SOS
Электронный журнал «Справочник заместителя директора школы»
Новости
ещё
свернуть
Все статьи номера Микрообучение
11
Ноябрь 2022года
Профессиональные компетенции
Юридическая консультация

Шесть ситуаций о работе педагогов с персданными по новым требованиям

Виктория Ярцева, эксперт-юрист Актион Образование,
Юлия Клюквина, редактор-эксперт журнала
В статье – примеры ситуаций, которые могут возникнуть в школе в процессе обработки персональных данных учеников или педагогов. Юрист проанализировал все ситуации и подготовил комментарии для каждой из них. Разбор конкретных примеров поможет избежать штрафов и учесть изменения в работе с персональными данными, которые начали действовать с 1 сентября. А еще есть плакат, чтобы педагоги знали, где встречают персональные данные.

За последние пять лет чиновники дважды увеличивали ответственность за нарушения в сфере персданных – в 2017 и 2021 годах. Сейчас штрафы для юридических лиц могут доходить до полумиллиона рублей (ст. 13.11 КоАП). В этом году законодательство о персональных данных еще ужесточили: теперь нужно быстро распознавать ситуации утечки персданных, чаще чем раньше сообщать о намерении обрабатывать персданные, отслеживать компьютерные атаки на данные.

Безопасность персональных данных – сложный юридический вопрос, который лучше отработать на реальных ситуациях. На тематическом педсовете предложите коллегам разобрать кейсы по безопасности персданных. Комментарий к ситуациям дает юрист-эксперт Актион Образование Виктория Ярцева.

Нормативное обоснование
Пункт 1.1 ст. 3, ч. 1 ст. 6, ч. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ


Штраф
Для работников – от 20 тыс. до 40 тыс. руб.
Для школы – от 30 тыс. до 150 тыс. руб.

Ситуация 1. Опубликовали на сайте личный номер телефона

 Анна Олеговна закончила университет и к началу учебного года устроилась в школу учителем физики. Педагог подписала разрешение на обработку персональных данных, но не прочитала внимательно документ. В течение сентября Анне Олеговне стали часто звонить родители школьников, хотя личный номер учитель никому не оставляла. Один из родителей сообщил, что нашел контакты педагога на официальном сайте школы. Анна Олеговна зашла на сайт и обнаружила, что школа опубликовала не только ее Ф. И. О., сведения об образовании и стаже, но и личный номер телефона, а также личный адрес электронной почты.

Комментарий юриста. Поскольку учитель невнимательно читала согласие, то не может уверенно сказать, было ли там упоминание номера телефона и электронной почты. Значит, нельзя сделать однозначный вывод, нарушила школа закон или нет.

По разъяснениям Роскомнадзора, школа не обязана брать согласие на обработку персональных данных работника, когда оформляет его на работу. Но в таком случае работодатель вправе обрабатывать только те данные, которые получил из документов, необходимых для приема по правилам Трудового кодекса. Цель обработки только одна – обеспечить трудовой процесс и исполнить требования законодательства.

Поскольку по Трудовому кодексу работник не обязан сообщать свой номер телефона и электронную почту, то у школы их не могло оказаться. Значит, школа брала согласие на обработку данных, которые не входят в перечень обязательных по закону, – скорее всего и на обработку номера телефона, электронной почты.

На официальном сайте образовательной организации можно публиковать без согласия сведения, которые перечислены в пункте 3.6 Требований, утвержденных приказом Рособрнадзора от 14.08.2020 № 831. Номера телефона и электронной почты в перечне нет. Поэтому их можно разместить на сайте только с согласия работника.

Если школе надо опубликовать на своем сайте данные сверх перечня из приказа Рособрнадзора, придется взять согласие субъекта на обработку его данных, разрешенных для распространения. Согласие должно соответствовать требованиям приказа Роскомнадзора от 24.02.2021 № 18. Готовой формы нет, но в приказе перечислили сведения, которые нужно написать в согласии.

Если публиковать такие сведения без согласия, то проверяющие могут выписать штраф и заставят удалить сведения с сайта.

Нормативное обоснование
Пункт 3 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, пп. 13–15 Положения, утвержденного постановлением Правительства от 15.09.2008 № 687


Штраф
Для работников – от 8 тыс. до 20 тыс. руб.
Для школы – от 50 тыс. до 100 тыс. руб.

Ситуация 2. Оставили личные дела в свободном доступе

 Ответственный за обработку персональных данных зашел в секретарскую, чтобы положить дела новых педагогов в несгораемый шкаф, где хранят документы. Его увидел директор и позвал в свой кабинет, чтобы обсудить срочный рабочий вопрос. Ответственный за обработку персданных замешкался и оставил папки с личными делами на столе секретаря, а после разговора с директором забыл положить документы в шкаф. Личные дела пролежали в секретарской до следующего дня. Неизвестно, кто мог в них заглянуть, однако через неделю все в школе обсуждали подробности родственных связей нового учителя и замдиректора.

Комментарий юриста. Оператор персданных должен обеспечивать их защиту. Поэтому хранить данные надо так, чтобы к ним имели доступ только те работники, которые вправе их обрабатывать. Бумажные документы убирайте в сейфы или шкафы с замками. Храните раздельно персданные, которые обрабатываете в разных целях. Например, документы по трудовым вопросам не смешивайте с заявлениями и приказами по образовательной деятельности.

В данном случае ответственный нарушил правила хранения персональных данных. Его можно привлечь к дисциплинарному взысканию. Если бы в результате такого проступка персональные данные стали известны третьим лицам и это причинило вред субъектам данных, то ответственного и школу привлекли бы к административной и уголовной ответственности. Субъект персданных, чьи права нарушили, – это новый учитель. Он вправе обратиться в суд и взыскать размер ущерба и морального вреда.

Нормативное обоснование
Статьи 23 и 24 Конституции, п. 2 ст. 150 ГК


Штраф
Для работников – от 8 тыс. до 50 тыс. руб.
Для школы – от 50 тыс. до 200 тыс. руб.

Ситуация 3. Передали родителю контакты учителя

 Мама Саши П. хотела обсудить с учителем математики Иваном Сергеевичем успеваемость и поведение своего сына, потому что у мальчика резко снизились отметки по предмету. После работы она зашла в школу, но педагога не застала – он уехал со своим классом на экскурсию. Однако женщина встретила классного руководителя сына, подошла к нему и объяснила ситуацию. Классный руководитель дал ей номер мобильного телефона Ивана Сергеевича, чтобы мама и педагог могли лично договориться о встрече.

Комментарий юриста. Классный руководитель не нарушил закон, если его коллега сам разрешил давать свой номер телефона родителям для связи. Если такого разрешения не было, то классный руководитель нарушил конституционные права учителя математики. Каждый гражданин обладает правом на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Использовать и распространять информацию о частной жизни лица без его согласия закон запрещает.

В данной ситуации классный руководитель не ответственный за обработку персональных данных или другое уполномоченное лицо оператора. Потому здесь нет нарушения закона о персональных данных. Однако если этот педагог входит в перечень работников, которые имеют доступ к персональным данным, то за неправомерную их передачу работника можно привлечь к дисциплинарной ответственности.

Учитель математики вправе подать на классного руководителя в суд и потребовать компенсировать ущерб и моральный вред. Если проверяющие выявят, что школа нарушила правила хранения персданных и из-за этого личный номер телефона узнали другие люди, то может оштрафовать по части 6 статьи 13.11 или по статье 13.14 КоАП.

Нормативное обоснование
Часть 3 ст. 20, ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ

Ситуация 4. Отправили лишнее уведомление в Роскомнадзор

 В ноябре учителю истории Светлане Андреевне исполнилось 45 лет и она получила новый паспорт. Педагог предоставила копии документа в отдел кадров. Специалист по обработке персональных данных внес информацию в личное дело учителя. Через три дня школа уведомила Роскомнадзор об изменении персональных данных своего сотрудника.

Комментарий юриста. Учитель истории поступила верно – своевременно уведомила работодателя-оператора об изменении своих персональных данных. Однако в данном случае оператору не надо направлять уведомление в Роскомнадзор. Оно необходимо только в двух ситуациях. Первая – до начала обработки персональных данных, то есть, по сути, после создания организации. Вторая – если меняется информация, которую указывали в уведомлении ранее. С 1 сентября 2022 года в уведомлении надо указать:

ЧИТАЙТЕ В НОМЕРЕ

Семь ошибок при подготовке к итоговому сочинению – 2022, из-за которых школе грозят разбирательства и санкции>>

Карта контроля качества урока по ФГОС-2021: подходит для любого предмета>>

Инструменты, чтобы проверить, как педагоги внедряют новые концепции преподавания>>

  • наименование и адрес оператора – школы;
  • цель обработки персональных данных;
  • меры из статей 18.1 и 19 Закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • Ф. И. О. работника, ответственного за обработку персданных, номер его телефона, почтовый адрес и адрес электронной почты;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или отсутствии трансграничной передачи персданных в процессе их обработки;
  • сведения о месте нахождения базы данных, содержащей персональные данные граждан России;
  • Ф. И. О. ответственного, который имеет доступ к персданным из государственных и муниципальных информационных систем;
  • сведения об обеспечении безопасности персданных.

Из перечня видно, что конкретные персданные не надо передавать в Роскомнадзор. Также не надо уведомлять, если их скорректировали.

Чтобы проверить, какие данные вы направляли в Роскомнадзор, зайдите в Реестр операторов, которые обрабатывают персональные данные. В нем можно посмотреть, какие данные подал о себе оператор – достаточно вписать название или ИНН школы.

За то что школа направила Роскомнадзору ненужное уведомление, ее не накажут. Возможно, ответят, что такое уведомление можно было не направлять. А если не направить Роскомнадзору информационное письмо о том, что изменились сведения из уведомления, то могут оштрафовать по статье 19.7 КоАП.

Нормативное обоснование
Статья 14 Федерального закона от 27.07.2006 № 152-ФЗ, ч. 1 ст. 12 Федерального закона от 02.05.2006 № 59-ФЗ


Штраф
Для работников – от 10 тыс. до 20 тыс. руб.
Для школы – от 60 тыс. до 100 тыс. руб.

Ситуация 5. Собирали согласия на обработку персданных для городской олимпиады

 На родительском собрании в 8 «А» классный руководитель сообщил, кто из учеников его класса будет участвовать в муниципальном этапе ВсОШ. Педагог попросил родителей этих школьников написать согласие на обработку персональных данных детей. Спустя неделю мама одного из восьмиклассников направила в школу запрос об обработке персданных своего сына для олимпиады. Она хотела уточнить, какие данные ученика планируют обрабатывать и с какой целью. Школа приняла запрос и ответила родителю, что предоставит ей информацию через 10 дней.

Комментарий юриста. Здесь две правовые ситуации. Во-первых, оператор персданных не школа, а оргкомитет муниципального этапа олимпиады. Его формируют из представителей органов местного самоуправления в сфере образования, муниципальных и региональных предметно-методических комиссий, педагогических, научно-педагогических работников, представителей общественных и иных организаций. Именно оргкомитет вправе собирать от родителей заявления и согласия на публикацию результатов на официальном сайте (п. 18 Порядка, утв. приказом Минпросвещения от 27.11.2020 № 678). Школа может только передать формы согласий родителям и заполненные документы оргкомитету, если он так распорядится. Если школа самовольно будет собирать согласия, то ее оштрафуют по части 1 статьи 13.11 КоАП.

Во-вторых, запрос родителя – это не запрос субъекта персональных данных в целях получения сведений об обработке его персданных – по смыслу Закона № 152-ФЗ. Родитель еще не дал согласия на обработку своих данных, значит, формально, оператор их еще не получил и не имеет права их обрабатывать. Школа должна ответить на этот запрос по правилам Закона о рассмотрении обращений – в течение 30 дней. Если администрация школы не владеет нужной информацией, она должна переслать запрос в орган, который вправе ответить на такие вопросы.

Нормативное обоснование
Пункты 4, 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ

Ситуация 6. Передали персданные партнеру по сетевому взаимодействию

 Школа заключила договор о сетевом взаимодействии с колледжем, на базе которого планировала проводить уроки по технологии. Также ученики получили возможность посещать в колледже кружки в рамках допобразования. Через месяц после заключения договора школа предоставила колледжу информацию об учениках, которые будут его посещать: Ф. И. О. школьников и копии их личных дел.

Комментарий юриста. Закон не регулирует обработку персданных при реализации образовательной программы в сетевой форме. Нет и разъяснений Роскомнадзора по этому поводу. Значит, нужно действовать, как при обычной форме реализации программы. Согласие не нужно брать, если зачисляете ребенка на обучение в рамках оказания госуслуги или по договору (письмо Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).

Передачу сведений и документов партнеру регулируют в договоре о сетевой форме. Чтобы не было нареканий от Роскомнадзора, включите в договор условие, что партнеры по сетевой форме обязаны соблюдать все требования, которые предъявляет законодательство к оператору. В том числе не передавать данные третьим лицам без разрешения субъектов персданных. В данном контексте колледж не является третьим лицом, так как тоже участвует в оказании образовательной услуги. Получается, что он изначально такой же полномочный оператор, как и базовая организация – школа.

Если бы не было договора о сетевой форме и школа передала бы по просьбе колледжа персданные своих учеников, ее привлекли бы к административной ответственности по части 2 статьи 13.11 КоАП.

К СВЕДЕНИЮ

Как скорректировать политику обработки персданных

Если политика не соответствует новым требованиям, ее надо обновить. С 1 сентября 2022 года в политику обработки персданных надо включить для каждой цели обработки: категории и перечень обрабатываемых персональных данных; категории субъектов, персональные данные которых обрабатываете; способы, сроки их обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных оснований. Нельзя включать в политику положения, которые ограничивают права субъектов персданных или возлагают на оператора не предусмотренные законодательством полномочия и обязанности.

Когда директор утвердил новую политику, ее нужно опубликовать на сайте школы. Сроки установите локальным актом. Если не актуализировать политику или не опубликовать ее на сайте, то проверяющие могут оштрафовать по части 3 статьи 13.11 КоАП: работников – от 6 тыс. до 12 тыс. руб., школу – от 30 тыс. до 60 тыс. руб.

Нам важно Ваше мнение! Пожалуйста, оцените статью, выбрав один из пяти смайликов внизу страницы (сервис доступен на сайте e.zamdirobr.ru ).

Содержание
Полезное
Темы
Микрообучение
Номера
Издания
Тест  0  / 0
Образовательная деятельность школы в новых условиях
О журнале
Архив номеров с 2015 года, правовая база и быстрый поиск
Способы подписки
Подпишитесь на сайте или в вашем городе
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать

Нажимая «OK», вы разрешаете использовать файлы cookie и данные о вашем поведении на сайте. Это нужно для аналитики и помогает сделать сайт удобнее. Чтобы отказаться от этого, вы можете запретить обработку cookie в настройках браузера.
Окей