В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ, обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами - образовательными учреждениями.
Правовое основание обработки персональных данных образовательными учреждениями, определяется, в том числе, такими нормативными правовыми актами, как Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Гражданский кодекс Российской Федерации, Семейный кодекс Российской Федерации, Трудовой кодекс Российской Федерации.
Субъектами персональных данных являются учащиеся, законные представители учащихся, работники, родственники работников, контрагенты.
Целями обработки персональных данных субъектов персональных данных являются: осуществление деятельности согласно Уставу образовательной организации, исполнение договора на оказание образовательных услуг; исполнение иных договорных отношений; проведение внеурочной работы, оформление трудовых отношений.
При обработке персональных данных образовательная организация в соответствии со ст. 18.1, 19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В соответствии с требованиями ст. 7 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», образовательные организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.