Согласие на обработку персональных данных в школу зачем
Согласие на обработку персональных данных в школу зачем
Памятка для образовательных учреждений по актуальным проблемам обработки персональных данных
ПАМЯТКА
ДЛЯ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Правовые основания размещения ПД.
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод несовершеннолетних при обработке их персональных данных, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
— Конституцией Российской Федерации от 12 декабря 1993 г.;
— Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Центральное место в системе российского законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Данный закон закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.
Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:
— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Форма согласия на обработку персональных данных (ПДн).
Обработка персональных данных осуществляется только с согласия субъекта персональных данных. В связи с тем, что в образовательном учреждении осуществляется обработка специальной категории ПДн (состояние здоровья учащихся), согласие субъекта персональных данных оформляется в письменной форме Письменное согласие субъекта персональных данных, на обработку своих персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В соответствии с нормами данной статьи, согласие в письменной форме субъекта персональных данных, на обработку его персональных данных должно включать в себя, в частности:
Примечание! Особое внимание следует обратить на заполнение графы, содержащей сведения о документе, подтверждающем полномочия родителя (законного представителя) несовершеннолетнего.
3. Обязательные документы на сайте образовательного учреждения.
Во исполнение требований ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушении законодательства Российской Федерации, устранение последствий таких нарушений.
Оператор также обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
4.Типичные нарушения, допускаемые образовательными учреждениями при обработке персональных данных обучающихся и их законных представителей.
Оператору необходимо направить Информационное письмо о внесении изменений в сведения об операторе в Реестр в бумажном виде с подписью руководителя или иного уполномоченного лица и печатью организации по форме, предусмотренной Методическими рекомендациями по уведомлению уполномоченного органа о начале обработке персональных данных и о внесении изменений в ранее представленные сведения, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.05.2017 № 94 (Приложение № 2 к Методическим рекомендациям). Либо Оператор вправе заполнить электронную форму заявления на Интернет-сайте Роскомнадзора, путем перехода по Интернет-ссылке https :// rkn . gov . ru / personal — data / forms / p 333/.
После заполнения электронной формы, Оператору необходимо распечатать файл Информационного письма, поставить подпись руководителя или иного уполномоченного лица, печать организации и направить в адрес Управления Роскомнадзора по Сибирскому федеральному округу почтовой связью.
4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных учащихся образовательных учреждений третьим лицам при ведении электронных дневников.
5. Поручение обработки персональных данных учащихся образовательных учреждений третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.
Время публикации: 14.06.2017 11:18
Последнее изменение: 01.11.2017 18:11
Согласие на обработку персональных данных: подписывать или нет?
В последнее время к нам всё чаще обращаются обеспокоенные родители, которым школа, детский сад или учреждение дополнительного образования предложили подписать согласие на обработку широчайшего набора персональных данных очень широкого спектра включающее согласие на передачу этих данных неограниченному кругу третьих лиц. Перечень может включать в себя, например, данные о зарплате родителей, рабочем и спальном месте ребёнка и т.д.. Родители опасаются, что эти данные потом могут быть использованы против семьи, например, органами ювенальной юстиции.
Как действует ювенальная юстиция? В семью приходят с проверкой обнаруживают какое-либо неблагополучие (реальное или мнимое, обнаружение производится зачастую «на глазок») и под предлогом этого неблагополучия изымают детей, заставляя родителей подписать документы, дающие на это право или служащие основанием для будущего изъятия. Это может быть согласие на помещение ребёнка в реабилитационный центр, протокол, фиксирующий факт неблагополучия и т.п. После этого вернуть себе ребёнка становится зачастую непростой задачей.
Однако есть один важный момент. Ювеналы, в лице инспектора ПДН или работника управления опеки и попечительства не могут прийти просто так. Они должны получить некий сигнал извне, свидетельствующий о возможном неблагополучии. Сейчас это может быть обращение соседей, родственников или работников образовательного учреждения. По понятным причинам все эти люди, как правило, не хотят доносить на семью и тем самым навлекать на неё беду. В отсутствии такого обращения сведения о том, как учится ребёнок, сколько получают его родители, в каких условиях живёт ребёнок и семья, могут стать основанием для визита проверяющих.
Например, сведения о том, что ребёнок получил двойку в четверти по какому-либо предмету в совокупности со сведениями о неполном составе семьи и невысоком доходе родителя могут дать повод ювеналам говорит об угрозе интересам ребёнка и начать «защищать» эти узко понимаемые интересы путём изъятия ребёнка из семьи и передачи в другую, более благополучную в финансовом отношении, семью. Которой к тому же будут платить за воспитание вашего ребёнка. И которые, не исключено, смогут «отблагодарить» ювенала за такой «подарок».
Именно поэтому приходится оберегать персональные данные о семье от попадания в руки «третьих лиц», которые вполне могут оказаться теми самыми ювеналами. Но как, защищаясь, не превратиться в современных луддитов? Ведь некоторые персональные данные действительно необходимы школам, учителям и другим участникам учебного процесса.
Впрочем, этого набора школам, как правило, не хватает, например, для ведения электронного дневника и тогда, зачастую, родителям предлагается подписать согласие на использование самого широкого перечня персональных данных для любых целей, включая передачу третьим лицам. Не обязательно школа делает это из каких-то злонамеренных побуждений. Это может быть спущенная «сверху» бумага, либо школа таким образом страхуется от будущей работы: вдруг понадобятся ещё какие-нибудь данные для новых целей, так давайте получим разрешение на всё и сразу!
Самое главное правило, которого необходимо придерживаться: Вы должны хорошо понимать, для чего даются те или иные данные. Первый пункт девятой статьи закона о защите персональных данных (ОЗПД) гласит:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».
Поэтому: обязательно досконально выясните, зачем нужны те или иные данные, как они будут использоваться. Уточните, будут ли данные передаваться третьим лицам, кому именно и зачем. Добейтесь того, чтобы всё это было отражено в подписываемом согласии.
Этот процесс может идти неформально, например, путём переговоров с директором. В этом деле школа должна быть безусловно на стороне родителей. Но если по какой-то причине администрация учебного заведения упирается и отказывается сообщить запрашиваемую информацию, либо внести необходимые исправления в Согласие на обработку персональных данных, приходится действовать официально. О том, как это сделать, смотрите нашу памятку (скоро будет).
Великий мечтатель Томас Мор грезил о государстве, в котором законы будут немногочислены и настолько просты, что их может понять и использовать каждый. Мы практически дожили это этого времени. Сейчас каждый может прочитать любой действующий закон (если есть доступ в интернет, то сделать это можно очень быстро и практически бесплатно), а язык, которым изложены законы вполне понятен практически любому гражданину (в начале XVI века, когда была написана знаменитая «Утопия» это было не так). Осталось использовать полученные преимущества себе на благо.
LiveInternetLiveInternet
—Метки
—Рубрики
—Музыка
—Кнопки рейтинга «Яндекс.блоги»
Открытка из новой бумаги
—Поиск по дневнику
—Подписка по e-mail
—Статистика
Зачем подписывать согласие на обработку персональных данных в школе.
Защита своих прав: согласие на обработку персональных данных в школах
В последнее время к нам неоднократно обращались родители детей, обучающихся в школах города Москвы с информацией о том, что школы требуют от них подписывать согласие на обработку персональных данных их детей. Родители спрашивали, законно ли это требование и могут ли они отказаться, насколько опасно давать такое согласие.
Вот как выглядят «согласие», которое предлагают родителям подписать в школах Москвы (pdf)
Правовой комментарий МОО «За права семьи»
В отношении самой формы согласия, предлагаемого к подписанию школами, отметим следующее:
1) Согласие юридически безграмотно. Речь о «подопечном» может идти только в отношении опекунов или попечителей. В случае, когда речь идет о родителях или усыновителях этот термин употребляться не может.
2) Согласие, фактически, дает школе право собирать все и любые сведения о ребенке и его семье, без каких-либо ограничений. После подписания такого согласия право на неприкосновенность Вашей частной и семейной жизни в отношениях со школой существовать, фактически, перестает.
3) Согласие дает школе право сообщать собранную информацию кому угодно, любым третьим лицам, без ограничений. В случаях, когда передача информации предусмотрена федеральным законом, школа может делать это и без Вашего согласия. Совершенно непонятно, зачем школе нужно право неограниченно распространять любую информацию о Вашем ребенке.
4) Особо следует отметить право на трансграничную передачу персональных данных, т.е. на передачу их за границу.
5) Очень странно выглядит в этом согласии обещание школы обрабатывать персональные данные в соответствии с законом, с учетом того, что подписываете документ Вы, а не школа, при этом Вы даете им школе неограниченные права на обработку данных Вашего ребенка. Разумеется, это обещание не будет иметь никакой юридической силы (впрочем, школа и без него обязана соблюдать закон).
Мы не утверждаем, что составители этого документа имели сознательные дурные намерения. Однако, подписание такого документа дает неограниченные права школе и ставит под угрозу неприкосновенность Вашей частной жизни и частной жизни Вашего ребенка.
Подписание согласия на обработку персональных данных – Ваше право, а не обязанность. Те органы и учреждения, которые вправе без вашего согласия обрабатывать Ваши персональные данные, не будут просить у Вас подписать согласие на их обработку. Помните, что обязанность предоставить Ваши персональные данные может быть установлена только федеральным законом. Во всех случаях, когда Вы обязаны предоставить свои персональные данные (или персональные данные Вашего ребенка), организация, которая их получает, обязана официально сообщить Вам, какой федеральный закон установил такую обязанность и какие юридические последствия будет иметь отказ предоставить данные (ст. 18 п. 2 Федерального закона «О персональных данных»). Если у Вас требуют Ваши данные или данные Вашего ребенка, смело требуйте указать, каким законом установлена Ваша обязанность их предоставить.
Мы настоятельно не рекомендуем подписывать согласие в приведенной выше форме, потому что столь широкими правами будет слишком легко злоупотребить. С учетом того, что в последнее время появляется все больше региональных нормативных актов, навязывающих учителям функции контролеров и доносителей в отношении семей, подписание такого документа отнюдь не выглядит безобидно.
Особую озабоченность вызывает согласие на обработку персональных данных ребенка автоматизированным способом. Это, в сочетании с правом на распространение и передачу персональных данных третьим лицам, дает школе право, в частности, выкладывать персональные данные Вашего ребенка в интернет, помещать их в различные, не находящиеся под контролем школы, базы данных. К примеру, существует проект «Электронный дневник», к которому, в настоящее время, подключено более 8000 школ со всей России. Хотя авторы проекта утверждают, что данные в нем защищены – к сожалению, в таких случаях всегда возможна утечка информации, в результате которой данные об успеваемости, учебных работах, оценках ученика могут стать доступны кому угодно, что нежелательно.
При этом понятно, что школа нуждается в возможности работать с некоторыми персональными данными учениками. Поэтому согласие на обработку персональных данных мы подписать все-таки советуем, однако это должен быть совершенно другой текст.
Вы должны предоставить школе право обрабатывать только узкий круг конкретных, действительно необходимых ей видов персональных данных. Не давайте школе права обрабатывать их автоматизированным способом. Не давайте права передавать эти данные каким-либо третьим лицам, органам или организациям. Пусть каждый раз, когда такая передача будет необходима, школа обращается к Вам, информируя Вас о цели этой передаче и о том, какие именно данные необходимо передать, и получает Ваше отдельное письменное согласие.
Мы рекомендуем Вам, вместо подписания предложенного Вам «согласия» подписать и передать школе другой документ, отражающий наши рекомендации. Вы можете скачать и заполнить его самостоятельно:
Образец согласия на обработку персональных данных школой, не создающий опасности нарушения прав Вашей семьи
В случае, если Вы уже заполнили и подписали «опасное» согласие на обработку персональных данных, помните, что Вы имеете право отозвать это согласие (ст. 9 п. 1 Федерального закона «О персональных данных»). При отзыве Вашего согласия школа обязана в течение трех дней уничтожить собранные персональные данные (ст. 21 п. 5 Федерального закона «О персональных данных»).
Однако, прежде, чем отзывать данное Вами согласие, Вам следует выяснить, какие данные были собраны и кому они передавались. Ваше право на это предусмотрено ст. 14 Федерального закона «О персональных данных». Для этого нужно подать правильный запрос, по которому школа должна сообщить Вам эти данные в течение десяти рабочих дней (ст. 20 п. 1 Федерального закона «О персональных данных»).
Скачайте, заполните и подайте запрос на получение информации о персональных данных:
Образец запроса на получение информации о персональных данных в школу (MS Word)
Получив нужную информацию, подайте в школу отзыв согласия на обработку персональных данных:
Образец отзыва согласия на обработку персональных данных ребенка школой (MS Word)
Помните, что школа обязана уничтожить персональные данные Вашего ребенка в течение трех дней. Чтобы школе не пришлось снова собирать необходимую ей часть персональных данных, сразу же предоставьте ей «правильное» согласие на обработку персональных данных. В этом случае, школа будет обязана уничтожить только те персональные данные, обработка которых не предусмотрена Вашим новым согласием.
Будьте внимательны. Имейте в виду, что защищать права Вашего ребенка, в том числе и его право на неприкосновенность частной жизни – это не только Ваше право, но и Ваша обязанность (ст. 64 п. 1 Семейного кодекса РФ).
Для получения образцов документов пройдите по ссылке :
Стоит ли ругаться со школой из-за персональных данных
В последнее время в школах всё чаще случаются конфликты из-за несогласия родителей с различными вариантами обработки персональных данных. Иногда школа и родители просто не могут понять друг друга или говорят о разных вещах. Михаил Кушнир рассказывает о пяти важных аспектах, которые помогут уладить или предотвратить недоразумения, связанные с законом 152-ФЗ «О персональных данных».
К счастью для школ, внимание родителей к персональным данным довольно редкое явление, но весьма неприятное:
Чтобы требования были адекватными, нужно освоить основные понятия и принципы закона. Я выделю здесь несколько ключевых особенностей, но полезно прочитать закон полностью — он небольшой.
Школа обрабатывает персональные данные учителей, учеников и их родителей. Обработку данных учителей я рассматривать здесь не буду. В отношении родителей обработка должна быть весьма ограниченная: убедиться, что школа имеет дело именно с родителями своих учеников и обеспечить с ними продуктивную коммуникацию.
1. Что такое «персональные данные»?
По закону, это любая информация, связанная с конкретным человеком. Это значит, что ее можно обрабатывать только в соответствии с теми целями, для которых персональные данные были переданы. Понятие цели обработки — не просто фигура речи, а важный критерий законности обработки.
2. Виды данных и защита данных
По закону оператор персональных данных отвечает за их сохранность. Важно различать понятие «персональные данные» и требования по их защищенности: менее строгие требования к защищенности не отменяют принципов отношения к данным как персональным. Требования по защите персональных данных зависят от их вида:
3. Правила обработки персональных данных в школе должны быть легко доступны, опубликованы на официальном сайте. Родителей с ними обязаны ознакомить под роспись. Умные школы предусматривают в заявлении на прием фразу «с правилами обработки данных ознакомлен». Особо умные там же предусматривают фразу «разрешаю публикацию фото- и видео- изображений моего ребенка в материалах школы при отражении событий, связанных с образовательным процессом». Это связано не с 152-ФЗ, а с ГК РФ, но очень похоже на его логику: отсутствие такого согласия может стать серьезной головной болью школы.
4. Согласие на обработку персональных данных
Тут больше всего глупостей происходит:
Важно понимать, что согласие на обработку ваших персональных данных нужно обязательно, но не обязательно письменное. Есть несколько исключений в законе, когда ваше согласие не требуется, но их крайне мало. Если вы сдали данные ребенка в школу в рамках приемных мероприятий, то по факту согласились с обработкой его персональных данных для целей обучения. Эти цели должны либо быть прописаны в договоре на образовательные услуги, либо подразумеваться неявно из образовательного законодательства. Если обработка требует чего-то не предусмотренного в законе «Об образовании в РФ», нужно иметь доказательство ее правомочности — проще всего при наличии письменного согласия.
Рассмотрим типичную ситуацию организации поездки с детьми, для которой нужно покупать групповые билеты, готовить списки участников. Если поездка оформляется как мероприятие в рамках образовательных отношений, то доказательства обоснованности такой обработки не нужны. Для этого приказ о проведении мероприятия должен быть выполнен в формулировках с соответствующими тезисами 152-ФЗ.
Во всех аналогичных ситуациях вне типового образовательного процесса нужно учитывать эту специфику закона, чтобы школа всегда имела доказательства правомочности обработки данных учеников: либо в рамках образовательных отношений, либо по письменному согласию, либо в рамках иных федеральных законов.
В любой момент вы можете отозвать согласие на обработку персональных данных, в каком бы виде вы его не давали: письменно или по факту начала деловых отношений. Но нужно понимать, что такой отзыв будет иметь административные последствия, потому что оператор не сможет продолжать обработку ваших данных в прежнем режиме.
Яркой иллюстрацией важности согласия является письмо Минобрнауки от 4.3.2015 N 03-155 с ответом на вопрос, может ли родитель отказаться от передачи данных из школы в государственную информационную систему сдачи ОГЭ/ЕГЭ? Хотя для государственных систем письменное согласие субъекта можно не получать, отказаться родитель может! Но в этом случае ребенок не может быть допущен к сдаче экзамена.
4а. Согласие на передачу данных для обработки
Передача данных третьим лицам является одним из видов обработки персональных данных. Такая передача является существенной особенностью для организации требуемых по закону мероприятий по защите. Без согласия самого субъекта данные могут передаваться третьим лицам только в предусмотренных федеральными законами случаях, в частности, когда есть угроза жизни или здоровью людей.
Для доказательства такого согласия обычно школа требует письменное подтверждение. Это актуально, например, для работы в электронном классном журнале, хранящем данные где-то в сети Интернет. Проблема отражена для электронных журналов отдельным письмом Минобрнауки России от 21.10.2014 N АК-3358/08.
5. Всегда ли вы знаете, где обрабатываются ваши данные?
Если у вас есть подозрение, что ваши данные без вашего согласия кому-то передавались и/или что они используются для других целей, чем вы их передавали оператору, имеет смысл написать запрос и снять сомнения.
Любой субъект персональных данных в любой момент может потребовать от оператора отчет о том, как используются его данные, кому они передавались и с какой целью. Ответ на такие запросы должен занимать не больше месяца. Сомнение могут вызвать условия обработки данных у контрагента вашей школы — внешнего оператора, — например, оператора сетевого электронного журнала.
Примеры поводов для сомнения:
Договор может быть важен, чтобы понять, кто и как обрабатывает данные вашего ребенка, можно ли ему доверять, поскольку школа эту обязанность ему перепоручила. Бывают вопиющие случаи, когда никто не может ответить на вопрос, какая система обрабатывает ваши данные, кто ее оператор, а школа регулярно отправляет в эту систему данные, причем администрация школы внимательно контролируется органами власти в отношении обеспечения этой регулярности.
Только квалифицированное обращение родителей может заставить такие ситуации разрешаться законным образом.
Следует иметь в виду, что в защите персональных данных школа не специалист и вряд ли хорошо понимает, насколько хорошо это делает ее партнер по обработке. Это не значит, что все плохо, но, если у вас появились сомнения, важно знать свои права и грамотно ими пользоваться. Более строгое изложение проблематики 152-ФЗ в школе доступно в подборке нормативных актов на сайте Ружэль.