Обязаны ли школы соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, школы (как государственные, так и частные) обязаны соблюдать ФЗ-152, так как ежедневно обрабатывают большой объём персональных данных обучающихся, их родителей (законных представителей) и сотрудников. Данные учащихся относятся не только к «обычным» персональным данным (ФИО, адрес, телефон), но и к специальным категориям — сведениям о здоровье, а также к биометрическим данным (фотографии для личных дел, электронных пропусков).

Какие данные школа обрабатывает:

-ФИО, дата рождения, адрес проживания, контакты учащихся и родителей;
- паспортные данные родителей и документы детей (свидетельство о рождении, СНИЛС, ИНН);
- сведения об успеваемости, результатах экзаменов;
- медицинские данные (справки, прививки, заключения врачей);
- фотографии и видео (для личных дел, пропусков, школьных сайтов).

Все эти сведения — персональные данные, и их обработка должна вестись строго в соответствии с ФЗ-152.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация о физическом лице.
• Ст. 6 ФЗ-152 — согласие на обработку данных необходимо, за исключением случаев, установленных законом.
• Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
• Ст. 10 ФЗ-152 — специальные категории данных (включая сведения о здоровье) обрабатываются только при наличии письменного согласия родителей (для несовершеннолетних).
• ФЗ № 273 «Об образовании в Российской Федерации» — закрепляет обязанность образовательных организаций обеспечивать защиту прав обучающихся, в том числе конфиденциальность их данных.
• Ст. 13.11 КоАП РФ — нарушение порядка обработки ПДн влечёт ответственность.

Практика и позиция Роскомнадзора

Роскомнадзор регулярно проверяет образовательные организации на предмет соблюдения ФЗ-152. На практике часто выявляются такие нарушения:

• публикация списков учащихся с ФИО в открытом доступе (например, на школьных сайтах);
• размещение фото и видео детей без согласия родителей;
• отсутствие письменных согласий родителей на обработку медицинских данных;
• слабая защита электронных журналов и баз данных учащихся.

Например, в одном регионе Роскомнадзор обязал школу удалить со своего сайта список детей, участвовавших в олимпиаде, так как согласия родителей на публикацию не было.

Важный момент для школ

Школа не только является оператором ПДн, но и обязана:

• уведомить Роскомнадзор о начале обработки ПДн;
• назначить ответственного за организацию обработки;
• разработать политику и локальные акты по ПДн;
• собирать письменные согласия родителей на обработку данных несовершеннолетних (для фото, видео, публикаций, медицинских сведений).

Рекомендации и выводы

Да, школы обязаны соблюдать ФЗ-152, так как обрабатывают обширные массивы персональных данных детей, родителей и сотрудников. Для законной деятельности образовательным организациям необходимо:

1. Подать уведомление в Роскомнадзор.
2. Назначить ответственного за ПДн.
3. Разработать и утвердить локальные акты (политику, регламенты, инструкции).
4. Получать согласия родителей на обработку данных детей (особенно фото, видео и медицинских сведений).
5. Обеспечить технические меры защиты (электронные журналы, базы данных).

Компания ICTech поможет школам привести деятельность в соответствие с ФЗ-152: подготовить пакет документов, организовать работу с согласиями родителей, выстроить защиту электронных журналов. Это позволит избежать штрафов и претензий регулятора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге