В последнее время в школах всё чаще случаются конфликты из-за несогласия родителей с различными вариантами обработки персональных данных. Иногда школа и родители просто не могут понять друг друга или говорят о разных вещах. Михаил Кушнир рассказывает о пяти важных аспектах, которые помогут уладить или предотвратить недоразумения, связанные с законом 152-ФЗ «О персональных данных».
К счастью для школ, внимание родителей к персональным данным довольно редкое явление, но весьма неприятное:
- Во-первых, потому что школа является оператором персональных данных и отвечает за их безопасность;
- Во-вторых, потому что проблема с персональными данными крайне путанная, и никто толком в ней не разбирается;
- В-третьих, потому что претензии и угрозы родителей чаще всего далеки от адекватных.
Чтобы требования были адекватными, нужно освоить основные понятия и принципы закона. Я выделю здесь несколько ключевых особенностей, но полезно прочитать закон полностью — он небольшой.
Школа обрабатывает персональные данные учителей, учеников и их родителей. Обработку данных учителей я рассматривать здесь не буду. В отношении родителей обработка должна быть весьма ограниченная: убедиться, что школа имеет дело именно с родителями своих учеников и обеспечить с ними продуктивную коммуникацию.
1. Что такое «персональные данные»?
По закону, это любая информация, связанная с конкретным человеком. Это значит, что ее можно обрабатывать только в соответствии с теми целями, для которых персональные данные были переданы. Понятие цели обработки — не просто фигура речи, а важный критерий законности обработки.
2. Виды данных и защита данных
По закону оператор персональных данных отвечает за их сохранность. Важно различать понятие «персональные данные» и требования по их защищенности: менее строгие требования к защищенности не отменяют принципов отношения к данным как персональным. Требования по защите персональных данных зависят от их вида:
- Если субъект дает согласие на публикацию некоторых своих персональных данных в открытых источниках, то такие данные считаются общедоступными и они не требуют защиты. Но даже в отношении общедоступных данных в случае отзыва согласия необходимо соблюдать требования закона по их защите для новых условий. Бывают ситуации, когда необходимость открытой публикации определенных данных предусматривается законом, в частности, администрация и педагоги школы обязаны публиковать на официальном сайте образовательной организации свои ФИО и квалификационные показатели, названия курсов, которые они ведут.
- Если без дополнительной информации невозможно определить, к какому человеку относятся обрабатываемые данные, они называются обезличенными и требования по их защите существенно проще, чем в отношении идентифицируемых данных. Этот удобный аспект обработки данных часто остается недооцененным, а зря.
- Если данные содержат медицинскую информацию или из других специфических категорий (кому важно, уточните в законе самостоятельно), такие данные требуют наиболее жестких мер по обеспечению защищенности.
- Чем больше в системе содержится персональных данных, тем жестче требования по защищенности системы.
3. Правила обработки персональных данных в школе должны быть легко доступны, опубликованы на официальном сайте. Родителей с ними обязаны ознакомить под роспись. Умные школы предусматривают в заявлении на прием фразу «с правилами обработки данных ознакомлен». Особо умные там же предусматривают фразу «разрешаю публикацию фото- и видео- изображений моего ребенка в материалах школы при отражении событий, связанных с образовательным процессом». Это связано не с 152-ФЗ, а с ГК РФ, но очень похоже на его логику: отсутствие такого согласия может стать серьезной головной болью школы.
4. Согласие на обработку персональных данных
Тут больше всего глупостей происходит:
- Отчасти потому, что в первой версии закона всегда требовалось письменное согласие, а сейчас письменное согласие нужно только тогда, когда это явно указано в законе, причем про образовательные отношения таких требований нет.
- Отчасти потому, что оператор персональных данных обязан иметь доказательство правомочности обработки данных, а письменное согласие является наиболее очевидным доказательством.
- Отчасти потому, что данные сейчас модно хранить не в школе, а в сети — в «облаках», — но правомочность такой обработки данных сложно доказать без письменного согласия.
Важно понимать, что согласие на обработку ваших персональных данных нужно обязательно, но не обязательно письменное. Есть несколько исключений в законе, когда ваше согласие не требуется, но их крайне мало. Если вы сдали данные ребенка в школу в рамках приемных мероприятий, то по факту согласились с обработкой его персональных данных для целей обучения. Эти цели должны либо быть прописаны в договоре на образовательные услуги, либо подразумеваться неявно из образовательного законодательства. Если обработка требует чего-то не предусмотренного в законе «Об образовании в РФ», нужно иметь доказательство ее правомочности — проще всего при наличии письменного согласия.
Рассмотрим типичную ситуацию организации поездки с детьми, для которой нужно покупать групповые билеты, готовить списки участников. Если поездка оформляется как мероприятие в рамках образовательных отношений, то доказательства обоснованности такой обработки не нужны. Для этого приказ о проведении мероприятия должен быть выполнен в формулировках с соответствующими тезисами 152-ФЗ.
Во всех аналогичных ситуациях вне типового образовательного процесса нужно учитывать эту специфику закона, чтобы школа всегда имела доказательства правомочности обработки данных учеников: либо в рамках образовательных отношений, либо по письменному согласию, либо в рамках иных федеральных законов.
В любой момент вы можете отозвать согласие на обработку персональных данных, в каком бы виде вы его не давали: письменно или по факту начала деловых отношений. Но нужно понимать, что такой отзыв будет иметь административные последствия, потому что оператор не сможет продолжать обработку ваших данных в прежнем режиме.
Яркой иллюстрацией важности согласия является письмо Минобрнауки от 4.3.2015 N 03-155 с ответом на вопрос, может ли родитель отказаться от передачи данных из школы в государственную информационную систему сдачи ОГЭ/ЕГЭ? Хотя для государственных систем письменное согласие субъекта можно не получать, отказаться родитель может! Но в этом случае ребенок не может быть допущен к сдаче экзамена.
4а. Согласие на передачу данных для обработки
Передача данных третьим лицам является одним из видов обработки персональных данных. Такая передача является существенной особенностью для организации требуемых по закону мероприятий по защите. Без согласия самого субъекта данные могут передаваться третьим лицам только в предусмотренных федеральными законами случаях, в частности, когда есть угроза жизни или здоровью людей.
Для доказательства такого согласия обычно школа требует письменное подтверждение. Это актуально, например, для работы в электронном классном журнале, хранящем данные где-то в сети Интернет. Проблема отражена для электронных журналов отдельным письмом Минобрнауки России от 21.10.2014 N АК-3358/08.
5. Всегда ли вы знаете, где обрабатываются ваши данные?
Если у вас есть подозрение, что ваши данные без вашего согласия кому-то передавались и/или что они используются для других целей, чем вы их передавали оператору, имеет смысл написать запрос и снять сомнения.
Любой субъект персональных данных в любой момент может потребовать от оператора отчет о том, как используются его данные, кому они передавались и с какой целью. Ответ на такие запросы должен занимать не больше месяца. Сомнение могут вызвать условия обработки данных у контрагента вашей школы — внешнего оператора, — например, оператора сетевого электронного журнала.
Примеры поводов для сомнения:
- вы не понимаете целей обработки данных у внешнего оператора;
- вы не понимаете правил обработки данных у внешнего оператора;
- вы не можете найти договор между внешним оператором и школой;
- вы не уверены, что внешний оператор надежен, поскольку не можете найти у него на сайте скана сертификата, выдаваемого регулятором для подтверждения защитных качеств информационной системы.
Договор может быть важен, чтобы понять, кто и как обрабатывает данные вашего ребенка, можно ли ему доверять, поскольку школа эту обязанность ему перепоручила. Бывают вопиющие случаи, когда никто не может ответить на вопрос, какая система обрабатывает ваши данные, кто ее оператор, а школа регулярно отправляет в эту систему данные, причем администрация школы внимательно контролируется органами власти в отношении обеспечения этой регулярности.
Только квалифицированное обращение родителей может заставить такие ситуации разрешаться законным образом.
Следует иметь в виду, что в защите персональных данных школа не специалист и вряд ли хорошо понимает, насколько хорошо это делает ее партнер по обработке. Это не значит, что все плохо, но, если у вас появились сомнения, важно знать свои права и грамотно ими пользоваться. Более строгое изложение проблематики 152-ФЗ в школе доступно в подборке нормативных актов на сайте Ружэль.