Введение закона о персональных данных (ПДн) в сочетании с развитием электронных форм документооборота заставляет вносить коррективы в привычную работу с данными учеников школы и их родителей.
Закон о ПДн разделяет данные на 2 типа:
- общедоступные
- конфиденциальные
Если субъект ПДн разрешает использовать их как общедоступные, проблемой для школы остается:
- правильное оформление этого разрешения
- аккуратное хранение разрешений на случай проверки
- разработка и хранение нормативной документации по ПДн (кто за что отвечает, где хранится ...).
Если субъект ПДн не дает разрешения на использование их как общедоступных, а обезличить их невозможно или неудобно, появляется сложная проблема - согласование систем электронного документооборота со специальными организациями.
| Задача оператора ПДн |
ПДн сотрудников |
ПДн учеников |
| Общедоступные |
Конфиденциальные |
Конфиденциальные |
Общедоступные |
| Получить согласие владельца ПДн |
+ |
- |
+ (или договор) |
+ |
| Уведомить уполномоченный орган |
- |
- |
+ (или договор) |
- |
| Соблюсти требования к ИСПДн |
- |
+ |
+ |
- |
| Разрешения на искл. автообработку |
обычно неактуально - см. ПП РФ 687 |
Варианты выхода из положения на основе общедоступности ПДн
-
Убедить родителей дать согласие на обработку ПДн как общедоступных.
Для этого можно взять на себя обязательства по ограничению доступа к частным данным, используя стандартные общеупотребительные средства. Это делалось до принятия закона и неплохо работает. Кроме того, из этих данных никто обычно секрета не делал, а закон дает право в любое время отозвать разрешение. Полагаю, большинство родителей согласится с этим предложением.
-
Родители соглашаются на частичную общедоступность ПДн.
В частности, не должны вызвать больших возражений ФИО, пол, дата рождения, контактные данные. Этого достаточно для ведения ЭЖ и участия ребенка в большинстве школьных мероприятий. Принадлежность классу и школе, отметки нигде не указаны как ПДн, но для спокойствия можно упомянуть в согласии и их.
Сложности начнутся при организации таких мероприятий, для подготовки и проведения которых нужны данные из документов, общение с помощью электронных средств. Одной из острых проблем может стать регистрация ученика в информационных системах, для которых требуются паспортные данные, например, для участия в олимпиадах, для сдачи ЕГЭ, ГИА. А еще бывают поездки с приобретением билетов, диспансеризации со списками и другие привычные события, которые будут требовать каждый раз сбора согласий с участников, регистрации в специальном журнале факта передачи конфиденциальных данных третьим лицам для каждого субъекта (ребенка).
Родители должны быть готовы к подобным проблемам и издержкам времени на их разрешение. В ряде случаев это может привести к невозможности участия ребенка в некоторых мероприятиях.
-
Часть родителей не соглашается на общедоступность - их ПДн являются конфиденциальными.
Необходимые для учета ПДн можно хранить только в бумажном виде, как это делалось всегда. Электронный учет можно вести обезличено - под условным (вымышленным) именем или по учетному номеру «Личного дела»,- т.к. обезличенные данные приравниваются к общедоступным (класс защищенности ИСПДн К4). Думаю, это исключительный случай, вероятность которого крайне низка. Некоторые специалисты утверждают, что можно вести обработку данных без нарушения конфиденциальности, если в них из ПДн фигурирует только ФИО.
Сложность для школы в обезличенном учете - не перепутать условные идентификации.
Сложность для ребенка и родителей, кроме проблем из п.2, - привыкнуть к условной идентификации.
Более развернутое изложение проблемы ПДн для школы (т.е. все же в щадящем режиме) изложено в другой статье - «Сага о персональных данных» |
|
