ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ШКОЛЕ

В Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных» внесены кардинальные изменения, поскольку был принят Федеральный закон от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Многие требования по обработке персональных данных и даже сами определения существенно изменились. Возникло множество спекуляций по поводу новых требований. Разберёмся, так ли страшны требования по защите персональных данных.

Новые понятия

В новой редакции под персональ­ными данными понимают любую информацию, относящуюся к прямо или косвенно определён­ному или определяемому физичскому лицу (субъекту персо­нальных данных). Тем самым термин стал более расплывчатым и неопределённым, что даёт осно­вания для отнесения к персональ­ным данным практически любых сведений о работниках, учащихся школ, в том числе: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, соци­альное, имущественное положение; образование; профессия; доходы; результаты промежуточной или текущей аттестации; сведения о пропуске учащихся уроков по болезни; другая информация.

В этот перечень можно включить практи­чески все сведения о работнике, которые получает администрация школы в рамках трудовых отношений с работниками, а также любую информацию об учащихся и их родителях.

Оператор персональных данных — это государственный, муниципальный орган, юридическое или физическое лицо, само­стоятельно или совместно с другими лица­ми организующие и (или) осуществляю­щие обработку персональных данных, а также определяющие цели их обработ­ки, состав, действия (операции), соверша­емые с персональными данными. Таким образом, любое образовательное учрежде­ние осуществляет обработку персональных данных и является оператором персональ­ных данных. Следовательно, необходимо знать и соблюдать требования, предъявля­емые действующим законодательством к их обработке.

Персональные данные могут содержаться в документации, включающей: документы по анкетированию, тестированию и т.п.; приказы (распоряжения) по личному составу; докумен­тацию по аттестации сотрудников, служебным расследованиям и т.п.; учётную документацию (картотеки, книги, журналы и т.п.); аналитиче­скую и справочную документацию, как исполь­зуемую руководством, так и выдаваемую ра­ботникам для представления в заинтересован­ные органы; отчётную документацию, переда­ваемую в государственные органы статистики, налоговые органы и другие учреждения.

Обработка персональных данных — любое действие (операция) или совокупность дейст­вий (операций), совершаемых с использовани­ем средств автоматизации или без исполь­зования таких средств с персональными дан­ными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, пере­дачу (распространение, предоставление, до­ступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как видно из определения, любое возможное действие с персональными данными подпадает под понятие «обработка», при этом некоторые действия очень близки по своему содержанию. Так, распространение персональных данных отличается от их предоставления кругом лиц, которым раскрываются персональные данные.

Распространение персональных данных — действия, направленные на раскрытие персо­нальных данных неопределённому кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персо­нальных данных определённому лицу или оп­ределённому кругу лиц.

Блокирование — временное прекращение об­работки персональных данных (за исключени­ем случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — дейст­вия, в результате которых становится невоз­можным восстановить содержание персональ­ных данных в информационной системе персо­нальных данных и (или) в результате которых

уничтожаются материальные носители персональных данных.

Обезличивание персональных дан­ных — действия, в результате которых становится невозможным без использо­вания дополнительной информации опре­делить принадлежность персональных данных конкретному субъекту персо­нальных данных.

В целях информационного обеспечения могут создаваться общедоступные ис­точники персональных данных (в том

числе справочники, адресные книги).

В общедоступные источники персональ­ных данных с письменного согласия субъекта персональных данных могут включаться: его фамилия, имя, отчество, год и место рождения, адрес, абонент­ский номер, сведения о профессии; иные персональные данные, сообщаемые субъектом персональных данных.

Таким образом, практически любые персональные данные с согласия субъек­та могут быть объявлены общедоступ­ными. Однако при этом сведения о субъекте персональных данных долж­ны быть в любое время исключены из общедоступных источников персональ­ных данных по требованию субъекта персональных данных либо по решению суда или других уполномоченных госу­дарственных органов.

Помимо этого, статьями 10 и 11 Феде­рального закона «О персональных дан­ных» установлены специальные дан­ные, в отношении которых действуют повышенные меры защиты от несанкци­онированной обработки и распростране­ния. Это информация, касающаяся расо­вой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здо­ровья, интимной жизни.

Если от сбора информации о нацио­нальности работников, учащихся школы вполне могут отказаться (или уже отказались), то информация о состоянии здоровья необходима школам (как минимум для учёта посещения, для определения воз­можности заниматься физкультурой и т.д.). Необходима информация о здоровье работ­ников и для ведения табеля (если учитель отмечает пропуск ученика по болезни, это очевидно, считается обработкой «информа­ции о здоровье»). Понятно, что школам неизбежно приходится работать со специ­альными данными.

Приведённое выше определение персональ­ных данных позволяет, в частности, некото­рым «специалистам» говорить о незаконнос­ти оглашения в классе оценок учащихся при отсутствии согласия на то, что оценки счита­ются общедоступными данными. Иными сло­вами, если нет специально оформленного со­гласия на то, что оценки ученика являются общедоступными данными, учителю больше нельзя сказать «Садись, Вася, пять!», так как это станет «распространением персональ­ных данных» об этом ученике. Получить же согласие на общедоступность данных у боль­шинства родителей, как показывает практика, достаточно проблематично.

Однако, по нашему мнению, такое мнение не совсем верно. Действительно, получить со­гласие на обработку персональных данных учеников школа должна: в таком согласии, как правило, перечисляются все возможные виды обработки, включая распространение персональных данных. И здесь следует вер­нуться к определениям и вспомнить, что рас­пространение — это раскрытие информации неопределённому кругу лиц, в том числе и всем ученикам в классе. Но учтём, что среди персональных данных в согласии на обработку персональных данных должны фи­гурировать результаты итоговой и промежу­точной аттестации, прочие оценки учени­ков — и тогда никаких проблем с оглашени­ем оценок учителем в классе не возникнет.

Как видим, если внимательно читать нормы права, закон всё же позволяет учителю ог­лашать оценки учащихся. В то же время бу­мажной волокиты действительно не избе­жать без риска привлечения к ответст­венности проверяющими. В частности, должен быть определён перечень лиц, до­пускаемых в школе к персональным дан­ным учащихся, и среди них должны быть упомянуты учителя.

Уведомление Роскомнадзора школой

Знакомство с Федеральным законом «О персональных данных» для ряда школ началось с требования отослать уведомление об обработке персональных данных в территориальный орган Рос­комнадзора. Многие школы так и сдела­ли, хотя это было не обязательно.

За исключением ряда определённых дей­ствующим законодательством случаев оператор, обрабатывающий персональные данные, обязан направить уведомление об обработке персональных данных уполномоченного органа. Однако школа, как правило, подпадает под какой-либо из случаев, когда направлять такое уведомление не обязательно.

Школа вправе осуществлять без уве­домления уполномоченного органа по защите прав субъектов персональных дан­ных лишь обработку следующих персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с за­ключением договора, стороной которого является субъект персональных данных, если персональные данные не распростра­няются, а также не предоставляются тре­тьим лицам без согласия субъекта персо­нальных данных и используются операто­ром исключительно для исполнения ука­занного договора и заключения договоров с субъектом персональных данных;
  • сделанных субъектом персональных данных общедоступными;
  • включающих только фамилии, имена и отчест­ва субъектов персональных данных;
  • необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включённых в информационные системы персональных данных, имеющие в соответст­вии с федеральными законами статус государ­ственных автоматизированных информацион­ных систем;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливаю­щими требования к обеспечению безопасности персональных данных при их обработке
 

и к соблюдению прав субъектов персональных данных.

Таким образом, обработка персональных дан­ных работников школы, а также учащихся и их родителей (законных представителей) в случае заключения с ними договора и не­представления этих данных без их согласия третьим лицам не требует уведомления терри­ториального управления Роскомсвязьнадзора. Если не используются средства автоматизации (об этом ниже), то уведомление направлять также не обязательно.

Письменное согласие для обработки персональных данных

Формально письменное согласие для обработки персональных данных работников, учащихся и их родителей в большинстве случаев в шко­ле не требуется. Федеральный закон «О пер­сональных данных» определяет, в частности, случаи, когда возможна обработка персональ­ных данных в школе и при отсутствии такого согласия:

  • обработка персональных данных необходи­ма для исполнения договора, стороной кото­рого либо выгодоприобретателем или поручите­лем по которому является субъект персональ­ных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект пер­сональных данных будет выгодоприоб­ретателем или поручителем;
    • обрабатываются персональные данные, доступ неограниченного круга лиц к ко­торым предоставлен субъектом персо­нальных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональ­ных данных);
    • обработка персональных данных необ­ходима для достижения целей, предус­мотренных международным договором РФ или законом, для осуществления

и выполнения возложенных законода­тельством РФ на оператора функций, полномочий и обязанностей;

  • обработка персональных данных необ­ходима для предоставления государст­венной или муниципальной услуги в со­ответствии с Федеральным законом

от 27 июля 2010 года № 210-ФЗ «Об организации предоставления госу­дарственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персо­нальных данных на едином портале го­сударственных и муниципальных услуг;

  • обработка персональных данных необ­ходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получить согласие субъекта персо­нальных данных невозможно;
  • обработка персональных данных осу­ществляется в статистических или иных исследовательских целях, за исключени­ем целей, указанных в статье 15 Феде­рального закона «О персональных дан­ных», при условии обязательного обез­личивания персональных данных;
  • обрабатываются персональные данные, подлежащие опубликованию или обяза­тельному раскрытию в соответствии с федеральным законом;
  • обработка персональных данных необходима для осуществления прав и законных интере­сов оператора или третьих лиц либо для до­стижения общественно значимых целей при ус­ловии, что при этом не нарушаются права

и свободы субъекта персональных данных.

Последний случай возможности обработки персональных данных будет конкретизиро­ваться правоприменительной практикой, учи­тывая возможность субъективного толкова­ния «прав и законных интересов». В преж­ней редакции закона такая возможность отсутствовала.

Для школ актуально разрешение проводить обработку персональных данных без специ­ального согласия их субъекта в целях испол­нения договора: это даёт право на обработку персональных данных работников школы (работающих на условиях трудовых догово­ров, а также на условиях договоров граж­данско-правового характера).

Обработка специальных категорий персо­нальных данных в соответствии со стать­ёй 10 Федерального закона «О персональ­ных данных» допускается только в опреде­лённых частью второй этой статьи случаях. Среди этих случаев для образовательных уч­реждений актуальны следующие:

  • субъект персональных данных дал согла­сие в письменной форме на обработку сво­их персональных данных;
  • обработка персональных данных осуществ­ляется в соответствии с законодательством

о государственной социальной помощи, тру­довым законодательством, законодательством РФ о пенсиях по государственному пенсион­ному обеспечению, о трудовых пенсиях;

  • обработка персональных данных осуществ­ляется в медико-профилактических целях,

в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональ­ных данных осуществляется лицом, профес­сионально занимающимся медицинской деятельностью и обязанным в соответст­вии с законодательством РФ сохранять врачебную тайну;

  • обработка персональных данных необ­ходима для установления или осуществле­ния прав субъекта персональных данных или третьих лиц, а равно и в связи с осу­ществлением правосудия.

Таким образом, без специального разреше­ния с персональными данными о состоянии здоровья учащихся может работать только медицинский работник школы в медико­профилактических целях. Для доступа дру­гих работников к таким данным требуется согласие ученика, а до его совершенноле­тия — его родителей (законных предста­вителей). При этом можно получить согла­сие на обработку данных, так как попытки получить согласие на признание этих дан­ных общедоступными неизбежно столкнут­ся с непониманием родителей (законных представителей) учащихся. В то же время пока отсутствует правоприменительная практика, позволяющая понять, что пони­мается под фразой «обработка персональ­ных данных необходима для установления или осуществления прав субъекта персо­нальных данных или третьих лиц»: ведь можно трактовать и так, например, что об­работка данных о здоровье ученика в шко­ле осуществлялась для реализации его пра­ва на образование.

Учитывая, что согласно трудовому догово­ру школа обязана начислять заработную плату, выплачивая при этом налоги на до­ходы физических лиц, (являясь налоговым агентом), перечислять страховые взносы в пенсионный фонд, отдельное согласие на выполнение таких обязанностей, связанных с обработкой персональных данных, не требуется. Обработка информации о здоро­вье работников, связанная с выполнением требований трудового законодательства, пенсионного законодательства, начислением страховых взносов во внебюджетные фон­ды и т.п., возможна и без получения со­гласия работников (так как если они не
дадут согласие, невозможно выполнить нормы законодательства).

Учитывая, что с 2011 года установлена обяза­тельность для педагогических работников про­ходить аттестацию по представлению админис­трации, школа вправе формировать специаль­ные базы данных педагогических работников для их аттестации, однако для передачи этих данных органам управления образованием или уполномоченным ими учреждениям необходимо получить согласие работника. Конечно, можно ссылаться на то, что в этом случае данные были переданы в рамках исполнения трудового договора, однако в таком случае могут возник­нуть претензии уже к органу управления обра­зования (или методической службе), которая станет обрабатывать персональные данные, не имея ни договора, ни согласия работника.

Кроме того, из вышеприведённых требований следует, что нельзя передавать персональные данные, не связанные с необходимостью ис­полнения договора. Так, например, нельзя пре­доставлять органу управления образования данные о доходах работников школы (даже при введении новых систем оплаты труда), так как невозможно увязать передачу этих данных с необходимостью выполнять условия договора (нормативные правовые акты, которые обязы­вали бы предоставлять такую информацию, от­сутствуют, а письмо — запрос органа управ­ления образованием не относится к норматив­ным правовым актам).

Персональные данные учащихся и их родителей (за исключением специальных категорий персо­нальных данных) школа может обрабатывать без их согласия, если с учеником или родителем (законным представителем) подписан соответст­вующий договор. Однако при этом нельзя пе­редавать персональные данные учащихся и их родителей (законных представителей), если та­кая передача не связана с исполнением догово­ра: в случае проверки школе придётся доказать, что переданные сведения каким-то образом свя­заны с исполнением договора.

Как видим, обработка персональных данных во многих случаях возможна и без получения письменного разрешения от работника, ученика (его родителей), однако в реальной деятельно­сти школы избежать случаев, когда получить согласие всё же необходимо, достаточно сложно. Поэтому для того, чтобы обе­зопасить себя при различных проверках, иметь возможность передавать опреде­лённые персональные данные по запро­сам органа управления образованием, а также быть уверенным в соответствии законодательству всей проводимой обра­ботки персональных данных, согласие на обработку персональных данных следует получить и у работников, и у родителей (законных представителей учащихся), а также у самих учащихся в возрасте старше 14 лет. Требования к согласию установлены статьёй 9 Федерального закона «О персональных данных».

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его предста­вителем в любой позволяющей подтвер­дить факт его получения форме, если иное не установлено федеральным зако­ном. В то же время в случаях, предус­мотренных федеральным законом, пер­сональные данные обрабатываются толь­ко с согласия в письменной форме субъ­екта персональных данных. Равнознач­ным согласию в письменной форме на бумажном носителе с собственноручной подписью субъекта персональных дан­ных признаётся согласие в форме элек­тронного документа, подписанного, в со­ответствии с федеральным законом, эле­ктронной подписью.

Учитывая, что школе придётся доказы­вать наличие согласия на обработку, в том числе передачу персональных дан­ных (а при обработке специальных дан­ных речь идёт о именно письменном со­гласии), необходимо получать письмен­ное согласие на их обработку. Согласие в письменной форме субъекта персо­нальных данных на обработку его пер­сональных данных должно включать:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного до­кумента, удостоверяющего его личность, све­дения о дате выдачи документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представи­теля субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, под­тверждающего полномочия этого представи­теля (при получении согласия от представи­теля субъекта персональных данных);
  • наименование образовательного учрежде­ния, получающего согласие субъекта персо­нальных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обра­ботку которых даётся согласие субъекта этих данных;
  • наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональ­ные данные по поручению оператора, если обработка будет поручена этому лицу (на­пример, централизованной бухгалтерии);
  • перечень действий с персональными данны­ми, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согла­сие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Что должна сделать школа для защиты персональных данных

Школе в обязательном порядке необходимо утвердить положение о персональных дан­ных.

Кроме того, согласно введённой Феде­ральным законом от 25.07.2011 № 261- ФЗ статье 22.1. в школе необходимо на­значить лицо, ответственное за организа­цию обработки персональных данных.

Этот работник (заместитель директора, как правило) должен получать указания непосредственно от директора школы и быть ему подотчётным.

На лицо, ответственное за организацию обработки персональных данных, законом возлагаются такие обязанности:

  • осуществлять внутренний контроль за со­блюдением школой и его работниками законо­дательства РФ о персональных данных, в том числе требований к защите персональных дан­ных;
  • доводить до сведения работников школы по­ложения законодательства РФ о персональных данных, локальных актов по вопросам обра­ботки персональных данных, требований к за­щите персональных данных;
  • организовывать приём и обработку обраще­ний и запросов субъектов персональных дан­ных или их представителей и (или) осуществ­лять контроль за приёмом и обработкой таких обращений и запросов.

 

Меры

Согласно новой статье 18.1 Федерального закона «О персональных данных» опера­тор обязан принимать меры, необходимые
и достаточные для выполнения обязанностей, предусмотренных настоящим Федеральным за­коном и принятыми в соответствии с ним нор­мативными правовыми актами. При этом шко­ла самостоятельно определяет состав и пе­речень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предус­мотренных настоящим Федеральным законом и принятыми в соответствии с ним норматив­ными правовыми актами, если иное не предус­мотрено настоящим Федеральным законом или другими федеральными законами.

Таким образом, какие конкретно принимать меры, решать школе. И только когда будут приняты подзаконные нормативные акты, ко­торые обяжут школу принимать определённые меры по защите персональных данных, можно будет говорить об обязательности их примене­ния (за исключением ряда мер, обязательность которых уже предусмотрена Федеральным за­коном «О персональных данных»).

К таким мерам могут, в частности, относиться:

  1. назначение оператором, являющимся юри­дическим лицом, ответственного за организа­цию обработки персональных данных;
  2. издание оператором, являющимся юридиче­ским лицом, документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обра­ботки персональных данных, а также локаль­ных актов, устанавливающих процедуры, на­правленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  3. применение правовых, организационных и технических мер по обеспечению безопас­ности персональных данных в соответствии со статьёй 19 настоящего Федерального закона;
  4. внутренний контроль и (или) аудит соот­ветствия обработки персональных данных на­стоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении об­работки персональных данных, локальным ак­там оператора;
  5. оценка вреда, который может быть причинён субъектам персональных дан­ных в случае нарушения настоящего Федерального закона, соотношение вре­да и принимаемых оператором мер, обеспечивающих выполнение обязаннос­тей, предусмотренных настоящим Феде­ральным законом;

 

Продолжение  материала