«Мел» продолжает рассказывать про конфликтные ситуации, возникающие в школе вокруг обработки персональных данных. В первой части Михаил Кушнир рассказал об основных аспектах закона 152-ФЗ «О персональных данных». А теперь предлагает на практике разобрать десять самых типичных ситуаций, которые могут произойти в школе.
1. Родителей просят подписать согласие на обработку данных, в котором много слов и ничего не понятно
Согласие дается только на те виды обработки данных, которые действительно вам нужны ‐ в ваших интересах. Если предлагаемый бланк согласия не отражает ваших интересов, то он вообще вне принципов закона.
Чтобы облегчить себе жизнь, школы часто распространяют бланки придуманных кем-то согласий (возникающих обычно в недрах местного органа власти), но сами не могут внятно объяснить, что и почему там написано. Авторы этих текстов пытаются обтекаемо предусмотреть все мыслимые и немыслимые ситуации, которые только могут возникнуть. Поэтому такие согласия непонятны и неконкретны. Это тоже нарушение принципов закона.
Такое согласие может означать полную свободу школы над вашими данными. Вряд ли школа планирует сознательную диверсию, но в конфликтной ситуации такое согласие может сработать против вас. Затем можно, конечно, попытаться оспорить соответствие этого документа принципам закона. Но вам скажут — вы сами его подписали.
Если вы считаете, что в век глобальных сетей хранение персональных данных— задача бессмысленная, можете спокойно подписывать и не морочить себе и школе голову. В этом случае остальные ситуации можно не изучать. Но если тема кажется вам важной, то нужно запомнить три простые вещи:
1.Вы имеете полное право написать согласие по собственному разумению.
2.Вы имеете право в любое время отозвать или переделать свое согласие.
3.Вы имеете право в любой момент потребовать от школы отчет о действиях с вашими персональными данными.
2. Я не дам школе согласия обрабатывать персональные данные моего ребенка
Школе и не требуется ваше согласие. В этом случае школа действует в рамках законодательства: раз вы отдали ребенка в школу, значит, вы согласились со школьными правилами обработки данных. Если в правилах что-то выходит за рамки закона или же на практике не соблюдаются правила, то вы имеете право обратиться к регуляторам или в Обрнадзор.
3. Я отзываю согласие на обработку персональных данных моего ребенка, а учить его обязаны по закону «Об образовании в РФ»
Эта ситуация часто возникает из абстрактного теоретического интереса или параноидального непонимания сущности проблемы защиты данных. Во всем нужен здравый смысл. Если вы волнуетесь о приватности своих данных, то можете эпизодически запрашивать у школы отчет: кому, когда и на каком основании она передавала данные.
Вы можете письменно заявить об отзыве согласия на обработку, но после этого школа не сможет вести учет успехов вашего ребенка. Формально ваш ребенок будет находиться школьной базе, и школа будет получать на него госфинансирование. Но учета его участия в школьной жизни вестись не будет. Ребенок окажется вольнослушателям и не сможет принимать участия в любых мероприятиях, где требуется составлять списки.
К тому же информацию о ребенке вы сможете получать только при личном обращении к каждому учителю. При этом он будет рассказывать о вашем ребенке по памяти, так как фиксировать факты о нем вы запретили. Кроме того, во время таких визитов школа вправе требовать подтверждающие документы, которые разрешают вам представлять интересы ребенка. Если в школе установлена пропускная система, то могут возникнуть сложности с пропуском: от вас потребуется приводить его каждый день на уроки, имея при себе полный комплект документов. Нужно ли вам такое обучение, такое информирование и такой режим?
4. Я запрещаю школе передавать персональные данные моего ребенка куда-либо
Стоит отметить, что отказ от передачи данных (или запрет) и отказ от предоставления согласия — это разные ситуации. В некоторых случаях, предусмотренных законодательством, не требуется письменного согласия на передачу данных внешним операторам. У вас есть право запретить подобную передачу, но для этого нужно написать заявление и быть готовым к издержкам. Кроме того, при отказе передавать данные в государственную информационную систему итоговой аттестации ваш ребенок не сможет сдавать эти экзамены.
5. Я не дам согласия на обработку данных внешними операторамиЭто необходимо для ведения учета успеваемости во внешнем электронном журнале, для участия в олимпиадах, организации поездок и иных ситуаций обработки данных вне школы. Задачи разные, поэтому и подход к ним вы можете осуществлять разный. Помните, что при отказе в передаче данных организаторам внешних олимпиад или поездок вашего ребенка вполне могут не допустить к участию.
Уточнение ситуации в отношении внешнего электронного журнала
(если школа использует для электронного журнала информационную систему, размещенную в локальной сети школы, письменного согласия от родителей не требуется)
Учет успеваемости вашего ребенка учителям придется вести внутри школы: на бумаге или в локальных приложениях. Нестандартные инструменты для ведения учета некоторых учеников осложнят школе жизнь, но это неизбежный риск при использовании внешнего журнала. Определенные сложности возникнут и у вас: это может привести к накладкам при учете и при информировании, поскольку учет успехов вашего ребенка будет выпадать из общих процедур. Если вы сомневаетесь в надежности используемого школой внешнего журнала, то отказ и сопутствующие издержки оправданы.
Нам говорят, что сетевой электронный журнал является элементом информационной системы оказания государственных услуг, поэтому письменного согласия от нас не требуется
Использование государственной услуги в электронном виде является правом гражданина, а не обязанностью. Если родитель не заказывал услугу информирования через портал государственных услуг, никаких оснований передавать данные из школы в систему госуслуг нет. Гражданин вправе жаловаться на навязанную услугу и необоснованную передачу его данных на портал госуслуг. Он может письменно отказаться от передачи своих данных на портал и требовать информирования в традиционной форме или иным согласованным со школой образом.
6. От нас хотят согласие на публикацию фото- и видео- изображений ребенка, на право указать его имя под фотографией на сайте
- Разрешение на фото- и видео- изображения нужны, чтобы избежать обвинений в неправомочном отражении изображений учеников в школьных публичных материалах. Общие групповые сюжеты под ограничения ГК РФ не попадают, а индивидуальные могут вызвать претензии. Например, изображение победителей в олимпиадах или ролевые фото из школьных спектаклей, спортивных мероприятий и т. п. К образовательному процессу это согласие отношения не имеет, но его отсутствие может осложнить задачи школы по оформлению своих материалов.
- Право подписывать имена к изображениям учеников и/или их родителей в публичных материалах школы, на сайте школы связано с персональными данными. Регуляторы неоднократно указывали на подобные публикации как на типичное нарушение закона. Если вы дадите письменное согласие, школа сможет изображение вашего ребенка законно подписать. Публикация данных педагогов и администрации предусмотрена в законе и письменного согласия не требует.
7. Учитель привлекает учеников к заполнению информационных систем персональными данными
Школа должна определить тех лиц, которые допущены к обработке персональных данных, а они должны подписать обязательство по неразглашению данных. Правилами обработки персональных данных должны быть предусмотрены процедуры, которые препятствуют доступу к данным тем людей, которые не должны с ними работать. Данные на бумажных носителях должны храниться в недоступном для непосвященных месте. Данные на электронных носителях должны быть защищены электронными средствами. Описанная ситуация не отвечает этим условиям. Если появится жалоба, будут разбираться с ответственностью тех, кто и почему допустил к данным посторонних лиц.
8. Родителям разослали по почте списки учеников с адресами и ФИО родителей с просьбой заполнить дополнительные данные родителей
Родители предоставили данные в школу для учета успехов и посещаемости своих детей, для информирования их об этом. Сбор дополнительных данных о родителях законом не предусмотрен, как и организация взаимного знакомства детей и родителей. Рассылка персональных данных по общедоступным сетям несет серьезные риски их неконтролируемой утечки. Поскольку такие виды обработки данных не предусмотрены законодательством, требуется желание субъектов данных, подкрепленное письменным согласием. Если желания и согласия нет, налицо грубое нарушение законодательства сразу по нескольким основаниям, поэтому родителям стоит подать жалобу регуляторам или в Обрнадзор. Как минимум, стоит уточнить у директора, знает ли он о подобной инициативе своих сотрудников? Это может быть их самодеятельностью.
9. Школе поручили внести персональные данные учеников и/или родителей в сетевую базу данных
Такая обработка возможна только после заключения школой договора с оператором внешней базы данных и исполнения других предусмотренных законодательством формальных процедур. Ответственность за передачу данных и последствия этого несет школа как оператор ваших персональных данных.
- Если эта база данных является государственной и ее ведение предусмотрено федеральным законодательством, школа в рамках своих обязанностей исполняет распоряжение и не забывает отразить факт передачи данных в журнале учета. Это позволит ей ответить на возможный запрос родителей о том, как, для чего и на основании чего обрабатывались их персональные данные.
- Если ведение этой базы не предусмотрено федеральным законодательством, внесение туда данных может быть исключительно на основании письменного согласия родителей и в их интересах.
Если у вас появились сомнения в целях и надежности внешнего оператора, вы вправе ознакомиться с договором и выяснить все связанные с вашими данными вопросы.
10. Тренер спортивной секции просит от родителей согласие на общедоступное размещение данных
Для спортсменов нормальной деятельностью является участие в соревнованиях, на которых их должны объявлять, награждать, оформлять разряды, упоминать в репортажах и публикуемых программах соревнований. Очевидно, что некоторые данные для этого должны быть общедоступны. Тренер редко силен в задачах защиты данных и, скорее всего, взял тот бланк, который ему кто-то предложил. Если хотите разумно подойти к проблеме, стоит обратить внимание, какие из персональных данных должны быть общедоступны, а какие нет. И отразить это в своем тексте согласия, чтобы и участию в соревнованиях не мешать, и не давать право на публикацию тех данных, которые для спорта не обязательны в широком доступе.
24 марта в центре «Открытый мир» пройдет конференция в рамках проекта «Защитим себя вместе», одним из докладчиков которой станет член правления Лиги образования Михаил Кушнир. Главной целью мероприятия является привлечение внимания общественности к проблеме низкой образованности населения в области безопасности жизнедеятельности и гражданских прав.
ЧИТАЙТЕ ТАКЖЕ:
3 способа защитить детей от ненужной информации. Что такое информационная гигиена и как ее соблюдать«Ваш ребенок каждое утро идет на казнь — решайте, что с этим делать». 6 важных вопросов о травле в школе
Про ребенка и олимпиаду– забота и ответственность родителей. Текст составлен с ориентацией на них.