупности формально обезличенной информации бывает достаточно, чтобы понять, о ком идет речь. 

Персональные данные есть в большинстве документов, с которыми работают школы и детские сады.

Перечень документов, в которых есть персональные данные

Субъект данных	Документ	Персональные данные
Учащийся Воспитанник	Заявление о приеме. Копия свидетельства о рождении ребенка. Копия свидетельства о регистрации ребенка по месту жительства или месту пребывания. Медицинская карта ребенка. Рекомендация психолого-медико-педагогической комиссии. Заключение и протоколы психолого-педагогического консилиума. Справка-допуск после перенесенного заболевания. Документы, которые образуются во время учебы, например, характеристики по результатам психолого-педагогической помощи, справки по результатам учебно-методической деятельности. Распорядительные акты школы и детского сада	Фамилия, имя, отчество. Дата и место рождения. Адрес места жительства. Особенности ребенка, определяющие необходимость создания специальных условий. Сведения о здоровье, диагноз. Сведения о личных качествах, успеваемости. СНИЛС
Родитель	Заявление о приеме. Заявление на право забирать ребенка. Заявление о переводе. Договоры	Фамилия, имя, отчество. Дата и место рождения. Адрес места жительства. Паспортные данные. Контакты – телефон, электронная почта. Номер банковского счета и наименование банка
Работник	Заявление о приеме на работу. Резюме соискателя. Документы об образовании и квалификации. Трудовая книжка. Трудовой договор. Личная карточка. Документы из личного дела. Медицинское заключение, медкнижка и заключительный акт по итогам медосмотра. Листок нетрудоспособности. Справка 2-НДФЛ. Распорядительные акты школы	Фамилия, имя, отчество. Пол, возраст. Изображение. Паспортные данные. Дата и место рождения. Адрес места жительства. Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации. Семейное положение, наличие детей, родственные связи. Факты биографии и предыдущей трудовой деятельности. Сведения о деловых и личных качествах. Сведения о здоровье. Сведения о заработной плате. Номер банковского счета и наименование банка. СНИЛС
Физическое лицо, выполняющее работы по договорам подряда, оказывающее услуги	Гражданско-правовой договор	Фамилия, имя, отчество. Паспортные данные. Адрес места жительства. Номер банковского счета и наименование банка
Физическое лицо, сотрудничающее с организацией в рамках некоммерческой совместной деятельности –просветительских мероприятий и т.п.	Договор, соглашение. Согласие на обработку персональных данных. Документы для допуска на территорию	Фамилия, имя, отчество. Паспортные данные. Биографические данные – о трудовом стаже, научной и образовательной деятельности, достижениях и т. п.

В каких целях можно обрабатывать персональные данные

Обрабатывать персональные данные можно только в целях, которые установлены в законодательстве или локальных актах (ч. 2, 4–6 ст. 5 Закона № 152-ФЗ).

Зачем собирают персональные данные в ДОУ (ДОО)

Собирать данные можно только с определенной целью. В детских садах выделяют три ключевые цели:

- Для проведения воспитательной и образовательной работы. Например, чтобы зачислить ребенка в группу или на дополнительные занятия.

- Для оформления нового сотрудника в штат.

- Для заключения гражданско-правовых договоров с подрядчиками. Например, с мастерами, которые будут делать ремонт в помещениях.

Могут быть и другие цели. Чтобы их выяснить, нужно проанализировать направления деятельности детского сада. Все цели сбора должны быть указаны в локальном акте - политике обработки персональных данных. По закону №152-ФЗ для каждой цели обработки персональных данных нужно получать отдельное письменное согласие. Например, подписать согласие для оказания медицинской помощи, согласие для занятий ребенка с логопедом и отдельное согласие для публикации фото и видео с участием ребенка.

Хранение персональных данных в детском саду

Где хранить данные

Персональные данные нужно хранить в надежном месте, к которому не получат доступ посторонние. Но где именно? Закон не разъясняет. Есть основные правила, которые важно соблюдать:

- Документы для разных целей нужно хранить отдельно друг от друга. Место хранения персональных данных в детском саду должно быть указано и утверждено в приказе.

- Документы в бумажном виде обычно хранят в сейфе или металлическом шкафу, который закрывается на ключ. Получить к ним доступ может ограниченный круг сотрудников.

- Документы в электронном виде хранят в закрытых папках в локальной сети. Чтобы обеспечить сохранность данных, на компьютерах должна быть установлена дополнительная защита. Например, антивирусные программы и кодирование. 

Как долго хранятся данные

Хранить персональные данные можно, пока не достигнута цель их сбора. Например, данные собирали для оформления ребенка в сад, а он через 3 месяца перешел в другой детский сад. Значит, его персональные данные нужно уничтожить в течение 30 дней. Если информацию нельзя уничтожить, ее нужно обезличить. Например, заменить имя и фамилию на запись “ребенок А”. 

Иногда срок хранения данных указывают в согласии на обработку персональных данных. Тогда данные нужно уничтожить как только истечет этот срок.

Правовое основание защиты персональных данных:

• Конституция РФ;
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;
• Федеральный закон от 30.12.2001 №195-ФЗ «Кодекс Российской Федерации об административных правонарушениях» (ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»);
• Федеральный закон от 13.06.1996 №63-ФЗ «Уголовный кодекс Российской Федерации» (ст. 137 «Нарушение неприкосновенности частной жизни»);
• Трудовой кодекс РФ от 30.12.2001 №197-ФЗ (ст. 85-90);
• Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  
• Совместный приказ ФСТЭК России №55, ФСБ России №86, Мининформсвязи России №20 от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• Приказ ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
• Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Устав ДОУ.

 Категории персональных данных сотрудников ОО, воспитанников (обучающихся) и родителей (законных представителей) несовершеннолетних:

• фамилия, имя, отчество; пол; дата рождения; место рождения;
• документ удостоверяющий личность; адрес регистрации;
• фактический адрес места жительства;
• фотографии; номер полиса обязательного медицинского страхования;
• сведения о состоянии здоровья, находящиеся в медицинской карте воспитанника;
• социальное положение; жилищные условия; документы при установлении опеки;
• контактные телефоны; сведения о гражданстве; паспортные данные;
• сведения об образовании; воинской обязанности; трудовом стаже;
• о предыдущем месте работы; составе семьи; социальных льготах;
• информация об образовании; страховом пенсионом свидетельстве;
• ИНН; сведения об аттестации; повышении квалификации;
• профессиональной переподготовке;
• сведения о наградах (поощрениях, почетных званиях).

  Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации- », а также иными нормативно-правовыми актами Российской Федерации в области образования и воспитания, трудовых отношений.

Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам.

  Оператор вправе:

• размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: воспитанникам, родителям (законным представителям), а также административным и педагогическим работникам детского сада;
• размещать фотографии сотрудника, воспитанников (обучающихся) (фамилию, имя, отчество) на стендах в помещениях ДОУ и на официальном сайте ДОУ;
• предоставлять данные сотрудника, воспитанника (обучающегося) для участия в городских, окружных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.;
• производить фото- и видеосъемки сотрудника, воспитанника (обучающегося) для размещения на официальном сайте ДОУ и СМИ с целью формирования положительного имиджа ДОУ;
• включать обрабатываемые персональные данные сотрудника, воспитанника (обучающегося) в списки (реестры) и отчетные формы, предусмотренные нормативными документами областного, муниципального и дошкольного (школьного) уровней, регламентирующих предоставление отчетных данных.

МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ, НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!

Некоторые сотрудники и родители обеспокоены необходимостью подписывать СОГЛАСИЕ на обработку персональных данных. Смеем Вас уверить, что причин для беспокойства нет. Ваше согласие будет храниться в ДОУ и распространяться только на ДОУ, в которой обучается (воспитывается) ваш ребенок. Любой другой оператор ПДн должен будет получить от Вас разрешение на обработку ваших персональных данных.

ОО активно внедряет информационные технологии во все направления деятельности. Мы используем современные общеизвестные средства защиты от несанкционированного доступа к информационной системе ПДн. Обещаем заботливо относиться к Вашим персональным данным и персональным данным Вашего ребенка. В любой момент на основании Закона РФ «О персональных данных» Вы можете изменить своё решение об общедоступности данных.

ДАННОЕ СОГЛАСИЕ ЗАЩИЩАЕТ ВАШИ ДАННЫЕ, КОТОРЫЕ ВЫ УЖЕ ПРЕДОСТАВИЛИ НАМ ПРИ ПОСТУПЛЕНИИ РЕБЕНКА В ДОУ

Согласие на обработку персональных данных воспитанников (обучающихся) и родителя (законного представителя) можно получить у руководителя ДОУ.