Школа перестает быть безопасным пространством, все сильнее политизируясь и вставая на сторону власти, а не учеников. В таком контексте раскрытие излишней информация о детях может сделать их уязвимее, особенно когда они становятся инструментом давления на родителей. Как именно происходит сбор персональных данных, в чем риски и реально ли запретить государству следить за вашим ребенком — в нашем материале.
Как школа собирает данные
«Основным законом, регулирующим обработку персональных данных, в т.ч. данных школьников, является Федеральный закон № 152-ФЗ «О персональных данных». — говорит Мария Яковлева, директор Юридической группы «Яковлев и Партнеры». — «В дополнение к этому, Федеральный закон № 273-ФЗ «Об образовании в Российской Федерации» содержит нормы, касающиеся обработки персональных данных в контексте образовательных процессов. Могут применяться и дополнительные меры, например, Постановление Правительства РФ от 1 ноября 2012 г. № 1119 о требованиях к защите персональных данных при их обработке в информационных системах. Также могут действовать локальные нормативные акты конкретных образовательных учреждений».
Так как школьники по большей части несовершеннолетние, их персональными данными распоряжаются родители. Универсального списка того, что считается персональными данными (ПД), нет.
Персональные данные собираются через документы школьников, которые они приносят при поступлении, анкетирования и опросы, внеклассную активность. Все это сводится в личное дело, которое в итоге будет состоять из биографических данных, копий документов, удостоверяющих личность, фото, сведений об успеваемости, медицинских справок и тд.
Получать сведения не от законного представителя, а от третьей стороны, можно только с его письменного разрешения — и речь идет об официальных источниках, а не о соцсетях и тд. Если школьника заставляют заполнять анкету с вопросами о составе семьи, местах работы родителей и тд, а родители не подписывали согласие на предоставление этих данных, то это незаконно. Здесь — список самых распространенных форм согласия на обработку ПД родителями и сопутствующих документов.
Само согласие на обработку персональных данных включает, как минимум:
- фамилию, имя, отчество, адрес субъекта ПД (то есть школьника, в данном случае), документ, удостоверяющий его личность, а также ФИО, адрес и документ представителя субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых дается согласие;
- перечень действий с этими данными и описание способов обработки (к примеру, действия — сбор, систематизация, передача, удаление, а способы обработки — без передачи по внутренней сети, с передачей по сети Интернет);
- срок, в течение которого действует согласие субъекта ПД, а также способ отзыва согласия.
Специальные категории персональных данных, такие как расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, тоже допускается собирать и обрабатывать. Это обязательно должно быть четко указано в согласии, которое предлагается подписать. При обработке специальных категорий данных должны применяться повышенные меры защиты.
Персональные данные могут обрабатываться и без получения согласия, и в 152-ФЗ приведено целых 12 ситуаций, в которых это возможно. В частности, для противодействия терроризму, в связи с административным и уголовным судопроизводством и тд. Обвинения школьников в экстремизме уже не редкость, но пока силовики находятся в рамках учебного заведения, они не могут действовать чересчур произвольно. Например, некоторые родители так переживают из-за стрельбы в школах, что готовы позволить полиции проводить рейды и требовать телефоны учеников для просмотра. По закону, такие мероприятия могут проводиться только при наличии материалов проверки и протоколов, и только в присутствии родителей — школьные учителя не в счет.
После того, как родитель подписывает согласие, начинается обработка данных. Как правило, для обработки данных применяются программы и информационные системы, разработанные для школ: «Система автоматизации библиотек: ИРБИС 64», «1С: Хронограф Школа 2.5. ПРОФ», «АИС: Проход и Питание», «АИС: Образование», «Дневник. РУ» и тд. Для защиты данных школы должны установить антивирусные программы, хранить базу персональных данных без доступа к внешней сети, ПД на бумажных носителях — в сейфах и тд. Весь софт должен быть российской разработки. Также лица, имеющие доступ к ПД, обязаны не сообщать ПД третьей стороне без письменного согласия родителей (если только третья сторона — не экстренные службы).
Какие данные собирает школа
Школы являются операторами персональных данных, то есть осуществляют их обработку, определяют их состав и цели, и внесены в реестр Роскомнадзора. Операторы не обязаны передавать обрабатываемые ими данные в РКН. Они отправляют ведомству уведомление о том, чьи данные они собираются обрабатывать, какие именно данные, цель обработки и тд, но не сами данные. Закон не дает конкретные указания, что и зачем собирать, так что все школы разрабатывают свои собственные политики обработки ПД. Для примера мы рассмотрели четыре школы из разных регионов России:
| Школа | Категории субъектов, персональные данные которых обрабатываются | Категории персональных данных | Цель |
| Школа в Москве | Принадлежащие физлицам, состоящих в трудовых и иных договорных отношениях | ФИО, дата рождения, адрес, семейное положение, доходы, образование, состояние здоровья и др | Регистрация сведений физлиц, необходимых для осуществления уставной деятельности |
| Школа в Санкт-Петербурге | Работники, близкие родственники работника, работники, ранее состоявшие в трудовых отношениях, представители юридических лиц, с которыми заключены договора, заявители с обращениями (жалобами) | ФИО, дата рождения, адрес, семейное положение, доходы, образование, состояние здоровья и др + данные воинского учета, номер телефона, электронная почта | Обеспечение финансово-хозяйственной и производственной деятельности, ведение кадровой работы, бухгалтерского учета, соблюдение трудового законодательства |
| Школа в Железногорске | Работники, учащиеся, сотрудники | ФИО, дата рождения, семейное положение, образование, состояние здоровья, судимость | Оказание услуг по образовательной деятельности, оформление трудовых отношений с сотрудниками. |
| Школа в Ростове-на-Дону | Работники, учащиеся, их законные представители, физлица, с которыми имеются договорные отношения, физлица, обращающиеся по различным вопросам | ФИО, дата рождения, адрес, семейное положение, имущественное положение, образование, ИНН, номер телефона, воинский учет | Учет персональных данных работников, учет обучающихся и их родителей, заключение трудовых договоров, обработка сведений, необходимых для реализации полномочий |
Источник: реестр операторов персональных данных Роскомнадзора
Как видно, цели сбора персональных данных не всегда соответствуют составу собираемых данных. Непонятно, зачем школе в Петербурге для осуществления своей деятельности понадобились данные родственников сотрудников, а ростовской школе — имущественное положение, и что вообще понимается под этим имущественным положением. Когда оператор обрабатывает данные, не имеющие отношения к целям, он нарушает условия политики. В таких случаях можно попробовать направить жалобу в Роскомнадзор. Кроме того, ростовская и петербургская школы прекращают обработку ПД только с прекращением своего существования. О такой причине, как заявление субъекта, ни слова — а это тоже нарушение законодательства.
Кто имеет доступ к данным школьников
В теории, все сотрудники с доступом к ПД должны проходить инструктаж по обращению с персональными данными. Как обстоят дела на самом деле, можно только догадываться, но доступ к ПД есть у достаточно широкого круга лиц:
- уполномоченные работники департамента образования,
- директор,
- заместители директора по учебно-воспитательной работе, ИКТ, по соцзащите;
- секретарь,
- главный бухгалтер,
- классные руководители (только к ПД своего класса),
- ответственный за питание,
- библиотекарь,
- социальный педагог или психолог,
- инспектор по охране прав детства,
- врач или медработник.
Медработники имеют право получить персональные данные без предварительного согласия.
Данные школьников передаются в:
- медучреждения и санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций),
- охранные службы в экстренных ситуациях,
- военкомат,
- департамент образования,
- администрацию города,
- структурные подразделения органов внутренних дел, Комиссию по делам несовершеннолетних.
В обычном режиме школа не обменивается данными с полицией. По официальному запросу образовательное учреждение предоставляет требуемую информацию, но только в рамках этого запроса. Это делается без согласия на обработку ПД, оно в таком случае не играет роли. «Передача персональных данных школьников в полицию возможна только при наличии законных оснований. В большинстве случаев это происходит в рамках расследования или судопроизводства». — комментирует Мария Яковлева. — «Законодательство требует, чтобы передача данных осуществлялась строго в рамках полномочий и только в тех случаях, когда это необходимо для выполнения задач, возложенных на органы внутренних дел». Если же ученика отвезли в участок и составили протокол, полиция уведомит школу о задержании.
Зачем отказываться от сбора ПД и как это сделать
Кроме опасности накопления личных данных у потенциально враждебной организации, существует и риск утечек. С марта 2024 года Минцифры собирает ПД учеников со всей России в единую систему «Моя школа». Туда направляются сведения о возрасте, поле, дате рождения, данные паспорта или свидетельства о рождении, а также гражданстве учащихся, родителей и учителей. «Моя школа» обменивается данными с Госуслугами, которые регулярно взламываются мошенниками. Также, данные о детях школьного возраста уже давно есть в «Московской электронной школе» на портале mos.ru, с которого также утекали данные.
Во-первых, согласие на обработку персональных данных — необязательный документ. Ребенку не откажут в предоставлении образовательных услуг из-за того, что родитель не подписал документ. Равно как его будут обязаны допустить и к итоговой аттестации. Конечно, администрация школы будет давить и намекать на проблемы, и возможно даже не столько по идейным соображениям, сколько от нежелания делать дополнительную работу (например, выпускать приказ об анонимизации таких учеников в электронном журнале, или ставить оценки в бумажном журнале в случае отказа от автоматизированной обработки).
Родители имеют право отозвать данное ими согласие на обработку персональных данных в любой момент без объяснения причин. Это гарантировано основным законом, регулирующим работу с ПД — 152-ФЗ. Можно сослаться на ч.2 ст. 9. Некоторые школы принимают отказы в связи с тем, что ПД являются неполными, устаревшими, неточными или не являются необходимыми для заявленных цели обработки — можно указать последний пункт в качестве причины и попросить удалить только определенные данные.
Заявление составляется в свободной форме на имя директора, здесь можно посмотреть образец такого заявления. К сожалению, проверить наверняка, прекратила ли школа обрабатывать данные, очень затруднительно. Кроме этого, можно согласиться на неавтоматизированную обработку ПД ребенка. Тогда ПД будут существовать только на бумажных носителях и не будут вноситься в электронные базы и передаваться другим сервисам.
Можно запросить дополнительную информацию о собираемых данных: как обеспечивается их защита, кто еще получит к ним доступ, откуда именно данные будут получены, если не из общих школьных документов. Если что-то насторожит — будет проще отказаться, чем если заявлять о своем несогласии сразу. Единственное, что надо иметь в виду — отказ от обработки ПД может усложнить процесс коммуникации со школой. «Доступ к определенным образовательным и внешкольным программам может быть ограничен. Например, может быть затруднено участие в олимпиадах, конкурсах и тд». — добавляет Мария Яковлева.
Источники
Обработка персональных данных в школе
Как защитить персональные данные своего ребенка и почему это важно в 2024 году
ПОЛОЖЕНИЕ о защите, хранении, обработке и передаче персональных данных обучающихся (восптанников)
Муниципальное бюджетное общеобразовательное учреждение «Средняя школа № 7 с углубленным изучением отдельных предметов» г. Дзержинска Нижегородской области
Данные о семье и запреты ходить в туалет: 6 ситуаций, когда учителя нарушают права учеников | Мел
Может ли сотрудник МВД запросить информацию в школу по успеваемости
