Защита персональных данных в образовательных учреждениях: права субъекта. Защита персональных данных в школе

Речь идет о поправке в закон "О внесении изменений в Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» и в Федеральный закон от 24 апреля 2008 г. № 48-ФЗ «Об опеке и попечительстве».

Федеральный взгляд

В Минобрнауки предполагают, что данные о детях должны попадать в базу с момента рождения. В личном деле должны быть указаны сведения об образовательных учреждениях и успеваемости, победах в конкурсах, олимпиадах, а также там должны содержаться сведения о родителях и ситуации в семье.

Вносить персональные данные учащихся в базу данных будут региональные и муниципальные структуры, за Минобрнауки закрепляется "методологическое и методическое обеспечение системы". Проект предполагает существенное расширение круга ведомств, которые имеют право собирать, обрабатывать и хранить персональные данные учеников. Так, в перечень включены Минздрав, Минтруд, налоговые и пенсионные органы, муниципальные и региональные образовательные структуры. Стоит отметить, что в документах правительства и Минобрнауки не содержится даже приблизительных сведений о том, сколько человек в итоге получит доступ к базе данных, и каким образом будет регламентироваться вопрос о неправомерном использовании информации об учащихся, особенно несовершеннолетних.

Ахиллесова пята

Между тем, школа уже сталкивалась с проблемами, связанными с несовершенством законодательства о защите персональных данных. В частности, осенью 2014 года, руководители двух с лишним тысяч школ, детских садов и интернатов были наказаны за публикации на сайте образовательных учреждений списков детей, при этом, согласие самих детей и родителей на размещение информации не принималось во внимание. Под запрет попали даже списки победителей олимпиад и соревнований.

Также тема безопасности персональных данных школьников становилась предметом широкого обсуждения в декабре 2014 года, когда информационно-аналитическая система "Московский регистр качества образования" ("Электронный дневник школьника") подверглась мощной DDos-атаке, которая продолжалась с 17 по 24 декабря.

В последний раз вопрос в связи с массовыми утечками в открытый доступ персональных данных, вызванными, как предполагается, недостаточной защищенностью электронных дневников и журналов, возник уже в мае 2015 года. В СМИ тогда упоминался тревожный факт - офшорная кипрская компания получила доступ к данным как минимум 5,6 млн. российских учащихся, зарегистрированных в системе электронного дневника и журнала «Дневник.ру». Интересно, что последовавшие вслед за этим проверки Роскомнадзора, каких-либо серьезных нарушений в работе компании «Дневник.ру» не выявили.

Что говорят эксперты?

Мы попросили экспертов прокомментировать степень ответственности директоров школ и педагогов в случае работы с персональными данными. Что необходимо знать, чтобы не допускать нарушений законодательства?

"Нам известны случаи, когда в школе пароль учителя или даже директора был продолжительное время известен ученикам. Приходилось принудительно сбрасывать такие пароли, заставляя пользователя системы его изменить», - рассказал Денис Кузнецов, генеральный директор компании «Веб-Мост», которая является разработчиком электронного журнала и дневника ЭлЖур.

По его словам, при работе с персональными данными, администрация школы должна четко осознавать степень ответственности, которая на ней лежит в соответствии с законодательством и компетенциями школы. Сегодня не редки случаи, когда школы, исполняя устные указания вышестоящего руководства, начинают использовать в своей работе внешние информационные системы и передавать в них персональные в данные без каких-либо нормативных оснований и даже без заключения договора с принимающей стороной (а значит без какой-либо ответственности и гарантий конфиденциальности). Сам факт такой слепой передачи на основании неправомочных распоряжений уже является нарушением закона 152-ФЗ «О персональных данных». Отвечать за него придется директору школы, а не тому, кто выдал устное распоряжение или письменно рекомендовал «начать использовать информационную систему в работе».

Однако, и учитель, и другие пользователи информационных систем должны учитывать новые особенности работы с данными, обрабатываемыми в них. Что конкретно здесь имеется ввиду? И с какими проблемами может столкнуться учитель в свете задач защиты персональных данных? Об этом нам рассказал эксперт по информационным технологиям в образовании, член правления Лиги образования, тренер образовательных программ Apple, в прошлом учитель информатики с 25-летним опытом Михаил Кушнир.

«В первую очередь, каждый учитель должен понимать, что за правила обработки персональных данных отвечает администрация школы, а контролируют их использование родители. Поэтому учителю важно соблюдать школьные правила и учитывать особенности законодательства только в рамках личных творческих инициатив.

Персональными данными является любая информация, которая имеет отношение к конкретному человеку. Ее нельзя делать доступной другим людям без согласия этого человека. Особое внимание педагог обязан уделять тем случаям, когда приходится выносить персональные данные из школы: поездки, олимпиады, диспансеризации.

Есть несколько исключений из правила получения согласия, в том числе:

когда эта информация является общедоступной;

когда передача этой информации необходима для обеспечения жизни и здоровья;

когда передача предусмотрена в федеральных законах.

Кто бы не просил у учителя персональные данные, к которым он имеет доступ, он должен убедиться в законности просьбы. Строго по закону, любая передача персональных данных должна быть запротоколирована, чтобы можно было ответить на вероятный запрос родителей, что школа делала с персональными данными. Лучше любую передачу данных из школы переадресовать администрации или, по крайней мере, согласовать с ней. Если школа не уверена в правомочности обращения за персональными данными, то вправе потребовать письменного предъявления доказательств в логике одного из указанных вариантов. Если учитель отвечает за мероприятие, предусматривающее вынесение или передачу куда-то данных учеников, нужно убедиться в наличии одного из этих условий. Надежнее всего иметь письменное согласие родителей на такие действия. Поскольку для таких мероприятий обычно издается приказ по школе, стоит вставить в него фразу о наличии таких оснований, чтобы ответственность за доказательство необходимости передачи данных не лежала на учителе.

Самая нелепая ситуация с персональными данными может сложиться тогда, когда учитель выставляет свои достижения в интернете. Например, публикует на личном сайте или школьном Интернет-ресурсе достижения учеников с подписями их имен, фамилий и класса, а порой с фото и видео подростков и их выступлений. Именно этот пример сейчас используется регуляторами закона как наиболее типичное нарушение. Нужно либо не указывать полные ФИО, либо иметь разрешение от родителей на такую публикацию с указанием ФИО ученика. Чтобы не иметь претензий от родителей на основании Гражданского кодекса (это уже не имеет отношения к 152-ФЗ), стоит заранее получить согласие на публикации изображений их детей в школьных материалах на сайте или в изданиях на бумаге. Даже для варианта без указания их ФИО. Проще всего заложить аккуратно составленную фразу прямо в заявление о приеме. Там можно предусмотреть “галочку”: с указанием ФИО или без".

Аналогичный казус может случиться, если учитель использует облачную ИТ-платформу для дистанционных образовательных технологий.

«Это очень перспективное и модное направление развития современной педагогики: "смешанное обучение" (blended learning). Часто такая деятельность проводится учителем самостоятельно без согласования с администрацией или при ее молчаливом согласии, о факте которого в конфликтной ситуации можно и забыть. Если Вы где-то зарегистрируете детей с указанием полных ФИО, Вас могут обвинить в несанкционированном распространении их персональных данных. Можно предложить родителям их зарегистрировать самостоятельно, но не все родители в состоянии это делать», - пояснил Михаил Кушнир.

По словам эксперта, если педагоги регистрируют своих учеников не по полным ФИО, а только по имени или, тем более, по известным между собой «никам», принятым в Интернете, к ним сложно будет предъявить претензии, т.к. опознать учеников нельзя (данные обезличены и особых мер защиты не требуют), минимальная защита именем/паролем во всех системах есть, а согласие на использование очевидно, раз используют. Важно иметь подтверждение, что все родители информированы и не возражают. Соответственно, такие сервисы не должны быть детям и родителям навязаны, здесь все исключительно добровольно, по обоюдному согласию.

Часто учителя возмущаются, что их упрекают за разглашение персональных данных школьников, а учительские данные порой открыто размещают на нескольких сайтах сразу. Дело в том, что часть персональных данных учителя, связанных с его квалификационными характеристиками, по закону должна быть открыта и опубликована на сайте школы. Значит, они общедоступны и их можно свободно передавать без спроса. Но в них не предусмотрены личные данные, такие как домашний адрес педагога или его мобильный телефон.

Слухи о всемогущих учениках-хакерах, взламывающих электронные журналы, сильно преувеличены. Чаще всего, школьники применяют более надежные психологические приемы, используя простые навыки работы с ИТ. Например, подделывая данные или организуя локальные информационные диверсии своим родителям: препятствуют получению информации технически на их компьютерах (меняют настройки почты, например) или отправляют сообщения от имени родителей в адрес администрации с различными просьбами и даже требованиями.

С точки зрения получения реального доступа к данным электронного журнала, намного проще воспользоваться информационной неопрятностью учителей, которые используют простые пароли (их легко подобрать), пишут их на бумажках и приклеивают к мониторам (их можно подсмотреть), заходят в журнал на глазах учеников (тоже можно подсмотреть), оставляют технику после входа без присмотра.

Чем масштабнее по охвату журнал, тем масштабнее может быть воздействие злоумышленника, получившего доступ. Захват учетной записи учителя учеником, скорее всего, будет ограничен учебными курсами учителя или школы (в зависимости от прав доступа учителя). Хуже, если окажется захвачена учетная запись завуча, у которого обычно больше прав, а они часто ведут уроки в роли учителя. Возможности выявить и исправить неправильные действия в электронном журнале у разных продуктов разные, но что-то можно сделать в любом из них.

Для специалистов ломка электронного журнала редко представляет интерес, особенно, если в нем мало пользователей. «Так что, - заключил наш эксперт, - соблюдайте правила школы и не делайте глупостей. Вот и все личные правила по работе с персональными данными для учителя».

Фото Ольги Максимович

Стоит отметить, что они прописаны в законе №152. Данные права и их реализация, в том числе, касательно , являются весьма существенными, так как за нарушение этих прав предусмотрена прямая, в частности, административная, ответственность, например, за отказ в , которую по законодательству школа, как оператор, должна предоставить. Соответственно, существуют правила, которые определены законом №152 и прописывают то, что имеет право потребовать субъект персональных данных - работник, родители либо законный представитель обучающегося.

Возможные нарушения при обработке персональных данных в школах

Целый пул нарушений при обработке персональных данных в образовательных учреждениях связан с размещением сведений, допустим, о заработной плате на информационных стендах или озвучиванием такого рода информации на совещаниях или где-либо еще в пределах образовательной организации.

Приведем пример: учредитель требует опубликовать данные о стимулирующей части заработной платы сотрудников. Сотрудники против. Как поступить? Конечно, заработная плата является частью персональных данных конкретного работника. Требования опубликовать какие-либо списки, именно не обезличенные, а с фамилиями, тем более в организации, где все друг друга знают, является незаконным и противоречит принципу защиты персональных данных в образовательных учреждениях. Вместе с тем, возможно опубликовать такие сведения обезличенно, но необходимо рассмотреть данную ситуацию несколько издалека, учесть потребности и компетенции.

Как избежать нарушений при обработке персональных данных в школе?

Очень часто образовательные организации, формулируя свои вопросы, ссылаются на учредителя. Необходимо понимать, что учредитель не всегда вправе решать многие вопросы, даже несмотря на то, что именно он финансирует конкретную образовательную организацию. Следует разобраться, имеет ли право учредитель что-либо требовать с сотрудника образовательного учреждения, опять же, учитывая, в какой форме это требуется. Как правило, это форма давления, в частности, на руководителей подразделений. В таком случае можно избежать этого, потребовав, чтобы приказ, к примеру, на обработку каких-либо персональных данных сотрудника школы, был оформлен в письменной форме, а затем сформулировав мотивированный письменный ответ в случае несогласия с решением учредителя. Подобные действия можно считать наиболее корректной формой общения с учредителем, злоупотребляющим какими-то своими правами.

В частности, по поводу опубликования либо частичной суммы, либо полной суммы заработной платы - данный вопрос находится в компетенции образовательной организации. В целом же, система оплаты труда должна быть тщательно продумана на уровне локальных актов. Как правило, когда организуют обработку персональных данных в школах, проводят аудит, какие данные и где обрабатываются. Соответственно, при анализе юристы очень часто натыкаются на проблемы, связанные либо с излишней обработкой информации, либо с ситуациями, когда превышается чья-либо компетенция и к персональным данным относятся спустя рукава, публикуя какие-либо списки с личными сведениями и нарушая при этом законодательство в плане защиты персональных данных в школах.

Еще один краеугольный камень в законе №152 - уведомление регулирующего органа, то есть Роскомнадзора. Как согласие, так и это уведомление вызывают массу вопросов в плане, надо ли его подавать. 22-я статья закона регулирует данный вопрос, при этом, законодатель пошел от обратного, то есть от случаев исключения, чем вынуждает всегда проводить аудит на предмет того, какие именно персональные данные обрабатываются в школе. Делается это для того, чтобы принять верное и как можно более безопасное решение о подаче уведомлений или же, к примеру, при проверке мотивированного ответа, почему не было подано такое уведомление.

Исключения, касающиеся обработки персональных данных в школах

Перечень таких исключений закрытый, хотя и известный. Соответственно, если хотя бы одно из этих исключений относится к конкретной ситуации, то уведомление подавать не нужно. То есть при обработке персональных данных работников школ подавать уведомление не надо, так как данные обрабатываются в рамках договора (например, с родителями касательно платных услуг), и школы просто работают с договорами, с родительской платой за услуги.

Однако, здесь есть исключения, в частности, при работе с договорами. Если информация передается третьим лицам, несмотря на то, что обрабатывается по договору, и внезапно возникает необходимость кому-то передать эту информацию, то в таком случае необходимо подать уведомление, чтобы соблюсти требования закона в плане защиты персональных данных в образовательном учреждении. На практике многие операторы предпочитают брать в таких случаях согласие, чтобы не уведомлять Роскомнадзор. Сведения берутся с целью оформления пропуска или включают в себя только ФИО, обрабатываются в государственных информационных системах.

В общем, цель такого уведомления состоит в том, чтобы надлежащим образом организовать плановые проверки, в том числе, чтобы определить позицию государства в отношении объема юридических лиц, обрабатывающих персональные данные в школах с возможными рисками нарушений. Если в рамках образовательной организации функционирует негосударственная информационная система, собственная, немуниципальная, то в таком случае нужно анализировать цели использования личных сведений относительно перечня этих юридических лиц. И не следует подавать уведомление, если образовательная организация обрабатывает персональную информацию без использования средств автоматизации.

В заключение можно сказать, что на практике могут возникнуть разного рода ситуации, способные повлечь за собой нарушение прав субъекта в плане обработки его персональных данных в школе или другом образовательном учреждении, и в данном материале были рассмотрены способы предотвращения таких нарушений, а также исключения, касающиеся подачи уведомлений в контролирующий орган.

Введение закона о персональных данных (ПДн) в сочетании с развитием электронных форм документооборота заставляет вносить коррективы в привычную работу с данными учеников школы и их родителей.

Закон о ПДн разделяет данные на 2 типа:

общедоступные
конфиденциальные

Если субъект ПДн разрешает использовать их как общедоступные , проблемой для школы остается:

правильное оформление этого разрешения
аккуратное хранение разрешений на случай проверки
разработка и хранение нормативной документации по ПДн (кто за что отвечает, где хранится...).

Если субъект ПДн не дает разрешения на использование их как общедоступных, а обезличить их невозможно или неудобно, появляется сложная проблема - согласование систем электронного документооборота со специальными организациями .

Задача оператора ПДн	Общедоступные	Конфиденциальные	Конфиденциальные	Общедоступные
Задача оператора ПДн	ПДн сотрудников		ПДн учеников
Получить согласие владельца ПДн	+	-	+ (или договор)	+
Уведомить уполномоченный орган	-	-	+ (или договор)	-
Соблюсти требования к ИСПДн	-	+	+	-
Разрешения на искл. автообработку	обычно неактуально - см. ПП РФ 687

Варианты выхода из положения на основе общедоступности ПДн

Убедить родителей дать согласие на обработку ПДн как общедоступных.

Для этого можно взять на себя обязательства по ограничению доступа к частным данным, используя стандартные общеупотребительные средства. Это делалось до принятия закона и неплохо работает. Кроме того, из этих данных никто обычно секрета не делал, а закон дает право в любое время отозвать разрешение. Полагаю, большинство родителей согласится с этим предложением.

Родители соглашаются на частичную общедоступность ПДн.

В частности, не должны вызвать больших возражений ФИО, пол, дата рождения, контактные данные. Этого достаточно для ведения ЭЖ и участия ребенка в большинстве школьных мероприятий. Принадлежность классу и школе, отметки нигде не указаны как ПДн, но для спокойствия можно упомянуть в согласии и их.

Сложности начнутся при организации таких мероприятий, для подготовки и проведения которых нужны данные из документов, общение с помощью электронных средств. Одной из острых проблем может стать регистрация ученика в информационных системах, для которых требуются паспортные данные, например, для участия в олимпиадах, для сдачи ЕГЭ, ГИА. А еще бывают поездки с приобретением билетов, диспансеризации со списками и другие привычные события, которые будут требовать каждый раз сбора согласий с участников, регистрации в специальном журнале факта передачи конфиденциальных данных третьим лицам для каждого субъекта (ребенка).

Родители должны быть готовы к подобным проблемам и издержкам времени на их разрешение. В ряде случаев это может привести к невозможности участия ребенка в некоторых мероприятиях.

Часть родителей не соглашается на общедоступность - их ПДн являются конфиденциальными .

Необходимые для учета ПДн можно хранить только в бумажном виде, как это делалось всегда. Электронный учет можно вести обезличено - под условным (вымышленным) именем или по учетному номеру «Личного дела»,- т.к. обезличенные данные приравниваются к общедоступным (класс защищенности ИСПДн К4). Думаю, это исключительный случай, вероятность которого крайне низка. Некоторые специалисты утверждают, что можно вести обработку данных без нарушения конфиденциальности, если в них из ПДн фигурирует только ФИО .

Сложность для школы в обезличенном учете - не перепутать условные идентификации.

Сложность для ребенка и родителей, кроме проблем из п.2, - привыкнуть к условной идентификации.

Более развернутое изложение проблемы ПДн для школы (т.е. все же в щадящем режиме) изложено в другой статье - « »

Защита персональных данных в школе

В потоке окружающей нас информации, иногда мы не обращаем внимания на попадающие нам сведения о близких нам людях, наших сотрудниках или подопечных. А часто, не задумываясь, сами делаем доступной эту информацию. Но при этом возмущаемся, когда приходит очередное «письмо счастья» с предложением разбогатеть или поправить свое здоровье при помощи «чудодейственных препаратов». На конверте отправитель правильно указал Ваш адрес, в письме вежливо обращаются к Вам по имени отчеству, им из-вестен Ваш возраст, проблемы со здоровьем или финансовые затруднения. Хорошо, если это рядовые мошенники и их намерения определяются Вашей наивностью, опаснее, если мотивы подпадают под более тяжкие статьи Уголовного кодекса. Еще острее воспринимаем такую информацию, если это касается близких и тем более детей.
Вышедший во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» в 2006 Федеральный Закон N 152 "О персональных данных" должен был упорядочить обращение, условия хранения и обработки, права субъекта персональных данных (ПДн) и ответственность оператора, обрабатывающего ПДн. За четыре года появился целый ряд подзаконных актов и нормативных документов, проведено огромное количество «круглых столов», семинаров, конференций. Опубликовано множество различных статей, в том числе и критической направленности в адрес Регуляторов. В настоящее время информационные системы персональных данных (ИСПДн) должны быть защищены в соответствие с данным законом до 1 января 2011г. Если считать, что четырех лет не хватило для приведения своих ИСПДн в соответствие, то времени осталось совсем мало.
Контроль за соблюдением законодательства о персональных данных осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
Защита персональных данных осуществляется в соответствии с Постановлениями Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Администрация учебного заведения, как и любая другая организация, обрабатывающая персональные данные, несет гражданскую, уголовную, административную, дисциплинарную ответственность, предусмотренную законодательством Российской Федерации).

Во вложенном файле можно ознакомиться со следующими материалами по защите персональных данных:

1. Федеральный закон № 149-ФЗ от 8 июля 2006 года «Об информации, информационных технологиях и о защите информации».

3. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах».

4. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. Постановление Правительства РФ от 18.04.2012 №343 "ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАЗМЕЩЕНИЯ В СЕТИ ИНТЕРНЕТ И ОБНОВЛЕНИЯ ИНФОРМАЦИИ ОБ ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ"