Стоит ли ругаться со школой из-за персональных данных. Что следует знать каждому родителю о законе 152-ФЗ
В последнее время в школах всё чаще случаются конфликты из-за несогласия родителей с различными вариантами обработки персональных данных. Иногда школа и родители просто не могут понять друг друга или говорят о разных вещах. Михаил Кушнир рассказывает о пяти важных аспектах, которые помогут уладить или предотвратить недоразумения, связанные с законом 152-ФЗ «О персональных данных».
К счастью для школ, внимание родителей к персональным данным довольно редкое явление, но весьма неприятное:
- Во-первых, потому что школа является оператором персональных данных и отвечает за их безопасность;
- Во-вторых, потому что проблема с персональными данными крайне путанная, и никто толком в ней не разбирается;
- В-третьих, потому что претензии и угрозы родителей чаще всего далеки от адекватных.
Чтобы требования были адекватными, нужно освоить основные понятия и принципы закона. Я выделю здесь несколько ключевых особенностей, но полезно прочитать закон полностью — он небольшой.
Школа обрабатывает персональные данные учителей, учеников и их родителей. Обработку данных учителей я рассматривать здесь не буду. В отношении родителей обработка должна быть весьма ограниченная: убедиться, что школа имеет дело именно с родителями своих учеников и обеспечить с ними продуктивную коммуникацию.
- Что такое «персональные данные»?
-
По закону, это любая информация, связанная с конкретным человеком. Это значит, что ее можно обрабатывать только в соответствии с теми целями, для которых персональные данные были переданы. Понятие цели обработки — не просто фигура речи, а важный критерий законности обработки.
- Виды данных и защита данных
-
По закону оператор персональных данных отвечает за их сохранность. Важно различать понятие «персональные данные» и требования по их защищенности: менее строгие требования к защищенности не отменяют принципов отношения к данным как персональным. Требования по защите персональных данных зависят от их вида:
- Если субъект дает согласие на публикацию некоторых своих персональных данных в открытых источниках, то такие данные считаются общедоступными и они не требуют защиты. Но даже в отношении общедоступных данных в случае отзыва согласия необходимо соблюдать требования закона по их защите для новых условий. Бывают ситуации, когда необходимость открытой публикации определенных данных предусматривается законом, в частности, администрация и педагоги школы обязаны публиковать на официальном сайте образовательной организации свои ФИО и квалификационные показатели, названия курсов, которые они ведут.
- Если без дополнительной информации невозможно определить, к какому человеку относятся обрабатываемые данные, они называются обезличенными и требования по их защите существенно проще, чем в отношении идентифицируемых данных. Этот удобный аспект обработки данных часто остается недооцененным, а зря.
- Если данные содержат медицинскую информацию или из других специфических категорий (кому важно, уточните в законе самостоятельно), такие данные требуют наиболее жестких мер по обеспечению защищенности.
- Чем больше в системе содержится персональных данных, тем жестче требования по защищенности системы.
- Правила обработки персональных данных в школе
-
Правила обработки персональных данных в школе должны быть легко доступны, опубликованы на официальном сайте. Родителей с ними обязаны ознакомить под роспись. Умные школы предусматривают в заявлении на прием фразу «с правилами обработки данных ознакомлен». Особо умные там же предусматривают фразу «разрешаю публикацию фото- и видео- изображений моего ребенка в материалах школы при отражении событий, связанных с образовательным процессом». Это связано не с 152-ФЗ, а с ГК РФ, но очень похоже на его логику: отсутствие такого согласия может стать серьезной головной болью школы.
- Согласие на обработку персональных данных
-
Тут больше всего глупостей происходит:
- Отчасти потому, что в первой версии закона всегда требовалось письменное согласие, а сейчас письменное согласие нужно только тогда, когда это явно указано в законе, причем про образовательные отношения таких требований нет.
- Отчасти потому, что оператор персональных данных обязан иметь доказательство правомочности обработки данных, а письменное согласие является наиболее очевидным доказательством.
- Отчасти потому, что данные сейчас модно хранить не в школе, а в сети — в «облаках», — но правомочность такой обработки данных сложно доказать без письменного согласи
Важно понимать, что согласие на обработку ваших персональных данных нужно обязательно, но не обязательно письменное. Есть несколько исключений в законе, когда ваше согласие не требуется, но их крайне мало. Если вы сдали данные ребенка в школу в рамках приемных мероприятий, то по факту согласились с обработкой его персональных данных для целей обучения. Эти цели должны либо быть прописаны в договоре на образовательные услуги, либо подразумеваться неявно из образовательного законодательства. Если обработка требует чего-то не предусмотренного в законе «Об образовании в РФ», нужно иметь доказательство ее правомочности — проще всего при наличии письменного согласия.
Рассмотрим типичную ситуацию организации поездки с детьми, для которой нужно покупать групповые билеты, готовить списки участников. Если поездка оформляется как мероприятие в рамках образовательных отношений, то доказательства обоснованности такой обработки не нужны. Для этого приказ о проведении мероприятия должен быть выполнен в формулировках с соответствующими тезисами 152-ФЗ.
Во всех аналогичных ситуациях вне типового образовательного процесса нужно учитывать эту специфику закона, чтобы школа всегда имела доказательства правомочности обработки данных учеников: либо в рамках образовательных отношений, либо по письменному согласию, либо в рамках иных федеральных законов.
В любой момент вы можете отозвать согласие на обработку персональных данных, в каком бы виде вы его не давали: письменно или по факту начала деловых отношений. Но нужно понимать, что такой отзыв будет иметь административные последствия, потому что оператор не сможет продолжать обработку ваших данных в прежнем режиме.
Яркой иллюстрацией важности согласия является письмо Минобрнауки от 4.3.2015 N 03-155 с ответом на вопрос, может ли родитель отказаться от передачи данных из школы в государственную информационную систему сдачи ОГЭ/ЕГЭ? Хотя для государственных систем письменное согласие субъекта можно не получать, отказаться родитель может! Но в этом случае ребенок не может быть допущен к сдаче экзамена.
- Согласие на передачу данных для обработки
-
Передача данных третьим лицам является одним из видов обработки персональных данных. Такая передача является существенной особенностью для организации требуемых по закону мероприятий по защите. Без согласия самого субъекта данные могут передаваться третьим лицам только в предусмотренных федеральными законами случаях, в частности, когда есть угроза жизни или здоровью людей.
Для доказательства такого согласия обычно школа требует письменное подтверждение. Это актуально, например, для работы в электронном классном журнале, хранящем данные где-то в сети Интернет. Проблема отражена для электронных журналов отдельным письмом Минобрнауки России от 21.10.2014 N АК-3358/08.
- Всегда ли вы знаете, где обрабатываются ваши данные?
-
Любой субъект персональных данных в любой момент может потребовать от оператора отчет о том, как используются его данные, кому они передавались и с какой целью. Ответ на такие запросы должен занимать не больше месяца. Сомнение могут вызвать условия обработки данных у контрагента вашей школы — внешнего оператора, — например, оператора сетевого электронного журнала.
Примеры поводов для сомнения:
- вы не понимаете целей обработки данных у внешнего оператора;
- вы не понимаете правил обработки данных у внешнего оператора;
- вы не можете найти договор между внешним оператором и школой;
- вы не уверены, что внешний оператор надежен, поскольку не можете найти у него на сайте скана сертификата, выдаваемого регулятором для подтверждения защитных качеств информационной системы.
Договор может быть важен, чтобы понять, кто и как обрабатывает данные вашего ребенка, можно ли ему доверять, поскольку школа эту обязанность ему перепоручила. Бывают вопиющие случаи, когда никто не может ответить на вопрос, какая система обрабатывает ваши данные, кто ее оператор, а школа регулярно отправляет в эту систему данные, причем администрация школы внимательно контролируется органами власти в отношении обеспечения этой регулярности.
Только квалифицированное обращение родителей может заставить такие ситуации разрешаться законным образом.
Источник: https://mel.fm/
"Я запрещаю школе передавать данные о ребёнке куда-либо". 10 типичных ситуаций, связанных с обработкой личной информации
«Мел» продолжает рассказывать про конфликтные ситуации, возникающие в школе вокруг обработки персональных данных. В первой части Михаил Кушнир рассказал об основных аспектах закона 152-ФЗ «О персональных данных». А теперь предлагает на практике разобрать десять самых типичных ситуаций, которые могут произойти в школе.
- Родителей просят подписать согласие на обработку данных, в котором много слов и ничего не понятно
-
Согласие дается только на те виды обработки данных, которые действительно вам нужны ‐ в ваших интересах. Если предлагаемый бланк согласия не отражает ваших интересов, то он вообще вне принципов закона.
Чтобы облегчить себе жизнь, школы часто распространяют бланки придуманных кем-то согласий (возникающих обычно в недрах местного органа власти), но сами не могут внятно объяснить, что и почему там написано. Авторы этих текстов пытаются обтекаемо предусмотреть все мыслимые и немыслимые ситуации, которые только могут возникнуть. Поэтому такие согласия непонятны и неконкретны. Это тоже нарушение принципов закона.
Такое согласие может означать полную свободу школы над вашими данными. Вряд ли школа планирует сознательную диверсию, но в конфликтной ситуации такое согласие может сработать против вас. Затем можно, конечно, попытаться оспорить соответствие этого документа принципам закона. Но вам скажут — вы сами его подписали.
Если вы считаете, что в век глобальных сетей хранение персональных данных— задача бессмысленная, можете спокойно подписывать и не морочить себе и школе голову. В этом случае остальные ситуации можно не изучать. Но если тема кажется вам важной, то нужно запомнить три простые вещи:
- Вы имеете полное право написать согласие по собственному разумению.
- Вы имеете право в любое время отозвать или переделать свое согласие.
- Вы имеете право в любой момент потребовать от школы отчет о действиях с вашими персональными данными.
- Я не дам школе согласия обрабатывать персональные данные моего ребенка
-
Школе и не требуется ваше согласие. В этом случае школа действует в рамках законодательства: раз вы отдали ребенка в школу, значит, вы согласились со школьными правилами обработки данных. Если в правилах что-то выходит за рамки закона или же на практике не соблюдаются правила, то вы имеете право обратиться к регуляторам или в Обрнадзор.
- Я отзываю согласие на обработку персональных данных моего ребенка, а учить его обязаны по закону «Об образовании в РФ»
-
Эта ситуация часто возникает из абстрактного теоретического интереса или параноидального непонимания сущности проблемы защиты данных. Во всем нужен здравый смысл. Если вы волнуетесь о приватности своих данных, то можете эпизодически запрашивать у школы отчет: кому, когда и на каком основании она передавала данные.
Вы можете письменно заявить об отзыве согласия на обработку, но после этого школа не сможет вести учет успехов вашего ребенка. Формально ваш ребенок будет находиться школьной базе, и школа будет получать на него госфинансирование. Но учета его участия в школьной жизни вестись не будет. Ребенок окажется вольнослушателям и не сможет принимать участия в любых мероприятиях, где требуется составлять списки.
К тому же информацию о ребенке вы сможете получать только при личном обращении к каждому учителю. При этом он будет рассказывать о вашем ребенке по памяти, так как фиксировать факты о нем вы запретили. Кроме того, во время таких визитов школа вправе требовать подтверждающие документы, которые разрешают вам представлять интересы ребенка. Если в школе установлена пропускная система, то могут возникнуть сложности с пропуском: от вас потребуется приводить его каждый день на уроки, имея при себе полный комплект документов. Нужно ли вам такое обучение, такое информирование и такой режим?
- Я запрещаю школе передавать персональные данные моего ребенка куда-либо
-
Стоит отметить, что отказ от передачи данных (или запрет) и отказ от предоставления согласия — это разные ситуации. В некоторых случаях, предусмотренных законодательством, не требуется письменного согласия на передачу данных внешним операторам. У вас есть право запретить подобную передачу, но для этого нужно написать заявление и быть готовым к издержкам. Кроме того, при отказе передавать данные в государственную информационную систему итоговой аттестации ваш ребенок не сможет сдавать эти экзамены.
- Я не дам согласия на обработку данных внешними операторами
-
Это необходимо для ведения учета успеваемости во внешнем электронном журнале, для участия в олимпиадах, организации поездок и иных ситуаций обработки данных вне школы. Задачи разные, поэтому и подход к ним вы можете осуществлять разный. Помните, что при отказе в передаче данных организаторам внешних олимпиад или поездок вашего ребенка вполне могут не допустить к участию.
Уточнение ситуации в отношении внешнего электронного журнала
(если школа использует для электронного журнала информационную систему, размещенную в локальной сети школы, письменного согласия от родителей не требуется)
Учет успеваемости вашего ребенка учителям придется вести внутри школы: на бумаге или в локальных приложениях. Нестандартные инструменты для ведения учета некоторых учеников осложнят школе жизнь, но это неизбежный риск при использовании внешнего журнала. Определенные сложности возникнут и у вас: это может привести к накладкам при учете и при информировании, поскольку учет успехов вашего ребенка будет выпадать из общих процедур. Если вы сомневаетесь в надежности используемого школой внешнего журнала, то отказ и сопутствующие издержки оправданы.
Нам говорят, что сетевой электронный журнал является элементом информационной системы оказания государственных услуг, поэтому письменного согласия от нас не требуется
Использование государственной услуги в электронном виде является правом гражданина, а не обязанностью. Если родитель не заказывал услугу информирования через портал государственных услуг, никаких оснований передавать данные из школы в систему госуслуг нет. Гражданин вправе жаловаться на навязанную услугу и необоснованную передачу его данных на портал госуслуг. Он может письменно отказаться от передачи своих данных на портал и требовать информирования в традиционной форме или иным согласованным со школой образом.
- От нас хотят согласие на публикацию фото- и видео- изображений ребенка, на право указать его имя под фотографией на сайте
-
- Разрешение на фото- и видео- изображения нужны, чтобы избежать обвинений в неправомочном отражении изображений учеников в школьных публичных материалах. Общие групповые сюжеты под ограничения ГК РФ не попадают, а индивидуальные могут вызвать претензии. Например, изображение победителей в олимпиадах или ролевые фото из школьных спектаклей, спортивных мероприятий и т. п. К образовательному процессу это согласие отношения не имеет, но его отсутствие может осложнить задачи школы по оформлению своих материалов.
- Право подписывать имена к изображениям учеников и/или их родителей в публичных материалах школы, на сайте школы связано с персональными данными. Регуляторы неоднократно указывали на подобные публикации как на типичное нарушение закона. Если вы дадите письменное согласие, школа сможет изображение вашего ребенка законно подписать. Публикация данных педагогов и администрации предусмотрена в законе и письменного согласия не требует.
- Учитель привлекает учеников к заполнению информационных систем персональными данными
-
Школа должна определить тех лиц, которые допущены к обработке персональных данных, а они должны подписать обязательство по неразглашению данных. Правилами обработки персональных данных должны быть предусмотрены процедуры, которые препятствуют доступу к данным тем людей, которые не должны с ними работать. Данные на бумажных носителях должны храниться в недоступном для непосвященных месте. Данные на электронных носителях должны быть защищены электронными средствами. Описанная ситуация не отвечает этим условиям. Если появится жалоба, будут разбираться с ответственностью тех, кто и почему допустил к данным посторонних лиц.
- Родителям разослали по почте списки учеников с адресами и ФИО родителей с просьбой заполнить дополнительные данные родителей
-
Родители предоставили данные в школу для учета успехов и посещаемости своих детей, для информирования их об этом. Сбор дополнительных данных о родителях законом не предусмотрен, как и организация взаимного знакомства детей и родителей. Рассылка персональных данных по общедоступным сетям несет серьезные риски их неконтролируемой утечки. Поскольку такие виды обработки данных не предусмотрены законодательством, требуется желание субъектов данных, подкрепленное письменным согласием. Если желания и согласия нет, налицо грубое нарушение законодательства сразу по нескольким основаниям, поэтому родителям стоит подать жалобу регуляторам или в Обрнадзор. Как минимум, стоит уточнить у директора, знает ли он о подобной инициативе своих сотрудников? Это может быть их самодеятельностью.
- Школе поручили внести персональные данные учеников и/или родителей в сетевую базу данных
-
Такая обработка возможна только после заключения школой договора с оператором внешней базы данных и исполнения других предусмотренных законодательством формальных процедур. Ответственность за передачу данных и последствия этого несет школа как оператор ваших персональных данных.
- Если эта база данных является государственной и ее ведение предусмотрено федеральным законодательством, школа в рамках своих обязанностей исполняет распоряжение и не забывает отразить факт передачи данных в журнале учета. Это позволит ей ответить на возможный запрос родителей о том, как, для чего и на основании чего обрабатывались их персональные данные.
- Если ведение этой базы не предусмотрено федеральным законодательством, внесение туда данных может быть исключительно на основании письменного согласия родителей и в их интересах.
Если у вас появились сомнения в целях и надежности внешнего оператора, вы вправе ознакомиться с договором и выяснить все связанные с вашими данными вопросы.
- Тренер спортивной секции просит от родителей согласие на общедоступное размещение данных
-
Для спортсменов нормальной деятельностью является участие в соревнованиях, на которых их должны объявлять, награждать, оформлять разряды, упоминать в репортажах и публикуемых программах соревнований. Очевидно, что некоторые данные для этого должны быть общедоступны. Тренер редко силен в задачах защиты данных и, скорее всего, взял тот бланк, который ему кто-то предложил. Если хотите разумно подойти к проблеме, стоит обратить внимание, какие из персональных данных должны быть общедоступны, а какие нет. И отразить это в своем тексте согласия, чтобы и участию в соревнованиях не мешать, и не давать право на публикацию тех данных, которые для спорта не обязательны в широком доступе.
Источник: https://mel.fm/
Как защитить персональные данные своего ребёнка, и почему так важно следить за этим
В последнее время родители все чаще задумываются о том, как школы обращаются с персональными данными их детей. Этому, в частности, способствует и появление информации о различных правонарушениях в сети Интернет.
Например, год назад произошла утечка информации, в результате которой персональные данные более чем пяти миллионов российских школьников оказались в архивах IT-компании (занимающейся разработкой системы электронных дневников), даже не имеющей официального представительства в России. Фактически информация о 5,5 миллионах российских школьниках оказалась в «офшорах на Кипре».
А Роскомнадзор выявил более двух тысяч сайтов, размещающих информацию о детях и их родителях в открытом доступе.
Мы все понимаем, что опубликование адреса или телефона ребенка в сети Интернет может быть очень опасным. Чтобы обезопасить себя в случае возникновения неблагоприятной ситуации, школы берут с родителей согласия на обработку персональных данных их детей. Давайте разберемся, зачем это нужно и как на самом деле должен строиться этот процесс для того, чтобы максимально обезопасить ваших детей от рисков, связанных с нарушением закона о персональных данных.
- Как должно быть оформлено согласие на обработку персональных данных ребенка?
-
Для начала стоит отметить, что согласно положениям закона «О персональных данных», согласие на обработку персональных данных несовершеннолетнего дает его представитель (чаще всего родитель). На «детские» персональные данные распространяются все те же права и обязанности, что и на данные взрослых лиц. А, значит, согласие должно быть оформлено по всем правилам.
Согласие на обработку данных школьника включает в себя ответы на следующие вопросы:
- КТО? фамилия, имя, отчество представителя субъекта (родителя), номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- ЗА КОГО? фамилия, имя, отчество, адрес ребенка, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- КОМУ? наименование и адрес образовательного учреждения;
- ЗАЧЕМ? цель получения данных о ребенке;
- КАКИЕ? перечень данных ребенка (ФИО, возраст, пол, класс, адрес, телефон и т.д.);
- ЧТО БУДУТ ДЕЛАТЬ? перечень действий с персональными данными и описание используемых способов обработки персональных данных;
- НА СКОЛЬКО? срок, в течение которого действует согласие;
- СОГЛАСЕН? подпись законного представителя школьника (родителя).
- Для чего образовательному учреждению нужно ваше согласие?
-
Задача детского образовательного учреждения – обучать школьника, соответственно, основная цель сбора персональных данных – организация учебного процесса.
Согласно требованиям закона «О персональных данных» обработка личной информации по требованиям федеральных законов может осуществляться без получения дополнительного согласия.
Однако такое согласие обязательно должно быть получено школой в том случае, когда требуется расширение полномочий в ситуациях, прямо не определенных законом. Это, например, электронные дневники, сайт образовательного учреждения, доска почета и какие-то другие «частные» моменты
Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка. Поэтому необходимо тщательно изучить информацию, представленную в согласии. Особое внимание стоит обратить на то, какие данные собираются и будут ли они передаваться в другие организации.
А как у вас в школе организован процесс сбора и обработки персональных данных учащихся?
- Какие вопросы нужно задать?
-
Если согласие уже дано и мучают сомнения, каким образом обрабатываются данные ребенка, нужно обратиться в школу за разъяснениями.
Родитель имеет право получить следующую информацию:
- подтверждение факта обработки персональных данных, а также цель такой обработки;
- способы обработки персональных данных;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых данных ребенка и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия может повлечь за собой обработка персональных данных.
У родителя есть полное право убедиться в достоверности персональных данных школьника и в случае необходимости потребовать их уточнения. Также в любой момент можно отозвать ранее данное согласие на обработку. После отзыва согласия персональные данные ребенка должны быть удалены.
- Нарушает ли требования Федерального закона «О персональных данных» хранение в личных делах копий паспортов родителей (законных представителей) учащихся 1 классов?
-
Обработка (сбор, хранение, использование и т.п.) копий паспортов законом не запрещена, но во-первых, обработка должна соответствовать определенной и законной цели (для этого вы должны определить, для чего вам нужны копии паспортов родителей), а во-вторых, содержание обрабатываемых персональных данных не должно быть избыточным по отношению к данным целям.
Также необходимо помнить, что копия паспорта содержит фотографию, которая в некоторых случаях является биометрическими персональными данными, что увеличивает требования к их защите, а также требует получения письменного согласия субъектов (т.е. родителей) на обработку таких данных.
Таким образом, если данные родителей нужны вам для установления их личности, и допустим, места прописки, то рекомендуется ограничиться получением у родителей таких данных без снятия копии паспорта.
Источник: https://roscontrol.com/