Национальный центр защиты персональных данных Республики Беларусь (далее — НЦЗПД) по итогам цикла онлайн-практикумов «Оборот персональных данных в образовании: порядок обработки и защиты» подготовил разъяснения о применении Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) в сфере образования (далее — Разъяснения) и 30 августа 2022 г. разместил их на своем сайте.
Справочно: с документом можно ознакомиться по короткой ссылке clck.ru/xrVCx.
Правовая природа Разъяснений
В п. 7 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных») закреплено, что НЦЗПД в т. ч. дает разъяснения по вопросам применения законодательства о персональных данных, проводит иную разъяснительную работу о законодательстве о персональных данных.
Хотя на сайте НЦЗПД документ называется разъяснениями, в самом документе указано, что это «информация о применении Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных” в сфере образования».
Полагаем, что речь все же идет о разъяснениях в значении п. 2 ст. 69 Закона Республики Беларусь от 17.07.2008 № 130-З «О нормативных правовых актах», согласно которому нормотворческие органы (должностные лица), реализующие государственную политику, осуществляющие правовое регулирование и управление в определенной отрасли (сфере деятельности) или к компетенции которых отнесено решение соответствующих вопросов, либо другие уполномоченные государственные органы (организации) при необходимости подготавливают письменные разъяснения применения НПА.
Определение персональных данных
Определение персональных данных приведено в ст. 1 Закона. На практике правильное определение персональных данных позволяет надлежащим образом провести аудит потоков обработки персональных данных, составить реестр обработки персональных данных, определить документы, содержащие персональные данные, принять меры по допуску к персональным данным, которые обрабатываются в организации, и т. п.
Это важно
Правильное понимание того, что является персональными данными, исключительно важно при работе с ними в т.ч. для предупреждения нарушений законодательства о защите персональных данных.
Персональные данные, идентифицирующие физическое лицо
Выделяются два вида информации, которая может признаваться персональными данными:
- информация, относящаяся к идентифицированному лицу;
- информация, относящая к лицу, которое может быть идентифицировано.
Идентифицированным является лицо, личность которого уже известна, которое однозначно выделено среди иных лиц (на него можно конкретно указать, установить контакт с данным лицом и т. п.).
Как правило, информация, относящаяся к идентифицированному лицу, — это ФИО лица в совокупности с другими данными, которые однозначно выделяют его среди иных лиц.
ПРИМЕР
Ковалев Михаил Михайлович, папа воспитанника Ковалева Сергея Михайловича, проживающий по адресу: г. Минск, ул. Уручская, 11–45.
Физическим лицом, которое может быть идентифицировано, согласно абз. 17 ст. 1 Закона признается лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
В данном случае НЦЗПД выделяет две ситуации:
1) когда физическое лицо может быть прямо определено, т. е. его личность можно установить на основании имеющейся информации без использования дополнительных сведений;
ПРИМЕР
Заведующий ГУО «Детский сад № 3 г. Минска», заведующий кафедрой аналитической экономики и эконометрики Белорусского государственного университета и т.п.
2) когда физическое лицо может быть косвенно определено, т. е. его личность нельзя установить на основании имеющейся информации, но это можно сделать путем объединения такой информации с иными располагаемыми сведениями или сведениями, которые могут быть получены из других источников.
ПРИМЕР
Напрямую неизвестно, кто был победителем областной олимпиады по математике 2019 г., но это лицо можно идентифицировать, получив дополнительную информацию в учреждении образования (управлении образования, у организаторов олимпиады).
Еще один такой пример — лучший работник (воспитатель дошкольного образования, заместитель заведующего по основной деятельности и т. п.) 2022 г.
Согласие на обработку персональных данных
Одним из примечательных моментов в Разъяснениях является позиция НЦЗПД в отношении получения согласия про запас и т. п.
Обратите внимание
Запрос согласия в случае, когда для этого нет правового основания, — это нарушение законодательства о защите персональных данных.
Если обработка персональных данных может осуществляться на одном из оснований, перечисленных в ст. 6 и (или) п. 2 ст. 8 Закона, получать согласие субъекта персональных данных на обработку его персональных данных (независимо от цели обработки) не требуется. Получение согласия в этом случае рассматривается как избыточная обработка персональных данных, что является нарушением Закона и влечет административную и иную ответственность согласно ст. 19 Закона и иным законодательным актам. Иными словами, согласие не является универсальным или обязательным условием для обработки персональных данных.
Административная ответственность — это в данном случае ответственность по ч. 2 ст. 23.7 КоАП, т. е. за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью (влекут наложение штрафа в размере от 4 до 100 базовых величин). Иной ответственностью, полагаем, можно считать дисциплинарную ответственность вплоть до увольнения по п. 10 ч. 1 ст. 47 ТК (нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных).
Напомним, что согласно п. 6 Декрета Президента Республики Беларусь от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций» (далее — Декрет № 5) данное основание увольнения является увольнением по дискредитирующим обстоятельствам, что дополнительно влечет ограничение при приеме на работу на руководящие должности в течение 5 лет после такого увольнения (п. 9 Декрета № 5), а также запрет на поступление на государственную службу (согласно подп. 1.11 п. 1 ст. 38 Закона Республики Беларусь от 01.06.2022 № 175-З «О государственной службе» гражданин не может быть принят на гражданскую службу в случае увольнения по основаниям, признаваемым в соответствии с законодательными актами дискредитирующими обстоятельствами увольнения, в течение 2 лет после такого увольнения, а на гражданские должности, включенные в кадровые реестры, — в течение 5 лет после такого увольнения, если иное не установлено Президентом Республики Беларусь).
Указание на ст. 19 Закона в данном случае, полагаем, также означает право пострадавшего физического лица на возмещение морального вреда. Согласно п. 2 ст. 19 Закона моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Размещение фото- и видеоизображений на сайте
На практике возникает достаточно много вопросов по поводу размещения фото- и видеоизображений в новостной строке на сайтах. По сути, в этом случае есть определенная коллизия между Законом и иными НПА.
Заведующему на заметку
До внесения соответствующих изменений в акты законодательства государственным учреждениям образования следует руководствоваться Положением о порядке функционирования интернет-сайтов государственных органов и организаций (утв. постановлением Совета Министров Республики Беларусь от 29.04.2010 № 645 (далее —Положение)).
В связи с этим размещение на основании подп. 7.7 п. 7 Положения по решению руководителя государственного учреждения образования на интернет-сайте, в соцсетях фотографий и видеозаписей с изображением участников мероприятия (в т. ч. несовершеннолетних) без получения их согласия в рамках новостного контента, освещения спортивных, культурных, образовательных мероприятий не рассматривается как нарушение Закона.
При этом, как указано в Разъяснениях, независимо от правовых оснований обработки персональных данных необходимо соблюдать требования, предусмотренные ст. 4 Закона, в т. ч. о соразмерности обработки персональных данных заявленным целям их обработки, об исключении избыточности обработки персональных данных.
Это важно
Если съемка проводится учреждением образования на публичном мероприятии или в месте, открытом для свободного посещения, изображение ребенка не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.
Если акцент делается на изображении ребенка, то для размещения такой фотографии или видеоизображения необходимо получать согласие участника мероприятия (в отношении несовершеннолетнего в возрасте до 16 лет — согласие одного из его законных представителей).
В целом, по мнению автора, сложность для учреждений образования заключается в т. ч. в том, что у них нет достаточного представления, в каких случаях можно получать согласие. Полагаем, полезным было бы создание примерного перечня таких случаев. Кроме того, учитывая, что в качестве альтернативы есть такое правовое основание обработки персональных данных, как заявление субъекта персональных данных (абз. 16 ст. 6 Закона), полагаем, было бы полезно разъяснение НЦЗПД, в чем отличия между указанными правовыми основаниями и всегда ли заявление может заменять собой согласие (точнее, в каких случаях заявление не может заменять собой согласие).
Примечание: кроме вопроса о порядке обработки персональных данных при фото- и видеосъемке возникают и вопросы о применении неимущественных прав граждан на изображение (а также права на частную жизнь), авторских прав, законодательства о защите прав ребенка и вопросы наследования таких прав.
Обработка персональных данных в мессенджерах
В п. 2.7 Разъяснений указано, что относительно размещения информации, содержащей персональные данные, в создаваемых обучающимися, их родителями группах в мессенджерах необходимо учитывать, что данные отношения, несмотря на наличие обработки с использованием средств автоматизации, не являются предметом регулирования Закона. Такая обработка персональных данных осуществляется указанными лицами в процессе исключительно личного использования и не связана с их профессиональной или предпринимательской деятельностью (абз. 2 п. 2 ст. 2 Закона).
Полагаем, что эту часть Разъяснений следовало бы осветить более детально, т. к. здесь очень много нюансов.
Во-первых, в соответствующих группах в Viber и подобных мессенджерах активно участвуют педагогические работники, а иногда и руководители (их заместители) учреждений дошкольного образования. В такой ситуации, полагаем, говорить о том, что обработка персональных данных осуществляется исключительно в личных или бытовых целях, затруднительно.
Во-вторых, если участия педагогического или иного работника учреждения образования в такой обработке персональных данных нет, то это еще не означает, что не применяется Закон, а самое главное, административная ответственность за его нарушение.
Если нет участия учреждения образования, то оно не выступает в качестве оператора или иного участника обработки персональных данных. Но это само по себе не освобождает участников такой обработки от ответственности.
Справочно: за 2022 г. суды Республики Беларусь привлекли к административной ответственности десятки лиц по ч. 3 ст. 23.7 КоАП, т. е. за обработку персональных данных, не связанную с их профессиональной или предпринимательской деятельностью.
Предоставление персональных данных по запросу
Соблюдение конфиденциальности и обеспечение правомерности предоставления сведений, содержащих персональные данные, на практике вызывает многочисленные вопросы, т. к. Закон относительно новый, и многие правоприменители сталкиваются со сложностями при ответе на запросы о предоставлении таких сведений (как правильно поступить, как обосновать свою позицию руководству и иным лицам (контрагентам) и т. п.).
В Разъяснениях НЦЗПД высказывает свою позицию по данному вопросу. Так, в случае направления запроса о предоставлении персональных данных запрашивающий орган (организация) должен указать правовые основания для запроса, цель обработки, содержание и объем запрашиваемых персональных данных. При этом если правовым основанием обработки персональных данных является согласие субъекта персональных данных, то запрос направляется с приложением копии согласия.
Далее НЦЗПД указывает, что наличие правового основания не снимает с учреждений образования, предоставляющих персональные данные, обязанностей по соблюдению требований ст. 4 Закона, в т. ч. по исключению чрезмерной обработки (предоставления) персональных данных и информированию субъекта персональных данных о том, какие персональные данные и кому предоставлялись.
Учреждение образования, предоставляющее информацию, при наличии сомнений может запрашивать дополнительную информацию на предмет соблюдения положений ст. 4 Закона, в частности, уточнения целей и, соответственно, объема информации, необходимой для их достижения.
В целом, полагаем, указанное разъяснение актуально не только для учреждений образования, но для всех организаций.
Видеонаблюдение как мера пропускного режима
НЦЗПД неоднократно высказывался о некоторых вопросах видеонаблюдения (например, в п. 7 Рекомендаций об обработке персональных данных в связи с трудовой (служебной) деятельностью (короткая ссылка — clck.ru/xsBdS), а также в ответах на отдельные вопросы, размещенных как на сайте, так и в Telegram-канале НЦЗПД).
В частности, НЦЗПД указывает, что в отдельных случаях:
1) видеонаблюдение используется в силу прямого требования законодательных актов.
Например, использование системы видеонаблюдения предусмотрено в случае отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности. Порядок ее использования и виды соответствующих объектов определены Указом Президента Республики Беларусь от 28.11.2013 № 527 «О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка», а постановлением Совета Министров Республики Беларусь от 30.12.2013 № 1164 установлены критерии отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности;
2) необходимость использования видеонаблюдения напрямую не предусмотрена законодательными актами, но оно нужно для выполнения обязанностей (полномочий), вытекающих из законодательных актов.
К числу таких обязанностей (полномочий), в частности, относится:
При этом контроль за деятельностью и поведением работников не может выступать в качестве единственной цели использования видеонаблюдения, но может являться следствием реализации нанимателем своих обязанностей (полномочий), вытекающих из законодательных актов;
3) видеонаблюдение используется с согласия субъектов персональных данных.
Учитывая, что при использовании системы видеонаблюдения осуществляется сбор и фиксация широкого спектра информации (видеонаблюдение независимо от цели затрагивает всех лиц, попадающих в объектив видеокамеры, осуществляется в постоянном режиме, позволяющем выявлять поведенческие признаки субъектов персональных данных, их психологическое состояние и т. п.), обработка персональных данных при видеонаблюдении может осуществляться нанимателем только при условии, что иными способами, предусматривающими меньшее вмешательство в частную жизнь работников и их персональные данные, нельзя достичь цели, закрепленной в законодательстве.
ПРИМЕР
Учет явки работников на работу и ухода с нее может быть организован с применением карточки без использования специально для этих целей системы видеонаблюдения.
Кроме того, при выборе способа обработки персональных данных работников для достижения соответствующих целей следует учитывать положения п. 2 ст. 4 Закона о необходимости справедливого соотношения интересов всех заинтересованных лиц при обработке персональных данных.
По сути, указанное выше повторено в Разъяснениях для образовательных организаций, но с определенными уточнениями.
Так, для целей обеспечения охраны физических лиц, имущества учреждения образования от противоправных посягательств в соответствии с Законом об охранной деятельности, Указом № 534пропускной режим и видеонаблюдение рассматриваются в качестве мероприятий, направленных на исключение бесконтрольного входа (выхода) на охраняемый объект.
Иными словами, обработка персональных данных (в учреждениях образования) осуществляется на основании абз. 20 ст. 6 Закона.
При этом в целях обеспечения принципа прозрачности обработки персональных данных (п. 6 ст. 4 Закона) субъекты персональных данных должны быть проинформированы о видеонаблюдении с помощью специальных информационных знаков (табличек), размещенных на территории, где оно ведется.
Это важно
Не допускается использование видеонаблюдения для наблюдения за местами, предназначенными для личных нужд (туалеты, комнаты отдыха, раздевалки и т.п.).
Видеозаписи не могут быть использованы в личных и иных целях, не связанных с профессиональной деятельностью, и не подлежат изменению, использованию, распространению и предоставлению, кроме случаев, предусмотренных законодательными актами.
Обратите внимание
Обработка фотографий посетителей учреждений образования для видеораспознавания лиц (для уникальной идентификации) в системе пропускного режима при организации пропускной системы не допускается.
Такая обработка не соответствует требованиям, предусмотренным ст. 4 Закона, в т. ч. требованию о необходимости справедливого соотношения интересов всех заинтересованных лиц при обработке персональных данных. Принимая во внимание категорию персональных данных (специальные персональные данные), такая обработка может осуществляться лишь в тех случаях, когда иными способами нельзя достичь цели, закрепленной в законодательстве.