27 июля 2006 года принят Федеральный
закон №152-ФЗ «О персональных данных». Целью данного Федерального закона
является обеспечение защиты прав и свобод человека и гражданина при
обработке его персональных данных (далее ПДн), в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
Под персональными данными Закон понимает «любую информацию, относящуюся
к определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес,
семейное, социальное, имущественное положение, образование, профессия,
доходы, другую информацию;» (см. ст.3 п.1 ФЗ №152 от 27.07.2006).
Закон требует, в
частности, чтобы каждое образовательное учреждение обеспечило защиту
персональных данных о своих учащихся и работниках. При этом Закон
установил требование до 1.01.2010 (а с учетом недавно внесенных в него
изменений отсрочил это требование до 1 января 2011 года) реализовать
весь комплекс технических мер по защите персональных данных. Таким
образом, за 2010 год необходимо осуществить приведение информационных
систем в соответствие с требованиями законодательства. Централизованную
системную работу в этой области осуществляет Департамент образования
города Москвы, Центр информационной безопасности систем образования
МИОО, другие уполномоченные организации: будут упорядочены и приведены в
соответствии с требованиями закона все информационные системы
Департамента образования города Москвы (в том числе, используемые
образовательными учреждениями), оказана помощь образовательным
учреждениям, эксплуатирующим собственные информационные системы,
прекращено использование систем, не соответствующих требованиям закона.
В соответствии с Законом, следует собирать в электронных базах только ту
информацию о детях, которая требуется по действующим законам или
непосредственно необходима для организации учебного процесса. Всю
«лишнюю», (хотя может быть и полезную в некоторых случаях) информацию
следует исключить из Ваших баз.
Школа должна донести
следующую информацию до родителей учащихся (Прилагаем примерный вариант
текста для размещения на сайте школы в разделе «Для родителей»):
- Закон требует получить согласие
субъекта персональных данных на их обработку в информационной системе.
Такое согласие вместо ребенка дают его законные представители (родители
или опекуны). Они имеют право не давать такого согласия или запретить
школе осуществлять некоторые действия с персональными данными своего
ребёнка (например, запретить передавать эти данные ВУЗам). При этом
школа может не получать такое согласие в случаях, если обработка
персональных данных осуществляется на основе Федеральных законов
(например, Закона «Об образовании»), если обработка ПДн осуществляется в
статистических целях (при этом не используются имена детей), а также
если обработка ПДн необходима для защиты жизни, здоровья ребенка или в
иных экстренных ситуациях.
- В следующих случаях школа обязана иметь письменное согласие родителей (законных представителей):
- персональные данные при их обработке становятся общедоступными (например, размещаются в открытом доступе на сайте школы);
- персональные данные относятся к категории
специальных: расовая, национальная принадлежность, политические взгляды,
религиозные и философские убеждения, состояние здоровья, интимная
жизнь;
- обрабатываются биометрические персональные данные (в частности, информация о здоровье ребенка);
- персональные данные передаются за границу;
- принимаются решения, порождающие юридические
последствия в отношении ребенка или иным образом затрагивающее его права
и законные интересы (например, решения о зачислении в вуз, вручение
премии или гранта), исключительно на основании автоматизированной
обработки его ПДн.
- Получая согласие на обработку ПДн ребёнка школа обязана проинформировать родителей (законных представителей)
- о целях обработки ПДн;
- о перечне ПДн, на обработку которых дается согласие;
- о перечне действий с персональными данными,
на совершение которых дается согласие;
- o сроке, в течение которого действует согласие,
- а также порядке его отзыва.
Закон и другие нормативные акты
довольно тонко регламентируют работу с персональными данными, к
сожалению, неспециалисту сложно разобраться в этом без грамотной
консультации, можно случайно нарушить закон, или наоборот потратить
ненужные силы и средства. Например, действующая нормативная база
позволяет без специальных разрешений вести копию классного журнала на
компьютере учителя, если сведения из него не вносятся в стороннюю базу
данных и никуда не передаются (см. ст. 22 ФЗ №152 и Постановление Правительства РФ №152 от 15.09.08).
А, например, общешкольную базу данных, содержащую все сведения об
учащихся, включая медицинские данные, следует обязательно
регистрировать, а также защищать от несанкционированного доступа с
использованием довольно дорогостоящих средств.
Поэтому, следует крайне внимательно подходить к объему данных,
собираемых с учащихся и родителей и обрабатываемых с использованием
средств автоматизации, внимательно подходить к закупке, и тем более, к
использованию самостоятельно разработанных средств автоматизации работы с
данными.
По распоряжению Департамента образования методическое
содействие школам будет оказывать Центр информационной безопасности
систем образования МИОО (ЦИБ МИОО). Он поможет привести Ваши данные в
соответствие требованиям закона, оформит необходимые документы, а также
внесет Вашу базу в реестр. Конечно, каждая школа имеет право вести и
собственные, не учтенные в центральном реестре Департамента образования,
информационные системы, но при этом следует иметь ввиду, что ей
самостоятельно придется решать весь комплекс достаточно непростых и
дорогостоящих мероприятий включая вопросы аттестации своих баз
Федеральными регуляторами этой деятельности (ФСТЭК, ФСБ России).
Напоминаем, что ответственность за несоблюдение
правил работы с ПДн несёт руководитель образовательного учреждения.
С 15 января 2010 года на странице Центра информационной
безопасности
сайта МИОО будут доступны оперативно обновляемые правовые комментарии по
соответствию основных используемых в системе московского образования
баз данных: системы «СтатГрад», сбору данных по олимпиадам, по ЕГЭ,
«Школьному офису» (Всеобучу), перечень разовых акций, (фамилии детей,
которые идут на массовые мероприятия, например, на встречи с
руководителями города или страны, или посещающих спектакли, концерты,
выставки).
В качестве примеров соблюдения ФЗ-152 уже сегодня
можно привести включение в форму заявления на ЕГЭ-2010 письменного
согласия родителей,
передачу по системе «СтатГрад» только
обезличенной (не содержащей имён) информации по итогам контрольных
работ,
а также большую работу педагогического сообщества города
на стадии подведения итогов школьных олимпиад, позволившую проводить
сбор данных о победителях и призёрах этапов Всероссийской олимпиады в
городе Москве (вплоть до заключительного этапа) и открытую публикацию
списков победителей и призёров в сети.
Вопрос о
необходимости сбора письменных согласий на традиционную (в ряде школ)
публикацию полных списков учеников и выпускников (когда публикуются
только фамилия и имя) является примером одной из тонкостей ФЗ-152. На
нынешней стадии он не требует изменения
действий администрации ОУ, разъяснения по этому поводу будут даны на
сайте ЦИБ к концу учебного года.
В случае, когда образовательное учреждение получает
запрос на предоставление персональных данных учеников или сотрудников,
вызывающий сомнение в связи с положениями ФЗ-152, любой представитель
администрации
ОУ может обратиться за оперативной правовой консультацией в ЦИБ по
указанным координатам. Распоряжения Департамента образования и его
подразделений будут соответствовать нормам ФЗ, случаи исключений
(до полного введения в действие этого Закона) оговариваются отдельно.
Более подробную информацию
можно получить в специально разработанной МИОО брошюре, и, разумеется, в
текстах нормативных актов (актуальный на данный момент список приведен в
приложении). Вопросы можно задать по электронной почте горячей линии
Департамента образования и МИОО
152@mioo.ru