Защита персональных данных в учреждениях дошкольного образования: отвечаем на сложные вопросы

Какие персональные данные (сотрудников, воспитанников, родителей) учреждение образования может размещать в открытых источниках (на сайте, в социальных сетях), освещая свою деятельность? В частности, можно ли указывать ФИО, фото, должность, возраст, образовательный и квалификационный уровень, семейные отношения, дипломы, сертификаты и пр.? Требуется ли письменное согласие?

Письменное согласие субъекта на распространение его персональных данных в сети Интернет требуется в случае, когда акцент в изображении (фото, видео) делается на лице человека, что позволяет его идентифицировать.

Если субъект достиг возраста 16 лет, согласие на обработку персональных данных он дает самостоятельно. Если же ребенок не достиг 16 лет, в соответствии с абз. 2 п. 9 ст. 5 Закона Респуб­лики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З) согласие на обработку его персональных данных дает один из его родителей (иных законных представителей).

Но даже полученное согласие не дает права произвольно определять объем персональных данных, которые будут размещаться (распространяться) в сети Интернет, и не делает законным избыточное распространение персональных данных.

При определении объема персональных данных, размещаемых в сети Интернет в целях информационного освещения деятельности учреждения образования, необходимо руководствоваться общими положениями ст. 4 Закона № 99-З, а именно:

• обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц (п. 2);
• обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей; не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки (п. 4).

Таким образом, следует ограничиваться необходимым объемом информации, не допуская избыточного ее распространения в сети Интернет, когда это не вызывается конкретной законной целью такого распространения.

Кроме того, необходимо учитывать требования о соразмерности и справедливом соотношении интересов применительно к разным категориям субъектов персональных данных.

Для работников УДО допустимым объемом персональных данных, распространяемым в сети Интернет, могут быть (еще раз обратим внимание — когда это вызывается необходимостью): ФИО, изображение, должность, образовательный и квалификационный уровень, дипломы, сертификаты. Семейные отношения, возраст работника — это уже избыточная обработка персональных данных.

Для родителей (законных представителей) допустимым объемом персональных данных могут быть ФИО, изображение, родство (мать, отец).

В отношении детей необходимо учитывать особую чувствительность их персональных данных и необходимость повышенной защиты детей. Поэтому при информационном освещении деятельности учреждения образования в целях защиты ребенка, как правило, надо исключать указание его фамилии, имени, отчества, места жительства и ограничиваться его изображением, а при необходимости указывать имя, возраст.

Что делать в случаях, когда согласие на обработку персональных данных необходимо, а человек отказывается его давать?

Нельзя принуждать человека давать согласие на обработку персональных данных. Это противоречит п. 1 ст. 5 Закона № 99-З, согласно которому «согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».

С вышеуказанным вопросом субъекты персональных данных сталкиваются:

• из-за непонимания положений ст. 4, 6 и 8 Закона № 99-З;
• отсутствия в УДО грамотно разработанного реестра обработки персональных данных.

Согласие субъекта не является единственным законным основанием для обработки персональных данных. В п. 3 ст. 4 Закона № 99-З определено: «Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, преду­смотренных настоящим Законом и иными законодательными актами».

В ряде случаев учреждение при выполнении своих обязанностей, реализации полномочий не может зависеть от согласия или несогласия субъекта персональных данных. Кроме того, субъект может отозвать свое согласие в любое время без объяснения причин, что не должно препятствовать законной деятельности УДО.

Правовые основания обработки без согласия субъекта персональных данных, не являющихся специальными, перечислены в ст. 6, специальных персональных данных — п. 2 ст. 8 Закона № 99-З.

При разработке реестра обработки персональных данных в нем должны быть отражены конкретные законные цели сбора, использования и иной обработки персональных данных, а также для каждой цели отдельно — правовое основание обработки со ссылкой на конкретный законодательный акт (при необходимости — и на иные НПА), которые обязывают или позволяют УДО осуществлять деятельность без согласия субъекта.

Только тогда, когда отсутствуют такие правовые основания обработки персональных данных, предусмотренные ст. 6 и п. 2 ст. 8 Закона № 99-З, в реестре отражается обязанность УДО по получению согласия субъекта персональных данных.

До приема на работу наниматель запрашивает персональные данные будущего сотрудника. Необходимо ли оформлять согласие будущего работника?

Нет. В согласии соискателя на трудоустройство при запросе информации, когда УДО обязано ее запросить в силу требований законодательных актов, нет необходимости.

Правовым основанием запроса информации без согласия субъекта являются абз. 20 ст. 6 и абз. 17 п. 2 ст. 8 Закона № 99-З:

• запрос о предоставлении характеристики с предыдущего места работы — в соответствии с п. 11 Декрета Президента Республики Беларусь от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций»;
• запрос из единого государственного банка данных о правонарушениях сведений о совершении соискателем на трудоустройство преступлений, предусмотренных ст. 139, 145–147, 154, чч. 2 и 3 ст. 165, гл. 20, ст. 172, ч. 2 ст. 173, ст. 181, 182, 187, 342¹, 343 и 343¹ Уголовного кодекса Республики Беларусь, в соответствии со ст. 27¹ Закона Республики Беларусь от 19.11.1993 № 2570-XII «О правах ребенка» и т. д.

Запрос названной информации и иная обработка полученных персональных данных должны быть отражены в реестре обработки персональных данных с указанием конкретных правовых оснований, позволяющих УДО запрашивать информацию без согласия соискателя на трудоустройство.

Какой перечень документов, касающихся защиты персональных данных, должен быть в УДО?

Конкретный перечень документов, которые должны быть в УДО, законодательством не определен.

Обязанности по защите персональных данных у УДО такие же, как и у других организаций-­операторов. Они определены ст. 17 Закона № 99-З. Каждое УДО (как и любая другая организация) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований законодательства.

В комплект документов для правового обеспечения защиты персональных данных входят (это обязательно):

• политика учреждения образования в отношении обработки персональных данных;
• приказ о назначении работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• положение о порядке обработки персональных данных;
• положение об организации внутреннего контроля за обработкой персональных данных;
• положение о порядке доступа к персональным данным (в том числе обрабатываемым в информационных ресурсах (системах));
• реестр обработки персональных данных;
• формы согласий на обработку персональных данных различных категорий субъектов (работников, родителей (иных законных представителей) и др.);
• приказ об утверждении перечня информационных ресурсов (систем), содержащих персональные данные, и категорий персональных данных, подлежащих включению в них;
• дополнения в должностные инструкции, содержащие положения о защите персональных данных.

При необходимости разрабатываются и другие юридические документы.

В этих документах определяются обязанности работников, их ответственность, полномочия лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, разграничение и ограничение доступа работников к персональным данным с учетом трудовой функции каждого.

В заявлениях родителей о том, кому можно отдавать ребенка из сада, указываются ФИО этих людей, паспортные данные. Законно ли это?

Да, такие заявления пишут и подписывают сами родители (иные законные представители) ребенка.

В соответствии с Кодексом об образовании учреждения образования обязаны обеспечивать создание безопасных условий при организации образовательного и воспитательного процессов (ст. 19); в числе основных требований к организации образовательного процесса названы охрана жизни и здоровья обучающихся, создание безопасных условий при организации образовательного процесса (ст. 83); учреждения образования при осуществлении образовательной деятельности создают условия для обеспечения охраны жизни и здоровья обучающихся (ст. 41) и т. д.

Для выполнения этих требований УДО должно понимать, кому кроме родителей (иных законных представителей) оно передает ребенка и, соответственно, доверяет ответственность за его безопасность, жизнь и здоровье. Цель обработки персональных данных, указываемых в заявлениях родителей о том, кому можно отдавать ребенка из сада, в данном случае является конкретной и законной, а их объем, по нашему мнению, не будет избыточным.

Какова форма заявления законных представителей воспитанников о согласии на обработку персональных данных? Есть ли определенная форма согласия для работников УДО и законных представителей воспитанников? Если есть, где ее можно взять?

Установленной формы согласия нет.

Документ правильно называется не «заявление о согласии на обработку персональных данных», а «согласие родителя (иного законного представителя) на обработку персональных данных его ребенка».

Формы согласий на обработку персональных данных разрабатывает каждое УДО самостоятельно для каждой категории субъектов отдельно (для работников, родителей, иных законных представителей).

При разработке рекомендуем обратиться к сайту Национального центра защиты персональных данных, где размещена примерная форма согласия (goo.su/hIig2F).

Возможно, в разработке форм согласий окажут содействие вышестоящие органы управления образованием.

При этом важно сначала грамотно разработать реестр обработки персональных данных, определить в нем случаи, когда действительно надо получать согласие родителей (иных законных представителей), а когда такое согласие не требуется, чтобы не допустить избыточного получения согласия у родителей (иных законных представителей) и работников.

Избыточное получение согласия само по себе является нарушением Закона № 99-З.