Обработка персональных данных в школе что это
Обработка персональных данных в школе что это
Памятка для образовательных учреждений по актуальным проблемам обработки персональных данных
ПАМЯТКА
ДЛЯ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Правовые основания размещения ПД.
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод несовершеннолетних при обработке их персональных данных, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
— Конституцией Российской Федерации от 12 декабря 1993 г.;
— Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Центральное место в системе российского законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Данный закон закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.
Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:
— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Форма согласия на обработку персональных данных (ПДн).
Обработка персональных данных осуществляется только с согласия субъекта персональных данных. В связи с тем, что в образовательном учреждении осуществляется обработка специальной категории ПДн (состояние здоровья учащихся), согласие субъекта персональных данных оформляется в письменной форме Письменное согласие субъекта персональных данных, на обработку своих персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В соответствии с нормами данной статьи, согласие в письменной форме субъекта персональных данных, на обработку его персональных данных должно включать в себя, в частности:
Примечание! Особое внимание следует обратить на заполнение графы, содержащей сведения о документе, подтверждающем полномочия родителя (законного представителя) несовершеннолетнего.
3. Обязательные документы на сайте образовательного учреждения.
Во исполнение требований ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушении законодательства Российской Федерации, устранение последствий таких нарушений.
Оператор также обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
4.Типичные нарушения, допускаемые образовательными учреждениями при обработке персональных данных обучающихся и их законных представителей.
Оператору необходимо направить Информационное письмо о внесении изменений в сведения об операторе в Реестр в бумажном виде с подписью руководителя или иного уполномоченного лица и печатью организации по форме, предусмотренной Методическими рекомендациями по уведомлению уполномоченного органа о начале обработке персональных данных и о внесении изменений в ранее представленные сведения, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.05.2017 № 94 (Приложение № 2 к Методическим рекомендациям). Либо Оператор вправе заполнить электронную форму заявления на Интернет-сайте Роскомнадзора, путем перехода по Интернет-ссылке https :// rkn . gov . ru / personal — data / forms / p 333/.
После заполнения электронной формы, Оператору необходимо распечатать файл Информационного письма, поставить подпись руководителя или иного уполномоченного лица, печать организации и направить в адрес Управления Роскомнадзора по Сибирскому федеральному округу почтовой связью.
4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных учащихся образовательных учреждений третьим лицам при ведении электронных дневников.
5. Поручение обработки персональных данных учащихся образовательных учреждений третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.
Время публикации: 14.06.2017 11:18
Последнее изменение: 01.11.2017 18:11
Самые типичные ситуации, которые могут произойти в школе по 152 ФЗ «О защите персональных данных»
Родителей просят подписать согласие на обработку данных, в котором много слов и ничего не понятно
Согласие дается только на те виды обработки данных, которые действительно Вам нужны ‐ в Ваших интересах. Если предлагаемый бланк согласия не отражает Ваших интересов, то он вообще вне принципов закона.
Чтобы облегчить себе жизнь, школы часто распространяют бланки придуманных кем-то согласий (возникающих обычно в недрах местного органа власти), но сами не могут внятно объяснить, что и почему там написано. Авторы этих текстов пытаются предусмотреть все мыслимые и немыслимые ситуации, которые только могут возникнуть. Поэтому такие согласия непонятны и неконкретны. Это нарушение принципов закона.
Такое согласие может означать полную свободу школы над Вашими данными. Вряд ли школа планирует сознательную диверсию, но в конфликтной ситуации такое согласие может сработать против Вас. Затем можно, конечно, попытаться оспорить соответствие этого документа принципам закона. Но Вам скажут — Вы сами его подписали.
Если Вы считаете, что в век глобальных сетей хранение персональных данных— задача бессмысленная, можете спокойно подписывать и не морочить себе и школе голову. В этом случае остальные ситуации можно не изучать. Но если тема кажется Вам важной, то нужно запомнить три простые вещи:
1.Вы имеете полное право написать согласие по собственному разумению.
2.Вы имеете право в любое время отозвать или переделать свое согласие.
3.Вы имеете право в любой момент потребовать от школы отчет о действиях с Вашими персональными данными.
Я не дам школе согласия обрабатывать персональные данные моего ребенка
Школе и не требуется Ваше согласие. В этом случае школа действует в рамках законодательства: раз Вы отдали ребенка в школу, значит, Вы согласились со школьными правилами обработки данных. Если в правилах что-то выходит за рамки закона или же на практике не соблюдаются правила, то Вы имеете право обратиться к регуляторам или в Обрнадзор.
Я запрещаю школе передавать персональные данные моего ребенка куда-либо
Стоит отметить, что отказ от передачи данных (или запрет) и отказ от предоставления согласия — это разные ситуации. В некоторых случаях, предусмотренных законодательством, не требуется письменного согласия на передачу данных внешним операторам. У Вас есть право запретить подобную передачу, но для этого нужно написать заявление и быть готовым к издержкам. Кроме того, при отказе передавать данные в государственную информационную систему итоговой аттестации Ваш ребенок не сможет сдавать эти экзамены.
Я не дам согласия на обработку данных внешними операторами
Это необходимо для ведения учета успеваемости во внешнем электронном журнале, для участия в олимпиадах, организации поездок и иных ситуаций обработки данных вне школы. Задачи разные, поэтому и подход к ним Вы можете осуществлять разный. Помните, что при отказе в передаче данных организаторам внешних олимпиад или поездок вашего ребенка вполне могут не допустить к участию.
От нас хотят согласие на публикацию фото-и видео-изображений ребенка, на право указать его имя под фотографией на сайте
Разрешение на фото-и видео-изображения нужны, чтобы избежать обвинений в неправомочном отражении изображений учеников в школьных публичных материалах. Общие групповые сюжеты под ограничения ГК РФ не попадают, а индивидуальные могут вызвать претензии. Например, изображение победителей в олимпиадах или ролевые фото из школьных спектаклей, спортивных мероприятий и т. п. К образовательному процессу это согласие отношения не имеет, но его отсутствие может осложнить задачи школы по оформлению своих материалов.
Право подписывать имена к изображениям учеников и/или их родителей в публичных материалах школы, на сайте школы связано с персональными данными. Регуляторы неоднократно указывали на подобные публикации как на типичное нарушение закона. Если Вы дадите письменное согласие, школа сможет изображение Вашего ребенка законно подписать. Публикация данных педагогов и администрации предусмотрена в законе и письменного согласия не требует.
Учитель привлекает учеников к заполнению информационных систем персональными данными
Школа должна определить тех лиц, которые допущены к обработке персональных данных, а они должны подписать обязательство по неразглашению данных. Правилами обработки персональных данных должны быть предусмотрены процедуры, которые препятствуют доступу к данным тем людей, которые не должны с ними работать. Данные на бумажных носителях должны храниться в недоступном для непосвященных месте. Данные на электронных носителях должны быть защищены электронными средствами. Описанная ситуация не отвечает этим условиям. Если появится жалоба, будут разбираться с ответственностью тех, кто и почему допустил к данным посторонних лиц.
Родителям разослали по почте списки учеников с адресами и ФИО родителей с просьбой заполнить дополнительные данные родителей
Родители предоставили данные в школу для учета успехов и посещаемости своих детей, для информирования их об этом. Сбор дополнительных данных о родителях законом не предусмотрен, как и организация взаимного знакомства детей и родителей. Рассылка персональных данных по общедоступным сетям несет серьезные риски их неконтролируемой утечки. Поскольку такие виды обработки данных не предусмотрены законодательством, требуется желание субъектов данных, подкрепленное письменным согласием. Если желания и согласия нет, налицо грубое нарушение законодательства сразу по нескольким основаниям, поэтому родителям стоит подать жалобу регуляторам или в Обрнадзор. Как минимум, стоит уточнить у директора, знает ли он о подобной инициативе своих сотрудников? Это может быть их самодеятельностью.
Школе поручили внести персональные данные учеников и/или родителей в сетевую базу данных
Такая обработка возможна только после заключения школой договора с оператором внешней базы данных и исполнения других предусмотренных законодательством формальных процедур. Ответственность за передачу данных и последствия этого несет школа как оператор Ваших персональных данных.
Если эта база данных является государственной и ее ведение предусмотрено федеральным законодательством, школа в рамках своих обязанностей исполняет распоряжение и не забывает отразить факт передачи данных в журнале учета. Это позволит ей ответить на возможный запрос родителей о том, как, для чего и на основании чего обрабатывались их персональные данные.
Если ведение этой базы не предусмотрено федеральным законодательством, внесение туда данных может быть исключительно на основании письменного согласия родителей и в их интересах.
Если у Вас появились сомнения в целях и надежности внешнего оператора, Вы вправе ознакомиться с договором и выяснить все связанные с вашими данными вопросы.
Вашему вниманию был представлен перечень пожалуй основных ситуаций, связанных с соблюдением 152 ФЗ «О защите персональных данных» в школьных учреждениях РФ.
Благодарю за внимание и надеюсь на Вашу связь в комментариях. Желаю всем успехов во всех делах, т.к. ни все сейчас находятся на самоизоляции и трудятся в непростых условиях.
Родителям, которые сейчас вынуждены заниматься дома с детьми, хотел бы пожелать терпения и будьте снисходительны к Вашим детям, им тоже сейчас нелегко.
Задумывались о подписании согласия на обработку персональных данных?
Проголосуйте, чтобы увидеть результаты
Да, любой подписываемый документ изучаю
Нет, считаю этот доумент можно подписывать не читая
Теперь задумываюсь, в следующий раз прежде, чем подписать-изучу
ВЕРСИЯ ДЛЯ СЛАБОВИДЯЩИХ / ОБЫЧНАЯ ВЕРСИЯ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Методические рекомендации для образовательных учреждений по соблюдению законодательства в области персональных данных
Методические рекомендации (скачать)
Презентация 1 «Защита персональных данных детей в информационно-телекоммуникационной сети «Интернет» (скачать)
Презентация 2 (скачать)
27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.
Закон вступил в силу 1 июля 2011 года. МОБУ СОШ № 5 является оператором, осуществляющим обработку персональных данных сотрудников, учащихся и их родителей (законных представителей) школы, а также физических лиц, состоящих в иных договорных отношениях с МЛБУ СОШ №5. Школа занесена в РЕЕСТР операторов, осуществляющих обработку персональных данных на сайте РОСКОМНАДЗОРА.
Сейчас в нашей школе собираются, хранятся, обрабатывается, предаются в вышестоящие инстанции персональные данные сотрудников, детей. Поэтому руководителю нашей школы необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных.
Таким образом, в настоящее время проблема защиты персональных данных является очень актуальной.
Действие закона распространяется не только на бумажные носители, но и на электронные средства, такие как автоматизированные информационные системы и электронные базы данных.
Для соблюдения требований закона «О персональных данных» (ПДн) школа должна получить от сотрудников и родителей (законных представителей) каждого ученика, СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 ФЗ № 152- «О персональных данных).
МОБУ СОШ № 5 обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.
Правовое основание обработки персональных данных:
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Закон РФ 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»»;
Правовое основание защиты персональных данных:
• Закон РФ «О персональных данных» №152-ФЗ от 27.07.2006г.;
• Статья 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;
• Статья 137 УК РФ «Нарушение неприкосновенности частной жизни».
Категории персональных данных учащихся и сотрудников школы:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей учащихся (законных представителей), сведения об учебном процессе и занятости обучающегося ( перечень изученных, изучаемых предметов и факультативных курсов, успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной и итоговой аттестации, данные о посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения и др.; сведения о гражданстве, паспортные данные, сведения об образовании, воинской обязанности, трудовом стаже, о предыдущем месте работы, составе семьи, сведения о количестве детей с целью получения подарков, заработной плате по письменному запросу банка с целью получения мной кредита в документальной/электронной форме, социальных льготах, адрес места жительства, номера личных телефонов, фотографии, информация об образовании, страховом пенсионом свидетельстве, ИНН, сведения об аттестации, повышении квалификации, профессиональной переподготовке, сведения о наградах (поощрениях, почетных званиях).
Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также иными нормативно-правовыми актами Российской Федерации в области образования.
Оператор вправе:
• размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: учащимся, родителям (законным представителям), а также административным и педагогическим работникам школы;
• размещать фотографии сотрудника, учащегося (фамилию, имя, отчество на доске почета, на стендах в помещениях школы и на официальном сайте школы);
• предоставлять данные сотрудника, учащегося для участия в школьных, городских, окружных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.,
• производить фото- и видеосъемки сотрудника, учащегося для размещения на официальном сайте школы и СМИ, с целью формирования имиджа школы,
• включать обрабатываемые персональные данные сотрудника, учащегося в списки (реестры) и отчетные формы, предусмотренные нормативными документами окружного, муниципального и школьного уровней, регламентирующих предоставление отчетных данных.
МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ, НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!
МОБУ СОШ №5 активно внедряет информационные технологии во все направления деятельности.
Некоторые сотрудники, родители обеспокоены необходимостью подписывать СОГЛАСИЕ на обработку персональных данных. Смеем Вас уверить, что причин для беспокойства нет. Ваше согласие будет храниться в МОБУ СОШ №5, распространяться только на сайте МОБУ СОШ №5. Любой другой оператор ПДн должен будет получать от вас разрешение на обработку ваших персональных данных. Мы используем современные общеизвестные средства защиты от несанкционированного доступа к информационной системе ПДн. Обещаем заботливо относиться к Вашим персональным данным и персональным данным Вашего ребенка.
В любой момент на основании Закона РФ «О персональных данных» Вы можете изменить своё решение об общедоступности данных.
ДАННОЕ СОГЛАСИЕ ЗАЩИЩАЕТ ВАШИ ДАННЫЕ, КОТОРЫЕ ВЫ УЖЕ ПРЕДОСТАВИЛИ НАМ
ПРИ ПОСТУПЛЕНИИ РЕБЕНКА В МОБУ СОШ №5
С нормативно-правовыми и локальными актами и формами согласия можно знакомиться у директора школы. Согласия на обработку персональных данных ребенка и родителя (законного представителя) можно получить у ваших классных руководителей.
Просим отнестись с пониманием!
С уважением, администрация МОБУ СОШ №5
Ответы на часто задаваемые вопросы:
Могут ли родители дать согласие на обработку персональных данных своих несовершеннолетних детей?
Согласно части 1 статьи 64 Семейного кодекса родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий. Гражданская дееспособность гражданина возникает в полном объеме с наступлением совершеннолетия, то есть по достижении восемнадцатилетнего возраста (часть 1 статьи 21 Гражданского кодекса). Частью 6 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» установлено, что в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
Таким образом, обработка персональных данных несовершеннолетних детей может осуществляться только с письменного согласия родителей или иных законных представителей.
Могут ли родители (законные представители) не давать свое согласие на обработку персональных данных ребенка? Чем это грозит?
Школа будет оперировать только фамилией, именем и отчеством ребенка, поскольку согласно Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т.е. это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект. Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными, и на их обработку согласие не требуется.
НО! Что делать с личным делом и медицинской картой ребенка? Вы их заберете? Даже если нет, то школа без подписанного вами согласия не сможет использовать (обрабатывать и распространять) ПДн. В соответствии с п. 38 Порядка проведения единого государственного экзамена проводится автоматизированное распределение участников ГИА и организаторов по аудиториям. Если нет согласия на обработку персональных данных, то обучающиеся 9 и 11 классов будут отсутствовать в списках при распределении аудиторий и не будут внесены в Российскую базу данных выпускников, что приведет к невозможности участия в сдачи ГИА (получение бланков, контрольно измерительных материалов), а следовательно ребенок не сможет сдавать экзамены и не получит документ об образовании. Если вы отказываетесь предоставлять ПДн, то ваш ребенок не сможет получить медицинское обслуживание, не сможет участвовать в олимпиадах и конкурсах и т.д.
Если вы настаиваете на отказе дать согласие на обработку персональных данных, вам необходимо принести в школу письменное заявление!
Зачем (почему) в согласии на обработку персональных данных должны указываться паспортные данные родителя (законного представителя)?
Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Правовое основание защиты персональных данных: