Защита персональных данных

Персональные данные — любая информация, которая позволяет идентифицировать человека. Образовательные учреждения могут без получения согласия обрабатывать только общие сведения о работниках, учащихся и членах их семей. В остальных ситуациях потребуется письменное разрешение.

Выделяют следующие цели обработки персональных данных в школе:

  • создание безопасных условий жизнедеятельности участников образовательных отношений;
  • организация учебно-воспитательной деятельности по уставу учреждения и в рамках действующего правового поля;
  • реализация гражданско-правовых соглашений, где образовательное учреждение является получателем услуг;
  • оформления трудовых отношений, прием на работу.

Согласно закону от 27.07.2006 № 152-ФЗ и уставу школы, персональные данные в образовательном учреждении используются для ведения документооборота, составления отчетности, формирования личных дел, организации и осуществления учебно-воспитательной деятельности, сохранения жизни и здоровья всех участников образовательных отношений. Школа обрабатывает большое количество личной информации:

  1. Обучающиеся — фамилия, место и отчество, место и дата рождения/проживания, СНИЛС, данные о состоянии здоровья и успеваемости.
  2. Родители  — у них, кроме вышеперечисленных данных, обрабатываются паспортные и контактные данные.
  3. Работники — ФИО, фотографии, паспортные данные, СНИЛС, дата и место рождения/проживания, документы воинского учета, сведения об образовании, семейном положении, трудовой биографии, об отсутствии судимости, заработной плате, состоянии здоровья, банковские данные.
  4. Физлица, работающие по договору — паспортные и банковские данные, место жительства.

Обрабатывать специальную персональную информацию школа может только при наличии письменного согласия от работников учреждения и родителей учащихся.

Именно поэтому:

  • работники школы дают только два обязательных согласия: на публикацию фотографии на сайте и на запрос дополнительных сведений о составе семьи для оформления личной карточки;
  • родители учащихся дают разрешение на публикацию фотографий на школьной сайте, обеспечение безопасности и охраны здоровья, заполнение базы данных АИС управления качеством образования и ведение учета результатом участия в конкурсах и олимпиадах.

Согласие на использование персданных можно отозвать в любой момент.

Хранение и защита персональных данных:

Материальные носители персональных данных должны быть надежно защищены. Нормативы не устанавливают требования к местам безопасного хранения, а потому ограничить доступ к электронным и бумажным носителям данных школа устанавливает самостоятельно. Директор школы утверждает места хранения своим приказом, тогда как информацию о мерах защиты персональных данных в школе вносят в Положение:

  1. Личные данные на бумажных носителях должны содержаться в закрывающихся металлических шкафах или сейфах в помещениях с противопожарными системами. Доступ к ним следует ограничить перечнем работников, которые в процессе выполнения должностных обязанностей используют персональные данные (бухгалтер, работник кадровой службы, делопроизводитель).
  2. Специальные данные на электронных носителях защищают закрытыми папками на локальной сети. Доступ к файлам и папкам должен быть строго ограничен. На школьных компьютерах использовать особые системы защиты данных с учетом потенциальных угроз безопасности и требований действующего законодательства.

Срок хранения личной информации ограничен целями обработки персональных данных в образовательном учреждении. Когда они будут достигнуты, можно прекращать хранение, а персданные нужно будет удалить или обезличить.

Обезличивание и уничтожение личной информации:

Весь перечень персональных данных, обрабатываемых в школе, необходимо уничтожить после достижения цели их обработки. Когда учащийся выпускается из ОУ или переходит в другое учреждение, а работник — увольняется, школе нельзя продолжать обработку сведений. Директор должен инициировать создание специальной комиссии, по решению которых персданные будут уничтожены или обезличены.

Обезличивание не требует специальных средств защиты информации. Достаточно простейших методов шифрования, которые могут быть использованы в школе: данные могут храниться раздельно, части файлов можно менять местами или удалять (изменять).

Обработка персональных данных в образовательном учреждении:

Обработка персональных данных в образовательной организации ведется по письменному разрешению их владельца.

Письменное согласие на обработку персональных данных в школе не нужно, когда информация собирается по договорам о предоставлении услуг, в частности, для зачисления ребенка в образовательное учреждение или на курсы дополнительного образования, ведения электронного дневника, журнала успеваемости и прочего. Вся персональная информация ученика и его родителей, которая не имеет отношения к учебно-воспитательной деятельности учреждения, может быть получена только с письменного согласия.

Приказ о зачислении детей в первый класс не размещается. Требуется разметить на сайте и стенде общую информацию о приеме детей, а для защиты персональных данных родителей знакомить с приказами лично.

В отношении работников школы действуют аналогичные правила: вся информация, которая необходима в рамках трудового законодательства, может собираться и обрабатываться без согласия. Однако если планируется использовать другие сведения, например, о состоянии здоровья, составе семьи или для публикации фото на сайте, нужно запросить согласие. В работе с банками письменное разрешение работников не потребуется, если:

  • работодатель может представлять интересы работников по доверенности;
  • подобная норма указана в системе и форме оплаты труда;
  • соглашение на выпуск карты банковское учреждение заключает напрямую с работником школы.

Образовательное учреждение берет на себя функции обработки и защиты персональных данных для школьников и работников, в роли оператора. В этой роли ответственные за работу с информацией больше не могут допускать двоякую трактовку положений и законодательных норм (рекомендации из письма Минкомсвязи систематизировали все алгоритмы).

По требованию школа должна информировать о:

  • юридических последствиях отказа от обработки персональных данных в школе (к примеру, будет невозможно заключить трудовой договор с работником);
  • личности работника, который обрабатывает персданные, целях и сроках его работы.

Для хранения информации можно использовать только российские базы данных или те, что размещены на территории РФ.