Что такое персональные данные
Это сведения, которые позволяют идентифицировать конкретное физическое лицо. Образовательные учреждения обязаны хранить ПДн: воспитанников ДОУ, учеников школы, их родителей или опекунов, а также воспитателей, учителей.
К ПДн относятся:
- Фамилия, имя, отчество.
- Состояние здоровья.
- Дата рождения.
- Данные документов — свидетельства о рождении или паспорта.
- Адрес регистрации (пребывания) и текущего места проживания.
- Номер страхования.
- ИНН.
- Номер телефона.
- Email.
- Фотографии и биометрия.
- Сведения о трудоустройстве.
- Данные об успеваемости учащихся.
- и т.д.
Если вы сомневаетесь, считается ли информация ПДн или нет, задайте вопрос: «Эти данные как-либо позволяют идентифицировать конкретное лицо?». Если да, то это ПДн.
Например, если вы получили номер телефона ученика, который он использовал для регистрации в ВК, — это личные данные. А если у вас есть ссылка на открытую группу школы в ВК, где многие подписчики — ученики и родители, то это публичная информация.
Правовая основа защиты персональных данных в общеобразовательных учреждениях
Обращение с ПДн регулируется законами №152-ФЗ и №149-ФЗ. Кроме того, есть местные нормативы организации, закон об образовании, трудовой кодекс и другие документы, связанные с защитой персональных данных в школе, ДОУ и других образовательных организациях.
Что главное нужно знать:
- Сбор и обработка данных возможны только в том случае, когда сотрудник, опекун или родитель несовершеннолетнего дали письменное согласие.
- Хранение согласий в течение всего срока действия, плюс еще 3 года.
- Использовать ПДн можно только в необходимых рамках с гарантией неприкосновенности приватной жизни.
- Учебное заведение — оператор, который несет ответственность за все технические вопросы по получению, обработке и защите ПДн.
- О начале обработки ПДн нужно оповестить Роскомнадзор.
Защита персональных данных в ДОУ, школах и других образовательных организациях может быть простой задачей, если учитывать правила документооборота.
Как работать с ПДн в образовательном учреждении
Подробные рекомендации по процессу обработки ПДн в школах и детских садах описаны в Письме Минкомсвязи № ЛБ-С-074-24059. Работа с ПДн строится из этапов:
- Назначить сотрудника, который несет ответственность за обработку ПДн. Это может быть юрист, кадровик или сотрудник информационной безопасности.
- Издать документы по защите персональных данных воспитанников ДОУ, учащихся школ и других образовательных учреждений, сотрудников. В инструкциях и внутренних регламентах должно быть четко отражено, как вы работаете с документами, где храните, как и когда уничтожаете.
- Подать уведомление в Роскомнадзор, что образовательное учреждение начинает действовать как оператор ПДн.
- Внедрить технические решения для защиты информации. Это специальные средства защиты информации (СЗИ) для мониторинга и предотвращения утечек, которые помогают работать с электронными данными.
- Провести обучение сотрудников, чтобы они знали главные аспекты защиты персональных данных для школьников и воспитанников.
Мы проводим аудит ПДн, разрабатываем документацию, внедряем СЗИ и обучаем сотрудников работе с данными. Мы подходим к защите персональных данных СПО, школ, детских садов и других образовательных организаций комплексно и с гарантией создания надежной системы хранения.
Что будет за нарушения ПДн
За нарушения закона, умышленные или неумышленные, образовательное учреждение, а также должностные лицы будут наказаны по статье 13.11 КоАП РФ.
Рассмотрим некоторые распространенные штрафы:
| Правонарушение | Штраф для физлица | Штраф для должностного лица | Штраф для юрлица |
|---|---|---|---|
| Использование ПДн не по назначению | 10 – 15 тысяч рублей | 50 – 100 тысяч рублей | 150 – 300 тысяч рублей |
| Отсутствие письменного согласия | 10 – 15 тысяч рублей | 100 – 300 тысяч рублей | 300 – 700 тысяч рублей |
| Оператор не внес в базу изменения, связанные с ПДн | 2 – 4 тысячи рублей | 8 – 20 тысяч рублей | 50 – 90 тысяч рублей |
| Несвоевременное уведомление Роскомнадзора | 5 – 10 тысяч рублей | 30 – 50 тысяч рублей | 100 – 300 тысяч рублей |
Причем повторные правонарушения влекут за собой еще больший штраф. Например, если учреждение использует ПДн без согласия, и это не первый прецедент, то штраф может вырасти до 1,5 миллионов.
А если ошибок в школе или детском саду по защите персональных данных много, то штрафы суммируются. И итоговое наказание за нарушение правил работы с ПДн может ударить по бюджету компании. Это частично связано с тем, что с 2025 года штрафы за правонарушения в области персональных данных ужесточили. Поэтому лучше заранее задуматься о том, как обезопасить себя от штрафов: заказать аудит и привести все документы в порядок.
Локальная защита ПДн в общеобразовательных учреждениях
Рассмотрим, чем отличается работа с ПДн в разных ситуациях.
1. Для учащихся в школе
ПДн находятся в личном деле учащегося. Если сначала это личная информация, в т.ч. имя и фамилия, адрес, телефонные номера родителей, то со временем дело разрастается. В него могут попадать данные об аттестациях, состоянии здоровья, учебных достижениях. Если родители переводят ребенка из одной школы в другую, то они пишут заявление и забирают личное дело.
Если родители не подпишут согласие на обработку ПДн, то ученик все равно имеет право на посещение школы. Но вот выставлять его данные в электронный дневник, отправлять на участие в соревнованиях или олимпиадах не получится.
Руководство школы должно разработать локальный документ по защите персональных данных учащихся — положение об обработке ПДн. В нем прописаны все правила сбора, архивирования, обработки и ликвидации данных.
2. Для воспитанников в ДОУ, детских садах
Локальный документ в садике — положение об обработке ПДн воспитанников и их родителей. В нем также руководство должно собрать полную инструкцию по работе с данными в конкретном детском саду.
Технически все похоже со школой: тоже личное дело и согласия.
Не забудьте, что согласие нужно не только для обработки ПДн, но и для фото- и видеосъемки. Например, если воспитатель выкладывает фотографии воспитанников в общий чат с родителями, то без согласия это делать запрещено.
3. Для работников
Основным документом служит трудовой договор. В нем работодатель прописывает, какая информация считается конфиденциальной. Внутри организации разрабатывается положение о сборе и защите ПДн сотрудников. В нем также прописывается порядок обработки и методы защиты личных данных сотрудников.
Если такого положения нет, то это является нарушением закона со стороны оператора данных, то есть образовательного учреждения.
В целом, процесс сбора и обработки персональных данных несложный, если в нем разобраться и установить надежную систему защиты. Но чтобы не допустить ошибок, лучше воспользоваться услугами специалистов.