Что такое обработка персональных данных в школе
LiveInternetLiveInternet
—Метки
—Рубрики
—Музыка
—Кнопки рейтинга «Яндекс.блоги»
Открытка из новой бумаги
—Поиск по дневнику
—Подписка по e-mail
—Статистика
Зачем подписывать согласие на обработку персональных данных в школе.
Защита своих прав: согласие на обработку персональных данных в школах
В последнее время к нам неоднократно обращались родители детей, обучающихся в школах города Москвы с информацией о том, что школы требуют от них подписывать согласие на обработку персональных данных их детей. Родители спрашивали, законно ли это требование и могут ли они отказаться, насколько опасно давать такое согласие.
Вот как выглядят «согласие», которое предлагают родителям подписать в школах Москвы (pdf)
Правовой комментарий МОО «За права семьи»
В отношении самой формы согласия, предлагаемого к подписанию школами, отметим следующее:
1) Согласие юридически безграмотно. Речь о «подопечном» может идти только в отношении опекунов или попечителей. В случае, когда речь идет о родителях или усыновителях этот термин употребляться не может.
2) Согласие, фактически, дает школе право собирать все и любые сведения о ребенке и его семье, без каких-либо ограничений. После подписания такого согласия право на неприкосновенность Вашей частной и семейной жизни в отношениях со школой существовать, фактически, перестает.
3) Согласие дает школе право сообщать собранную информацию кому угодно, любым третьим лицам, без ограничений. В случаях, когда передача информации предусмотрена федеральным законом, школа может делать это и без Вашего согласия. Совершенно непонятно, зачем школе нужно право неограниченно распространять любую информацию о Вашем ребенке.
4) Особо следует отметить право на трансграничную передачу персональных данных, т.е. на передачу их за границу.
5) Очень странно выглядит в этом согласии обещание школы обрабатывать персональные данные в соответствии с законом, с учетом того, что подписываете документ Вы, а не школа, при этом Вы даете им школе неограниченные права на обработку данных Вашего ребенка. Разумеется, это обещание не будет иметь никакой юридической силы (впрочем, школа и без него обязана соблюдать закон).
Мы не утверждаем, что составители этого документа имели сознательные дурные намерения. Однако, подписание такого документа дает неограниченные права школе и ставит под угрозу неприкосновенность Вашей частной жизни и частной жизни Вашего ребенка.
Подписание согласия на обработку персональных данных – Ваше право, а не обязанность. Те органы и учреждения, которые вправе без вашего согласия обрабатывать Ваши персональные данные, не будут просить у Вас подписать согласие на их обработку. Помните, что обязанность предоставить Ваши персональные данные может быть установлена только федеральным законом. Во всех случаях, когда Вы обязаны предоставить свои персональные данные (или персональные данные Вашего ребенка), организация, которая их получает, обязана официально сообщить Вам, какой федеральный закон установил такую обязанность и какие юридические последствия будет иметь отказ предоставить данные (ст. 18 п. 2 Федерального закона «О персональных данных»). Если у Вас требуют Ваши данные или данные Вашего ребенка, смело требуйте указать, каким законом установлена Ваша обязанность их предоставить.
Мы настоятельно не рекомендуем подписывать согласие в приведенной выше форме, потому что столь широкими правами будет слишком легко злоупотребить. С учетом того, что в последнее время появляется все больше региональных нормативных актов, навязывающих учителям функции контролеров и доносителей в отношении семей, подписание такого документа отнюдь не выглядит безобидно.
Особую озабоченность вызывает согласие на обработку персональных данных ребенка автоматизированным способом. Это, в сочетании с правом на распространение и передачу персональных данных третьим лицам, дает школе право, в частности, выкладывать персональные данные Вашего ребенка в интернет, помещать их в различные, не находящиеся под контролем школы, базы данных. К примеру, существует проект «Электронный дневник», к которому, в настоящее время, подключено более 8000 школ со всей России. Хотя авторы проекта утверждают, что данные в нем защищены – к сожалению, в таких случаях всегда возможна утечка информации, в результате которой данные об успеваемости, учебных работах, оценках ученика могут стать доступны кому угодно, что нежелательно.
При этом понятно, что школа нуждается в возможности работать с некоторыми персональными данными учениками. Поэтому согласие на обработку персональных данных мы подписать все-таки советуем, однако это должен быть совершенно другой текст.
Вы должны предоставить школе право обрабатывать только узкий круг конкретных, действительно необходимых ей видов персональных данных. Не давайте школе права обрабатывать их автоматизированным способом. Не давайте права передавать эти данные каким-либо третьим лицам, органам или организациям. Пусть каждый раз, когда такая передача будет необходима, школа обращается к Вам, информируя Вас о цели этой передаче и о том, какие именно данные необходимо передать, и получает Ваше отдельное письменное согласие.
Мы рекомендуем Вам, вместо подписания предложенного Вам «согласия» подписать и передать школе другой документ, отражающий наши рекомендации. Вы можете скачать и заполнить его самостоятельно:
Образец согласия на обработку персональных данных школой, не создающий опасности нарушения прав Вашей семьи
В случае, если Вы уже заполнили и подписали «опасное» согласие на обработку персональных данных, помните, что Вы имеете право отозвать это согласие (ст. 9 п. 1 Федерального закона «О персональных данных»). При отзыве Вашего согласия школа обязана в течение трех дней уничтожить собранные персональные данные (ст. 21 п. 5 Федерального закона «О персональных данных»).
Однако, прежде, чем отзывать данное Вами согласие, Вам следует выяснить, какие данные были собраны и кому они передавались. Ваше право на это предусмотрено ст. 14 Федерального закона «О персональных данных». Для этого нужно подать правильный запрос, по которому школа должна сообщить Вам эти данные в течение десяти рабочих дней (ст. 20 п. 1 Федерального закона «О персональных данных»).
Скачайте, заполните и подайте запрос на получение информации о персональных данных:
Образец запроса на получение информации о персональных данных в школу (MS Word)
Получив нужную информацию, подайте в школу отзыв согласия на обработку персональных данных:
Образец отзыва согласия на обработку персональных данных ребенка школой (MS Word)
Помните, что школа обязана уничтожить персональные данные Вашего ребенка в течение трех дней. Чтобы школе не пришлось снова собирать необходимую ей часть персональных данных, сразу же предоставьте ей «правильное» согласие на обработку персональных данных. В этом случае, школа будет обязана уничтожить только те персональные данные, обработка которых не предусмотрена Вашим новым согласием.
Будьте внимательны. Имейте в виду, что защищать права Вашего ребенка, в том числе и его право на неприкосновенность частной жизни – это не только Ваше право, но и Ваша обязанность (ст. 64 п. 1 Семейного кодекса РФ).
Для получения образцов документов пройдите по ссылке :
«Я запрещаю школе передавать данные о ребенке куда-либо»
«Мел» продолжает рассказывать про конфликтные ситуации, возникающие в школе вокруг обработки персональных данных. В первой части Михаил Кушнир рассказал об основных аспектах закона 152-ФЗ «О персональных данных». А теперь предлагает на практике разобрать десять самых типичных ситуаций, которые могут произойти в школе.
1. Родителей просят подписать согласие на обработку данных, в котором много слов и ничего не понятно
Согласие дается только на те виды обработки данных, которые действительно вам нужны ‐ в ваших интересах. Если предлагаемый бланк согласия не отражает ваших интересов, то он вообще вне принципов закона.
Чтобы облегчить себе жизнь, школы часто распространяют бланки придуманных кем-то согласий (возникающих обычно в недрах местного органа власти), но сами не могут внятно объяснить, что и почему там написано. Авторы этих текстов пытаются обтекаемо предусмотреть все мыслимые и немыслимые ситуации, которые только могут возникнуть. Поэтому такие согласия непонятны и неконкретны. Это тоже нарушение принципов закона.
Такое согласие может означать полную свободу школы над вашими данными. Вряд ли школа планирует сознательную диверсию, но в конфликтной ситуации такое согласие может сработать против вас. Затем можно, конечно, попытаться оспорить соответствие этого документа принципам закона. Но вам скажут — вы сами его подписали.
Если вы считаете, что в век глобальных сетей хранение персональных данных— задача бессмысленная, можете спокойно подписывать и не морочить себе и школе голову. В этом случае остальные ситуации можно не изучать. Но если тема кажется вам важной, то нужно запомнить три простые вещи:
1.Вы имеете полное право написать согласие по собственному разумению.
2.Вы имеете право в любое время отозвать или переделать свое согласие.
3.Вы имеете право в любой момент потребовать от школы отчет о действиях с вашими персональными данными.
2. Я не дам школе согласия обрабатывать персональные данные моего ребенка
Школе и не требуется ваше согласие. В этом случае школа действует в рамках законодательства: раз вы отдали ребенка в школу, значит, вы согласились со школьными правилами обработки данных. Если в правилах что-то выходит за рамки закона или же на практике не соблюдаются правила, то вы имеете право обратиться к регуляторам или в Обрнадзор.
3. Я отзываю согласие на обработку персональных данных моего ребенка, а учить его обязаны по закону «Об образовании в РФ»
Эта ситуация часто возникает из абстрактного теоретического интереса или параноидального непонимания сущности проблемы защиты данных. Во всем нужен здравый смысл. Если вы волнуетесь о приватности своих данных, то можете эпизодически запрашивать у школы отчет: кому, когда и на каком основании она передавала данные.
Вы можете письменно заявить об отзыве согласия на обработку, но после этого школа не сможет вести учет успехов вашего ребенка. Формально ваш ребенок будет находиться школьной базе, и школа будет получать на него госфинансирование. Но учета его участия в школьной жизни вестись не будет. Ребенок окажется вольнослушателям и не сможет принимать участия в любых мероприятиях, где требуется составлять списки.
К тому же информацию о ребенке вы сможете получать только при личном обращении к каждому учителю. При этом он будет рассказывать о вашем ребенке по памяти, так как фиксировать факты о нем вы запретили. Кроме того, во время таких визитов школа вправе требовать подтверждающие документы, которые разрешают вам представлять интересы ребенка. Если в школе установлена пропускная система, то могут возникнуть сложности с пропуском: от вас потребуется приводить его каждый день на уроки, имея при себе полный комплект документов. Нужно ли вам такое обучение, такое информирование и такой режим?
4. Я запрещаю школе передавать персональные данные моего ребенка куда-либо
Стоит отметить, что отказ от передачи данных (или запрет) и отказ от предоставления согласия — это разные ситуации. В некоторых случаях, предусмотренных законодательством, не требуется письменного согласия на передачу данных внешним операторам. У вас есть право запретить подобную передачу, но для этого нужно написать заявление и быть готовым к издержкам. Кроме того, при отказе передавать данные в государственную информационную систему итоговой аттестации ваш ребенок не сможет сдавать эти экзамены.
5. Я не дам согласия на обработку данных внешними операторамиЭто необходимо для ведения учета успеваемости во внешнем электронном журнале, для участия в олимпиадах, организации поездок и иных ситуаций обработки данных вне школы. Задачи разные, поэтому и подход к ним вы можете осуществлять разный. Помните, что при отказе в передаче данных организаторам внешних олимпиад или поездок вашего ребенка вполне могут не допустить к участию.
Уточнение ситуации в отношении внешнего электронного журнала
(если школа использует для электронного журнала информационную систему, размещенную в локальной сети школы, письменного согласия от родителей не требуется)
Учет успеваемости вашего ребенка учителям придется вести внутри школы: на бумаге или в локальных приложениях. Нестандартные инструменты для ведения учета некоторых учеников осложнят школе жизнь, но это неизбежный риск при использовании внешнего журнала. Определенные сложности возникнут и у вас: это может привести к накладкам при учете и при информировании, поскольку учет успехов вашего ребенка будет выпадать из общих процедур. Если вы сомневаетесь в надежности используемого школой внешнего журнала, то отказ и сопутствующие издержки оправданы.
Нам говорят, что сетевой электронный журнал является элементом информационной системы оказания государственных услуг, поэтому письменного согласия от нас не требуется
Использование государственной услуги в электронном виде является правом гражданина, а не обязанностью. Если родитель не заказывал услугу информирования через портал государственных услуг, никаких оснований передавать данные из школы в систему госуслуг нет. Гражданин вправе жаловаться на навязанную услугу и необоснованную передачу его данных на портал госуслуг. Он может письменно отказаться от передачи своих данных на портал и требовать информирования в традиционной форме или иным согласованным со школой образом.
6. От нас хотят согласие на публикацию фото- и видео- изображений ребенка, на право указать его имя под фотографией на сайте
7. Учитель привлекает учеников к заполнению информационных систем персональными данными
Школа должна определить тех лиц, которые допущены к обработке персональных данных, а они должны подписать обязательство по неразглашению данных. Правилами обработки персональных данных должны быть предусмотрены процедуры, которые препятствуют доступу к данным тем людей, которые не должны с ними работать. Данные на бумажных носителях должны храниться в недоступном для непосвященных месте. Данные на электронных носителях должны быть защищены электронными средствами. Описанная ситуация не отвечает этим условиям. Если появится жалоба, будут разбираться с ответственностью тех, кто и почему допустил к данным посторонних лиц.
8. Родителям разослали по почте списки учеников с адресами и ФИО родителей с просьбой заполнить дополнительные данные родителей
Родители предоставили данные в школу для учета успехов и посещаемости своих детей, для информирования их об этом. Сбор дополнительных данных о родителях законом не предусмотрен, как и организация взаимного знакомства детей и родителей. Рассылка персональных данных по общедоступным сетям несет серьезные риски их неконтролируемой утечки. Поскольку такие виды обработки данных не предусмотрены законодательством, требуется желание субъектов данных, подкрепленное письменным согласием. Если желания и согласия нет, налицо грубое нарушение законодательства сразу по нескольким основаниям, поэтому родителям стоит подать жалобу регуляторам или в Обрнадзор. Как минимум, стоит уточнить у директора, знает ли он о подобной инициативе своих сотрудников? Это может быть их самодеятельностью.
9. Школе поручили внести персональные данные учеников и/или родителей в сетевую базу данных
Такая обработка возможна только после заключения школой договора с оператором внешней базы данных и исполнения других предусмотренных законодательством формальных процедур. Ответственность за передачу данных и последствия этого несет школа как оператор ваших персональных данных.
Если у вас появились сомнения в целях и надежности внешнего оператора, вы вправе ознакомиться с договором и выяснить все связанные с вашими данными вопросы.
10. Тренер спортивной секции просит от родителей согласие на общедоступное размещение данных
Для спортсменов нормальной деятельностью является участие в соревнованиях, на которых их должны объявлять, награждать, оформлять разряды, упоминать в репортажах и публикуемых программах соревнований. Очевидно, что некоторые данные для этого должны быть общедоступны. Тренер редко силен в задачах защиты данных и, скорее всего, взял тот бланк, который ему кто-то предложил. Если хотите разумно подойти к проблеме, стоит обратить внимание, какие из персональных данных должны быть общедоступны, а какие нет. И отразить это в своем тексте согласия, чтобы и участию в соревнованиях не мешать, и не давать право на публикацию тех данных, которые для спорта не обязательны в широком доступе.
24 марта в центре «Открытый мир» пройдет конференция в рамках проекта «Защитим себя вместе», одним из докладчиков которой станет член правления Лиги образования Михаил Кушнир. Главной целью мероприятия является привлечение внимания общественности к проблеме низкой образованности населения в области безопасности жизнедеятельности и гражданских прав.
Защита персональных данных детей в образовательной организации
Главная > Консультации > Омбудсмен > Защита персональных данных детей в образовательной организации
Развитие различных информационных технологий привело к тому, что личная информация о человеке становится все более доступной. Различные сообщества, многочисленные социальные сети могут содержать целое «досье» на взрослого и ребенка. Каждый взрослый сам для себя решает, какую именно информацию можно выложить в информационные сети «Интернет». Дети часто создают свои аккаунты и там делятся личной информацией.
При поступлении в школу каждый родитель получает соглашение, где дает свое письменное согласие на обработку персональных данных. У многих возникает вопросы и опасения, относительно распространения персональных данных семьи или ребенка. Нередко родители хотят узнать, каким образом, в каких случаях личная информация о ребенке может быть распространена.
Для начала необходимо определиться, что такое персональные данные?
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Федеральный Закон от 27.07.2006 № 152-ФЗ «О персональных данных»).
Что значит, дать согласие на обработку персональных данных?
«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных» (Федеральный Закон «О персональных данных» от 27.07.2006 № 152-ФЗ).
Обработка указанных специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
Каждая школа разрабатывает локальный акт, который конкретизирует сведения, относящиеся к персональным данным, кто имеет доступ к персональным данным обучающегося, права и обязанности работников, получивших доступ к персональным данным ученика и т. д.
Например, к персональным данным ученика относятся:
сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле учащегося; информация, содержащаяся в личном деле учащегося, лишенного родительского попечения; информация, содержащаяся в классном журнале; информация, содержащаяся в Карточке здоровья учащегося; информация о состоянии здоровья; документ о месте проживания; фотографии; иные сведения, необходимые для определения отношений обучения и воспитания.
Иные персональные данные учащегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:
Персональные данные учащегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.
Право доступа к персональным данным обучающегося могут иметь:
Не имеет права получать информацию об учащемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.
Работники, имеющие доступ к персональным данным учащегося, обязаны:
1. Не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется.
2. Использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя).
3. Обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации.
4. Ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись.
5. Соблюдать требование конфиденциальности персональных данных учащегося.
6. Исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства.
7. Ограничивать персональные данные учащегося при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций.
8. Запрашивать информацию о состоянии здоровья учащегося только у родителей (законных представителей).
9. Обеспечить учащемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные.
10. Предоставить по требованию одного из родителей (законного представителя) учащегося полную информацию о его персональных данных и обработке этих данных.
Данные должны храниться в недоступных местах всеобщего пользования (например, в сейфе) на бумажных носителях и (или) на электронных носителях с ограниченным доступом.
Существуют Приказы Министерства образования, которые также содержат некоторые вопросы, касающиеся личных данных обучающегося.
Личные/персональные данные ребенка содержатся в основном в личном деле ребенка. На каждого ребенка, зачисленного в организацию, осуществляющую образовательную деятельность, заводится личное дело, в котором хранятся все сданные документы. Таким образом, на начальном этапе обучения ребенка в общеобразовательной организации его личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения ребенка, адрес места жительства родителей, контактные телефоны.
В процессе обучения личное дело будет пополняться документами о состоянии здоровья ребенка, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.
Универсального шаблона личного дела законодательство об образовании не предусматривает. Поэтому каждая образовательная организация должна самостоятельно выработать структуру личного дела обучающегося (с учетом обязательных элементов) и закрепить положение о личном деле локальным нормативным актом.
Личное дело обучающегося подлежит выдаче ему или его законным представителям в случае перевода в другую организацию, осуществляющую образовательную.
Если родители отказываются подписывать согласие на обработку персональных данных, то в этом случае школа действует в рамках законодательства и предполагается, что минимум персональных данных для обработки родитель предоставить обязан.
Страхи родителей, связанные с обработкой персональных данных ребенка и семьи чаще всего необоснованны. Ребенок все равно будет находиться школьной базе, и школа будет получать на него финансирование. Но учета его участия в школьной жизни может не быть. Обработка персональных данных нередко подразумевает ведения учета успеваемости в электронном журнале, передача данных ребенка для участия в олимпиадах и конкурсах.
Нарушением закона о защите персональных данных может стать рассылка персональных данных по общедоступным сетям, поскольку такие виды обработки данных не предусмотрены законодательством, в данном случае требуется желание субъектов данных, подкрепленное письменным согласием.
В любом случае образовательная организация, выступая оператором персональных данных, должна понимать, что распространять персональные данные, предоставлять их неограниченному кругу лиц даже с письменного согласия законных представителей обучающихся допустимо лишь только в том случае, если это разрешено законодательством. Любое письменное согласие родителей на обработку персональных данных, которое будет содержать избыточные требования по сравнению с требованием федерального законодательства, будет ничтожно и напрямую вести к нарушению требований ФЗ-152 «О персональных данных»!
Будьте внимательны и осторожны в работе с персональными данными.