Факты

Теперь для ведения привычной школьной документации необходимо соблюдать Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных. Он распространяется на персональные данные (ПДн) сотрудников, учеников школы, их родителей и касается как электронных носителей, так и традиционных бумажных документов. Для электронного варианта обработки данных исполнение закона осложняется необходимостью соблюдать требования к техническим средствам по работе с ПДн. Поскольку классный журнал в любом представлении является документом, содержащим персональные данные, этот закон непосредственно касается проблем его ведения: как традиционного, так и электронного (ЭЖ).

Школе как оператору ПДн, в роли которого она выступает в логике закона, необходимо:

1. Получить согласие субъекта ПДн на их обработку, причем, он имеет право в любой момент отозвать это согласие и оператор «обязан прекратить обработку персональных данных и уничтожить» его ПДн (статья 21 ч.5). Избежать такой зависимости от настроения родителей (статья 6 ч.2) можно на основании:

   • федерального закона
   • договора с родителями

2. Соблюсти требования Правительства РФ «к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (статья 19 ч.2)- ИСПДн.

   Это влечет за собой необходимость разбираться в технических нюансах, сертификациях и прочих непрофильных для школы процедурах. Избавление от этих проблем:

   • федеральный закон, формулирующий приемлемые требования Правительства РФ для наших условий
   • согласие родителей считать свои ПДн общедоступными

3. «Уведомить уполномоченный орган» (статья 22 ч.1) - по сути, пройти процедуру регистрации со всеми вытекающими процедурными издержками. Кроме того, неизбежны плановые проверки зарегистрированных операторов. Избежать регистрации можно (статья 22 ч.2), в частности, на основании:

   • федеральных законов
   • договора с родителями
   • согласия родителей считать свои ПДн общедоступными
   • обработки без использования средств автоматизации

4. В случае электронной регистрации результатов обучения и принятия «на основании исключительно автоматизированной обработки его персональных данных ... решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы» (статья 16 ч.2), необходимо иметь одно из двух:

   • федеральный закон
   • письменное разрешение субъекта ПДн

В случае ведения традиционного бумажного документооборота достаточно согласия на обработку ПДн, оформленного в соответствии с требованиями закона (статья 9 ч.4). В остальном достаточно соблюдать общие принципы, изложенные в законодательстве, в том числе, в главе 14 ТК и ПП РФ N.687.

Если обработка данных попадает под определение «без использования средств автоматизации» (ПП РФ N.687, раздел I, п.1), задачи 3-4 снимаются. Поскольку ключевым критерием является принятие решения в отношении ПДн вручную, это совершенно реальное условие.

Согласно публикациям, Министерство образования и науки планирует внести коррективы в Закон об образовании. Если в новую редакцию закона войдут положения, предусматривающие условия работы учреждений образования с ПДн, задача администрации школы облегчится.

Пока нет заботливого федерального закона, спасающего от требований Закона о ПДн, просматривается только 2 пути:

• договор с родителями об образовательных услугах, в рамках которого описаны условия обработки ПДн
• согласие родителей на признание определенных ПДн общедоступными

Наиболее логичным с юридической точки зрения кажется заключение с родителями договора на образовательные услуги и отражение в нем всех аспектов отношений, включая работу с ПДн. Однако статус подобного договора весьма сомнителен: в случае расторжения его по инициативе родителей государственная школа не может прекратить обучение ребенка и вся конструкция отношений "школа-ученик-родители" рушится. Кроме того, такой договор не отменяет необходимость соблюдения непростых требований Правительства РФ в отношении ИСПДн (см. п.2).

Для школьного документооборота в целом единственный пока спокойный путь - получение согласия на условиях общедоступности ПДн, т.е. права размещать их в общедоступных источниках и передавать третьим лицам. Это позволит не только хранить и обрабатывать ПДн в информационных системах школы, но и при передаче их третьим лицам ограничиваться простым неформальным согласованием с субъектами ПДн без оформления каждый раз в полном объеме согласия на обработку (передачу) данных. В школьной жизни часто встречается непредсказуемая заранее необходимость в передаче ПДн, в частности, при проведении олимпиад, экзаменов, поездок и т.п..

Уверенности в том, что все родители согласятся на это, естественно, нет, т.к. определение общедоступности выглядит слишком открытым (152-ФЗ, статья 3, п.12):

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности

Простой способ избежать аттестации ЭЖ - объявить именно его общедоступным источником: достаточно сбора согласий на размещение в нем ПДн. Чем меньше ПДн в ЭЖ содержится, тем легче получить такое согласие. Для ЭЖ достаточно ФИО. Статус ПДн в отношении отметок и принадлежности учебной группе законодательно не определен, поэтому включать их в текст согласия или нет - решать нужно самостоятельно. Если хотите иметь в ЭЖ пол, дату рождения, другие ПДн, их нужно обязательно включать в текст согласия.

Послесловие или Сага-2

Фантазии

• На мой взгляд, было бы полезно дополнить Закон о ПДн:

  • внести в список оснований для снятия необходимости в сборе согласий для тех учреждений, в которых передача ПДн явно означает согласие на их обработку, но не предусматривает оформление договора. Например, образовательные и дошкольные учреждения, учреждения здравоохранения и т.п..

  • внести определение еще одной категории данных - частных ПДн:

    частные персональные данные - персональные данные, доступ к которым предоставлен ограниченному кругу лиц с помощью общеупотребительных средств контроля за доступом с согласия субъекта персональных данных или на основании федеральных законов

    В тексте закона это должно привести к замене слова "общедоступные" на словосочетание «общедоступные и частные».

    Это позволит не играть в "шпионские страсти" с теми ПДн, которые не являются особо секретными, но и полностью открывать которые не вполне корректно. К таким данным, в частности, относится информация из классного журнала.

• Предложения авторам новой редакции Закона об образовании:

  Образовательные учреждения в рамках уставной деятельности могут обрабатывать стандартный набор персональных данных обучащихся и их родителей (СНПДн) без получения согласия. Состав СНПДн и условия доступа к ним утверждаются отраслевыми стандартами. Доступ к СНПДн регламентируется локальными актами на основании отраслевых стандартов. Несанкционированный доступ к СНПДн, произошедший по халатности или в результате преднамеренных действий сотрудников образовательного учреждения, влечет административные меры наказания, если иное не предусмотрено действующим законодательством РФ.

  Информационные системы для обработки СНПДн не требуют аттестации. Для ограничения доступа могут использоваться общеупотребительные средства, удовлетворяющие отраслевым стандартам..

  Принятие решений, затрагивающих интересы обучающихся на основании исключительно автоматизированной обработки результатов обучения, возможно при наличии открыто опубликованных правил подведения итогов, позволяющих производить их независимую проверку.

  Не являются персональными данными и могут быть опубликованы в общедоступных источниках информации, если это не ограничено для конкретных случаев федеральными законами или нормативными документами данного учреждения:

  • результаты учебной деятельности и рубежных испытаний
  • состав учебных групп образовательного учреждения и его структурных подразделений
  • причастность к открытым мероприятиям, проводимым в рамках уставной деятельности

  (новый вариант - с разбивкой по статьям закона)