ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ
М.В. Ожиганова, кандидат юридических наук, доцент
В статье анализируются вопросы правового регулирования защиты персональных данных участников образовательных отношений в контексте действующего федерального закона «Об образовании в Российской Федерации».
Ключевые слова: персональные данные, образование, защита прав участников образовательных отношений.
Конституционное право каждого на неприкосновенность частной жизни и недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия обеспечивается, прежде всего, федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». С целью предотвращения правонарушений Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридических лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении контроля систем защиты конфиденциальных данных или использования криптосредств. При обнаружении неправомерных действий с персональными данными их обработка должна быть прекращена до устранения выявленных нарушений.
Несмотря на принятие закона еще в 2006 году органы государственного контроля в сфере защиты персональных данных сформировали активную позицию сравнительно недавно, что вызвало волну обращений операторов персо-
нальных данных, в том числе и образовательных организаций, за разъяснением содержания требований закона. Согласно данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в 2011 г. поступило 2607 обращений граждан на нарушение прав субъектов персональных данных, 2012 -4994, 2013 - 10785, 2014 - 20 389. К сожалению, определение содержания персональных данных находится фактически на усмотрении контрольно-надзорных органов. Одним из основных недостатков Федерального закона «О персональных данных», по мнению специалистов, является то, что он не называет четких критериев отнесения тех или иных сведений к числу персональных данных, вследствие чего зачастую одни и те же данные могут быть отнесены к различным видам информации ограниченного доступа [2, с. 7].
Установлены четыре категории обрабатываемых персональных данных. Образовательная организация работает со всеми предусмотренными категориями персональных данных, даже с категорией 1. К категории 1 относят
персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Обычно данные этой категории не обрабатываются, но в силу специфики образовательной деятельности данная информация поступает в образовательную организацию (при приеме берется копия свидетельства о рождении, в которой указывается национальность, при организации учебного процесса в соответствии с ФГОС собирается информация о приоритетном содержании дисциплины «Основы религиозных культур и светской этики», собираются справки о состоянии здоровья, перенесенных и хронических заболеваниях).
К категории 2 относят персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных. К персональным данным позволяющим идентифицировать человека, относятся такие данные, которые позволяют установить личность человека.
Если организация обрабатывает только данные о фамилии, имени и отчеству, то можно сказать, что они не позволяют идентифицировать человека, так как встречаются полные однофамильцы. В то же время совокупность данных о ФИО, дате рождения и адресе проживания уже будет относиться к 2 категории, как к данным позволяющим
идентифицировать человека и получить о нем дополнительные сведения.
В категорию 4 включают обезличенные и(или) общедоступные персональные данные. Это данные не позволяющие идентифицировать человека. Обезличивание данных, является одним из основных способов обеспечения защиты и безопасности системы персональных данных.
При этом данные об обучающихся используются и передаются в медицинские учреждения, в военкомат, в Комиссию по делам несовершеннолетних и защите их прав, в органы управления образования, организациям при проведении различных конкурсов и олимпиад, в подразделения внутренних дел МВД РФ, во многие иные организации в соответствии с требованиями нормативных документов различного уровня.
В соответствии со ст. 19 Федерального закона « 152-ФЗ от 27 июля 2006 г. «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Документационное обеспечение защиты персональных данных в образовательной организации направлено на разработку локальных актов организационно-правового содержания. Прежде всего, это - Положение о защите персональных данных обучающихся и их законных представителей. Положение будет определять порядок обработки персональных данных, обеспечение защиты прав и законных интересов участников образовательной деятель-
ности при обработке их персональных данных; ответственность лиц, имеющих доступ к персональным данным, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных. Нельзя не учитывать то, что весь педагогический состав образовательной организации работает с персональными данными обучающихся и их законных представителей, поэтому единый документ позволит охватить все типовые требования. Главным условием защиты персональных данных является четкая и ясная регламентация функций работников, соответственно должностными инструкциями можно предусмотреть специфику выполнения некоторых должностных функций.
Письмом Федерального агентства по образованию от 29 июля 2009 г. № 17-110 «Об обеспечении защиты персональных данных» образовательным организациям предписывается необходимость определить состав и категории обрабатываемых персональных данных; провести классификацию действующих информационных систем, обрабатывающих персональные данные; осуществить организационные и технические мероприятия для обеспечения защиты персональных данных, обрабатываемых без использования средств автоматизации и информационных систем, обрабатывающих персональные данные. Также декларировать соответствие или провести аттестационные (сертификационные) испытания информационных систем, обрабатывающих персональные данные.
Требования нормативных документов к защите персональных данных относятся не к любым персональным
данным, а в первую очередь к тем, что хранятся в базах данных либо в бумажных персональных делах и картотеках, т.е. когда может быть быстро подобрана информация о человеке. В образовательной организации такой базой может стать классный журнал, в который вносится информации об успеваемости учащихся, их законных представителях, с указанием места жительства, работы, домашнего адреса и телефонов.
Если организация создает свою базу данных, это требует дополнительных нормативно-организационных мероприятий по обеспечению безопасности персональных данных. Перечень документов, необходимых для организации обработки персональных данных достаточно широк: приказ о введении режима обработки персональных данных, положение об обработке и защите персональных данных обучающихся (воспитанников) и их законных представителей (вводится приказом), приказ о должности по защите и работе с информацией, должностная инструкция по защите и работе с информацией, положение о разграничении прав доступа к обрабатываемым персональным данным, приказ о проведении внутренней проверки, перечень персональных данных и инструкция пользователя информационной системы персональных данных, которая определяет должностные обязанности всех пользователей, соответственно приказ об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, согласие-обязательство должностного лица о неразглашении персональных данных.
Также потребуется инструкция администратора информационной систе-
мы персональных данных, инструкция администратора безопасности информационной системы персональных данных, план мероприятий по обеспечению защиты персональных данных, план внутренних проверок, приказ о назначении ответственных лиц за обработку персональных данных, приказ об утверждении мест хранения материальных носителей персональных данных, концепция и политика информационной безопасности организации, образец согласия на обработку персональных данных и иные рекомендуемые документы. Объем документов достаточно большой и не всегда руководитель образовательной организации имеет финансовую и материально-техническую возможность проработать вопросы безопасности со специалистами, особенно если речь идет о муниципальных образовательных организациях.
Многие организации, с целью избежать возможных недоработок, избыточно начинают получать согласие родителей (законных представителей) на обработку персональных данных обучающихся (воспитанников) ежегодно по всем видам деятельности образовательной организации. Согласие может быть необходимо, если соответствующая информация не указана явно в договоре или в заявлении на обучение, также оно может быть получено однажды на весь период обучения.
Письменное согласие должно включать:
1) фамилию, имя, отчество, адрес субъекта персональных данных (обучающегося лица, лица поступающего в образовательное учреждение), номер основного документа, удостоверяюще-
го его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование и адрес образовательного учреждения, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персон
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.