Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) предусматривается значительное число случаев, многие из которых встречаются в деятельности учреждений образования, когда согласие субъекта персональных данных не требуется (ст. 6 и 8 Закона).
Так, критерием, который свидетельствует о неправомерности обработки персональных данных на основании согласия, может являться, в частности, тот факт, что в таких ситуациях отказ от дачи согласия на обработку персональных данных либо его последующий отзыв не влечет прекращения обработки персональных данных.
Например, родители отказываются давать согласие на обработку персональных данных воспитанника в целях «обеспечения образовательного процесса». В этом случае обработка персональных данных воспитанника осуществляется на основании необходимости выполнения обязанностей (полномочий), предусмотренных законодательными актами (Кодексом об образовании, законами, указами, декретами и принятыми в их развитие НПА Правительства или уполномоченного органа). Учреждение образования обязано обеспечивать образовательный процесс в соответствии с законодательством об образовании независимо от пожеланий родителей.
В связи с этим получение согласия в названных ситуациях является избыточной обработкой персональных данных и может повлечь ответственность, предусмотренную законодательными актами.
В тех случаях, когда получать согласие субъекта персональных данных все же необходимо, следует помнить о том, что такое согласие должно соответствовать требованиям, предусмотренным ст. 5 Закона.
Критерии получения согласия
Сам по себе факт получения согласия не делает обработку персональных данных законной, если не соблюдаются определенные Законом критерии его получения: согласие должно быть свободным, однозначным, информированным. Только при соблюдении этих критериев в совокупности согласие на обработку персональных данных признается действительным.
Согласие является свободным, когда субъект самостоятельно, руководствуясь собственным внутренним убеждением, выражает свою волю в отношении обработки персональных данных. Это означает недопустимость понуждения субъекта к даче такого согласия под угрозой наступления для него неблагоприятных последствий. Например, учреждение образования не может связывать получение согласия на обработку персональных данных (размещение фотоизображений воспитанника на сайте учреждения) и зачисление воспитанника в учреждение дошкольного образования. Это нарушает требования Закона.
При оценке, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором — давать свое согласие или нет. В отсутствие такого выбора его согласие является вынужденным.
Пример
Свободный характер согласия на обработку персональных данных не соблюдается:
• при получении согласия работника в процессе трудовой деятельности;
• получении согласия работника для целей обучения, воспитания;
• включении согласия в качестве обязательного условия в договор;
• получении единого согласия на достижение не связанных между собой целей;
• в случае невозможности отзыва согласия без ухудшения положения субъекта персональных данных;
• если обработка конкретных персональных данных является обязательным условием получения определенной услуги.
В случае объективной потребности в получении согласия на достижение нескольких не связанных между собой целей оператору следует обращаться к субъекту персональных данных за получением отдельного согласия на каждую из таких целей (принцип «одна цель — одно согласие»). При этом субъект персональных данных вправе давать согласие исключительно на те цели, которые посчитает нужными.
Для реализации требования о свободном согласии оператору (учреждению образования) необходимо предоставить субъекту персональных данных право выбора конкретных целей обработки персональных данных, с которыми он согласен или не согласен, а также указать категории персональных данных, обрабатываемые применительно к каждой из этих целей.
Таким образом, субъект персональных данных должен иметь возможность согласиться или не согласиться как с одной, так и с несколькими целями обработки. Цели обработки персональных данных в таких случаях разделяются на соответствующие чек-боксы, в которых субъект персональных данных может выразить свое согласие путем проставления отметки (галочки).
Согласие является однозначным, когда дается путем совершения четкого намеренного действия.
Пример
Не соответствует критерию однозначности получение согласия путем молчания или бездействия субъекта персональных данных, например «продолжая пользоваться сайтом, вы даете согласие на обработку персональных данных».
Согласие должно быть информированным. Даче согласия должно предшествовать предоставление субъекту всей необходимой и достоверной информации о целях обработки, об обрабатываемых данных, учреждении образования и иных лицах, которые будут осуществлять обработку, сроке обработки и другой необходимой информации.
К сожалению, практика показывает, что учреждения образования пренебрегают этим требованием и не доводят необходимую информацию до сведения законных представителей, что вынуждает последних обращаться в различные органы, в т. ч. Национальный центр защиты персональных данных (НЦЗПД).
Для того чтобы согласие соответствовало критерию информированности, учреждение образования должно ознакомить субъекта персональных данных со следующей информацией:
- наименованием и местом нахождения оператора, получающего согласие субъекта персональных данных;
- целями обработки персональных данных. При этом не допускается использование обобщающих целей: «обеспечение исполнения законодательства», «осуществление уставной деятельности», «осуществление взаимодействия с законными представителями несовершеннолетних» и др.;
- перечнем персональных данных, на обработку которых дается согласие субъекта персональных данных;
- сроком, на который дается согласие субъекта персональных данных;
- информацией об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечнем действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общим описанием используемых оператором способов обработки персональных данных;
- иной информацией, необходимой для обеспечения прозрачности процесса обработки персональных данных.
Это важно
Предоставляемая учреждением образования информация должна позволять субъекту получить ответы на вопросы: кто, зачем, каким образом, в течение какого срока и какие именно его персональные данные будет обрабатывать.
Таким образом, чтобы согласие было информированным, учреждению образования необходимо до получения согласия исполнить обязанность по предоставлению субъекту персональных данных информации, содержащейся в п. 5 ст. 5 Закона, простым и ясным языком разъяснить его права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи или отказа в даче согласия.
Данная информация должна быть предоставлена в той же форме, что и форма получения согласия.
Типичные нарушения при получении учреждением образования согласия
Анализ правоприменительной практики, обращений, поступающих в НЦЗПД, выборочный мониторинг сайтов учреждений образования показал наличие серьезных проблем, связанных с выбором правового основания обработки персональных данных для тех или иных целей.
При этом анализ форм согласия, например, родителя (законного представителя) на обработку персональных данных несовершеннолетнего, предлагаемых к подписанию рядом учреждений образования, отражает их несоответствие требованиям Закона ни по форме, ни по содержанию.
Нарушения в отношении получения согласия можно подразделить на две группы.
Первая — когда для обработки персональных данных имеются обязанности (полномочия), установленные законодательным актом. В таком случае получение согласия влечет избыточную обработку персональных данных.
Пример
Во многих формах согласия встречались следующие цели обработки: для обеспечения образовательного процесса (вариант — в целях осуществления обучения и воспитания), в целях физического воспитания, участия в конкурсах и других образовательных мероприятиях, спортивно-массовой, общественной, экспериментальной, инновационной деятельности и ряд иных целей, для которых персональные данные должны обрабатываться на правовых основаниях, установленных ст. 6 или п. 2 ст. 8 Закона.
В связи с этим отметим, что получать согласие при зачислении в учреждения образования не требуется. Обработка персональных данных осуществляется в таких случаях на основании абз. 20 ст. 6 Закона.
Вторая группа — когда берется общее (единое) согласие на различные цели, при этом не обеспечивается свободный и информированный характер согласия. В итоге соответствующая обработка персональных данных нарушает требования Закона.
Отметим также, что форма согласия на обработку персональных данных разработана НЦЗПД. Предлагается применять ее в качестве основы и дорабатывать с учетом специфики образовательной деятельности.
Хранение согласий
Согласно п. 7 ст. 5 Закона обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.
Поэтому получение согласия следует организовать таким образом, чтобы учреждение образования в любой момент могло подтвердить данный факт. Механизм подтверждения получения согласия субъекта персональных данных определяется учреждением образования самостоятельно.
При этом в случае получения согласия субъекта персональных данных в письменной форме или форме электронного документа учреждению образования следует вести учет полученных согласий.
Не обязательно хранить все полученные согласия централизованно, в одном месте.
Пунктом 331 перечня типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей (утв. постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов»), установлено, что согласия субъектов персональных данных на обработку их персональных данных хранятся 1 год после окончания срока, на который дается согласие.