Какие действия предпринять в случае получения образовательной организацией заявления родителя воспитанника об отказе в отношении обработки персональных данных

Вопрос:

Представитель (родитель) воспитанника дошкольного образовательного учреждения предоставил заявление об отказе в отношении обработки персональных данных, в том числе и в 1С "Бухгалтерия государственного учреждения", а также требование о предоставлении акта об уничтожении носителей, файлов и прочее, содержащие персональные данные воспитанника.

Как быть в сложившейся ситуации?

Ответ:

Отзыв родителем согласия на обработку персональных данных своего ребенка не препятствует оператору (образовательной организации) при наличии законных оснований (указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных") продолжить такую обработку, но в том объеме, в котором это соответствует заявленным целям обработки. За пределами данных оснований и целей оператор при поступлении отзыва осуществляет прекращение обработки ПДн и в случае, если их сохранение более не требуется для целей обработки, уничтожение ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

Обоснование:

Обработка персональных данных (ПДн) оператором ПДн (образовательной организацией) допустима при условии, что осуществляется с согласия субъекта персональных данных на обработку его персональных данных (пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").

При этом согласие на обработку персональных данных может быть отозвано субъектом персональных данных (часть 2 статьи 9 Закона N 152-ФЗ).

Однако даже в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона N 152-ФЗ.

Согласно части 5 статьи 21 Закона N 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом N 152-ФЗ или другими федеральными законами.

Как видим, и в части 2 статьи 9, и в части 5 статьи 21 Закона N 152-ФЗ отражено исключение из общего правила - оператор ПДн (образовательная организация) вправе продолжить обработку ПДн, даже в случае отзыва субъектом ПДн (родителем воспитанника) своего согласия на их обработку, при наличии законных оснований.

Так, например, организация в целях оказания образовательных услуг вправе обрабатывать персональные данные воспитанников без согласия их законных представителей для выполнения возложенных законодательством РФ на такую организацию функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Закона N 152-ФЗ); если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пункт 5 части 1 статьи 6 Закона N 152-ФЗ).

Поэтому, безусловно, образовательная организация вправе продолжить обрабатывать ПДн воспитанника, приведенные в договоре на образование, без согласия субъекта ПДн и иные ПДн, необходимые в рамках заключения и исполнения договора, в том объеме, в котором это необходимо образовательной организации для исполнения принятых на себя обязательств, персональные данные, достаточные для внутреннего использования в учебно-воспитательном процессе. Обрабатываемые персональные данные при этом не должны быть избыточными по отношению к заявленным целям их обработки (часть 5 статьи 5 Закона N 152-ФЗ).

Кроме того, по условиям вопроса речь идет, в первую очередь, об отзыве согласия на обработку ПДн воспитанника в информационной системе с использованием средств автоматизации (1С). Следовательно, при отзыве согласия в данной части оператору следует обеспечить обработку ПДн, которые оператор вправе обрабатывать даже в случае отзыва субъектом ПДн своего согласия, на традиционных материальных (бумажных) носителях, без использования автоматизированной обработки.

В ответе оператора на отзыв согласия на обработку ПДн следует сообщить о совершенных действиях (в течение 30 дней с даты поступления отзыва): прекращении обработки ПДн (за исключением персональных данных, которые оператор вправе обрабатывать без согласия субъекта персональных данных на законных основаниях) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, их уничтожении (в данном случае - в электронном виде, в информационной системе). Роскомнадзор разъяснил, что порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором.

Служба поддержки пользователей систем "Кодекс"/"Техэксперт"
     Эксперт Лисицкая Ольга Сергеевна