Безопасность личности в Интернете во многом связана с обеспечением неприкосновенности частной жизни, личной и семейной тайны,

которая основана на соблюдении прав и свобод человека при обработке его персональных данных.

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 251-ФЗ) под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В деятельности дошкольных образовательных учреждений используются различные категории персональных данных как работников учреждения, так и воспитанников и их родителей. Дети являются наиболее уязвимой «группой риска» в Интернете, и при обработке их персональных данных необходимо не только учитывать положения законодательства о персональных данных, но также возможные последствия размещения личной информации для здоровья и развития ребенка.

В данном случае дошкольное образовательное учреждение выступает оператором, то есть лицом, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

Обработка персональных данных охватывает широкий круг действий (операций) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Равным образом к обработке относится и использование персональных данных на интернет-сайтах дошкольных образовательных учреждений.

В соответствии со ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных, которым является Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), о своем намерении осуществлять обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

В то же время из указанного правила имеются исключения. Так оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, в частности:

• относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

• являющихся общедоступными персональными данными;

• включающих в себя только фамилии, имена и отчества субъектов персональных данных;

• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

В общем случае данные изъятия не распространяются на обработку персональных данных детей, связанную с их использованием на интернет-сайтах дошкольных образовательных учреждений.

В соответствии с ч.1 ст. 6 Закона № 152-ФЗ обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. В случае недееспособности субъекта персональных данных, что в полной мере применимо к воспитанникам дошкольных образовательных учреждений, согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных, в частности родитель, усыновитель, опекун.

В отношении использования персональных данных работников дошкольных образовательных учреждений также должны соблюдаться требования гл. 14 Трудового кодекса РФ. Так, по общему правилу не допускается сообщение персональных данных работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника. При этом работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Как правило, для этих целей в организации принимаются соответствующие локальные нормативные акты, в частности Положение о защите персональных данных работников. При этом такие положения распространяются только на работников дошкольного образовательного учреждения и не затрагивают обучаемых и их родителей.

В соответствии с ч. 4 ст. 9 Закона № 152-ФЗ письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. Если субъектом персональных данных, согласие которого отозвано, является ребенок, то его персональные данные блокируются в его личном деле, исключаются из всех информационных систем дошкольного образовательного учреждения.

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Обеспечения конфиденциальности не требуется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Особенности обработки персональных данных, осуществляемых без использования средств автоматизации, определены в соответствующем положении, утвержденном Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687. При этом в отношении автоматизированной обработки персональных данных Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.