Алексей Ветров
Эксперт по защите данных IC-TECH
Образовательные учреждения (школы, детские сады, вузы, центры дополнительного образования, курсы) являются операторами персональных данных, так как в их деятельности неизбежно происходит обработка широкого спектра ПДн:
- данные обучающихся (ФИО, дата рождения, адрес, телефон, сведения об успеваемости, медицинские справки, фотографии, достижения);
- данные родителей (ФИО, контакты, документы для заключения договоров);
- данные сотрудников (трудовые отношения, кадровые документы, медицинские книжки).
Поэтому образовательные организации обязаны в полном объёме соблюдать ФЗ-152.
- данные обучающихся (ФИО, дата рождения, адрес, телефон, сведения об успеваемости, медицинские справки, фотографии, достижения);
- данные родителей (ФИО, контакты, документы для заключения договоров);
- данные сотрудников (трудовые отношения, кадровые документы, медицинские книжки).
Поэтому образовательные организации обязаны в полном объёме соблюдать ФЗ-152.
Обоснование по законодательству
- Ст. 3 ФЗ-152 – образовательное учреждение выступает оператором ПДн, так как самостоятельно организует их обработку.
- Ст. 6 ФЗ-152 – допускает обработку ПДн без согласия, если это необходимо для исполнения закона (например, ведение образовательной деятельности), но в иных случаях требуется письменное согласие.
- Ст. 22 ФЗ-152 – обязывает образовательные организации уведомлять Роскомнадзор о начале обработки ПДн.
- Ст. 18.1 ФЗ-152 – закрепляет обязанность оператора по обеспечению организационных и технических мер защиты ПДн.
- Федеральный закон № 273-ФЗ «Об образовании в РФ» – устанавливает обязанность образовательных учреждений обеспечивать защиту информации о учащихся.
- Трудовой кодекс РФ, ст. 86–90 – регулирует обработку ПДн работников.
Особенности работы с персональными данными в образовании
Образовательные учреждения обрабатывают повышенный объём данных, включая специальные категории ПДн:
- сведения о здоровье (медицинские справки, заключения врачей, результаты диспансеризаций);
- данные несовершеннолетних (что требует особой защиты).
Отсюда следуют дополнительные обязанности:
- обязательное письменное согласие родителей (законных представителей) на обработку данных ребёнка;
- запрет публикации фотографий и достижений детей без согласия родителей;
- строгий режим хранения документов (личные дела, журналы успеваемости);
- ограничение доступа сотрудников к данным учащихся (доступ только тем, кому это нужно по работе).
Пример из практики
Школа размещает на своём сайте фотографии с мероприятий и списки победителей олимпиад. Для этого необходимо:
- получить письменное согласие родителей на обработку и размещение изображений детей;
- утвердить порядок публикации данных;
- исключить публикацию избыточной информации (например, домашних адресов или телефонов учащихся).
При проверке Роскомнадзор может оштрафовать школу, если согласий нет или документы оформлены неправильно.
Рекомендации и выводы
Для образовательных учреждений обязательны:
- Нормативные документы:
- политика обработки ПДн (публичный документ, доступный на сайте);
- положение о защите ПДн обучающихся;
- положение о ПДн работников;
- приказы о назначении ответственного за обработку ПДн;
- журналы регистрации согласий, обращений и запросов субъектов ПДн;
- согласия родителей/законных представителей на обработку ПДн детей (в том числе на фото/видео съёмку, публикацию в СМИ и интернете).
- Технические и организационные меры:
- ограничение доступа сотрудников к базам данных учащихся;
- защита электронных систем (пароли, антивирус, бэкапы);
- хранение бумажных документов в закрытых помещениях.
- Взаимодействие с родителями и проверяющими органами:
- прозрачность процедур, возможность родителя запросить удаление или изменение данных;
- готовность предоставить политику и документы по запросу.
Образовательные учреждения находятся в зоне особого внимания Роскомнадзора, так как работают с детьми и специальными категориями ПДн. Разработка полного комплекта документов по ФЗ-152 — это не просто «бумажная формальность», а реальная защита от штрафов и жалоб родителей. В ICTech мы разрабатываем такие комплекты для школ, садов, вузов и частных центров образования.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
