Упражнения с персданными

Как защищать личную информацию несовершеннолетних в школах и детсадах

Дети являются уязвимой категорией граждан, и российское законодательство предусматривает ряд ограничений при обработке их персональных данных (ПД). В чем заключается специфика защиты личной информации несовершеннолетних, каковы типичные проблемы, которые возникают в этой сфере в образовательных учреждениях, почему значимость ПД детей и подростков возрастает и что нужно сделать для повышения их безопасности – в материале RSpectr.

ПЕДАГОГ – ОПЕРАТОР ПЕРСДАННЫХ

По свидетельству заместителя председателя Союза юристов-блогеров при Ассоциации юристов России Марии Верховской, случаи отказа родителей предоставить согласие на обработку персональных данных своего ребенка школе нередки. В таких ситуациях, рассказала она RSpectr, ФИО ученика заменяют на специальный код, который затем используют во внутренних актах.

По мнению эксперта по легализации обработки и защите персональных данных Дениса Лукаша,

для государственных детских садов и школ наиболее типичной проблемой можно назвать превышение цели обработки персданных или обработку без надлежащего основания

Вместе с тем, отметил он в беседе с RSpectr, может возникнуть парадоксальная ситуация, когда школа и родители согласны с конкретным случаем обработки личных сведений, а закон может быть не согласен.

Уровень киберграмотности сотрудников образовательных учреждений, работающих с ПД несовершеннолетних, остается достаточно низким, рассказала RSpectr GR-директор компании – разработчика средств информбезопасности «СёрчИнформ» Ольга Минаева. При этом

политика государства сейчас направлена на ужесточение законодательства в области персональных данных

В марте этого года вступил в силу ряд изменений в законодательстве о персданных, в том числе приказ Роскомнадзора №178, в котором установлены степени оценки вреда, нанесенного утечкой, в зависимости от категорий ПД, напомнила она.

Ожидаемый к принятию в ближайшее время закон об оборотных штрафах за утечки ПД будет связан с категориями вреда в указанном документе, полагает Ольга Минаева. В случае потери данных несовершеннолетних наказание будет отличаться от существующей в настоящее время практики применения минимальных штрафов, прогнозирует эксперт.            

ЦЕНТР – РОДИТЕЛЮ

Центр правовой помощи гражданам в цифровой среде ФГУП «Главный радиочастотный центр» (ГРЧЦ) часто просят разъяснить, вправе ли родитель несовершеннолетнего не давать согласие на обработку ПД будущего ученика при приеме в школу и обязано ли образовательное учреждение в таком случае принимать ребенка на обучение, рассказала RSpectr директор Центра Людмила Куровская, который  создан в 2021 году по инициативе Роскомнадзора.

Для достижения целей обработки персональных данных не требуется получение согласия субъекта ПД в соответствии с пунктом 2 части 1 статьи 152-ФЗ, пояснила директор. В связи с этим

образовательное учреждение обязано осуществить прием обучающегося и оказание образовательных услуг даже в случае отказа законного представителя от дачи согласия на обработку ПД

Также родители просят оценить предлагаемые им к подписанию формы согласия на обработку ПД несовершеннолетних. Родителей волнует:

• кто обрабатывает данные и куда подавать отзыв на ее прекращение;
• в каких целях необходима информация о месте работы, должности, образовании, ИНН или о здоровье ребенка;
• не является ли запрашиваемый объем сведений избыточным.

«Каждому обратившемуся родителю, не уверенному, с какой целью собираются те или иные сведения и являются ли такие сведения необходимыми, Центром подготовлен соответствующий запрос к оператору ПД. Если же родитель уже дал школе согласие на обработку личной информации и желал отозвать его – предоставлена форма такого отзыва», – сообщила Людмила Куровская.

Например, один из обратившихся в Центр правовой помощи жаловался на нарушение воспитателем детского сада требований 152-ФЗ: личные данные о ребенке заявителя сотрудник детсада при отсутствии согласия опубликовала в группе, организованной родителями в мессенджере. «Центром подготовлена форма требования к детскому саду о проведении проверки законности действий воспитателя и о необходимости проведения разъяснительной работы со всеми работниками образовательного учреждения в соответствии с пунктом 6 части 1 статьи 18.1 152-ФЗ», – рассказала директор.

ЗНАЧИМОСТЬ РАСТЕТ

С развитием технологий усиливается тренд на защиту детей от информации, которая может негативно воздействовать на их развитие. Одновременно растет актуальность защиты персданных несовершеннолетних. Поэтому обработка сведений о детях должна рассматриваться как обработка с высоким риском, отмечают эксперты.

Персональные данные несовершеннолетних не относятся к специальным категориям ПД, хотя выделяются в части 3.1 статьи 4 152-ФЗ наравне с биометрическими ПД и специальными категориями личной информации, отметил в беседе с RSpectr консультант по персональным данным, сопредседатель Кластера РАЭК Privacy & Legal Innovation Александр Партин.

Тем не менее, по его мнению, ПД несовершеннолетних – это чувствительные данные, к обработке которых нужно относиться особенно тщательно.

Александр Партин, Privacy & Legal Innovation:

– Согласно письму Роскомнадзора от 30.03.2023 № 08-26424, согласие на обработку персональных данных несовершеннолетние старше 14 лет могут давать самостоятельно в пределах, описанных в статье 26 Гражданского кодекса РФ. До 14 лет за несовершеннолетних согласие могут выдать их законные представители.

В отношении биометрических ПД установлено жесткое правило – обрабатывать биометрию детей можно только с согласия родителей, напомнил RSpectr юрист Comply Артем Сафьянников.

Несовершеннолетние являются пользователями различных сервисов, которые обрабатывают значительные объемы данных. Поэтому для них возникают все те же риски, что актуальны для взрослых: утечки личной информации, ее незаконное использование, а также злоупотребление неосведомленностью пользователя, пояснила RSpectr старший юрист практики юридической компании Nextons Ксения Смирнова. По ее мнению,

несовершеннолетние – это уязвимая социальная группа, в этом заключается ключевая проблема защиты их персданных

Ксения Смирнова, Nextons:

– В контексте обработки ПД коротко и емко эта проблема сформулирована в Общем регламенте по защите данных ЕС (GDPR), где указано, что дети нуждаются в особой защите их личных сведений, поскольку они могут в меньшей степени осознавать риски, последствия, соответствующие гарантии и свои права при обработке подобной информации.

ДОБАВИТЬ, НАСТРОИТЬ

В GDPR ключевой вопрос при обработке ПД детей и подростков – предоставление согласия, считает юрист Comply Артем Сафьянников. Дети могут самостоятельно давать согласия только с 16 лет, если более низкий порог не установлен национальным законодательством стран – участников ЕС.

Артем Сафьянников, Comply:

– Это ограничение работает только при предоставлении согласия в соцсетях, мобильных приложениях и веб-сервисах. В остальном GDPR не предъявляет каких-либо специальных требований к обработке ПД несовершеннолетних.

Россия имеет вполне развитое регулирование персональных данных, считает Александр Партин. «В отношении обработки личной информации несовершеннолетних, на мой взгляд, целесообразно уточнение регулирования, но в целом это больше вопрос правоприменения и правовой культуры», – считает он.

Повышенное внимание к обработке ПД несовершеннолетних уделяется в Европе и Великобритании, а в США есть отдельный акт, регулирующий обработку сведений о детях – COPPA (Children’s Online Privacy Protection Act), отметил он.

Денис Лукаш предлагает вести отдельную публичную статистику и отчетность по нарушениям в области персональных данных несовершеннолетних. Он подчеркивает, что

в отношении персональных данных несовершеннолетних необходим более проактивный постоянный подход

«В идеале в составе компетентной комиссии по обработке ПД детей, которую можно создать при Роскомнадзоре, формулировать и периодически пересматривать угрозы, прорабатывать меры по их нейтрализации», – считает Денис Лукаш.

Учет результатов и проводимых воспитателями и учителями действий требует их привязки к личной информации ребенка, отметил в беседе с RSpectr член правления Лиги образования, сотрудник Школы антропологии будущего РАНХиГС Михаил Кушнир.

Он предлагает вести все учетные материалы в школах в «условно-обезличенном виде – по домашним именам детей, чтобы все задачи по защите персданных обрабатывались в базе региональных или федеральных государственных информационных систем (ГИС)». Внутренний учет в организации должен быть изолирован и связан с ГИС уникальным ключом. Это позволит образовательному учреждению сосредоточиться на своих задачах, полагает эксперт.

Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев рассказал RSpectr, что в феврале нынешнего года в Комитете по науке, образованию и культуре Совета Федерации обсуждали введение «педагогической тайны».Она предлагает запретить учителям сообщать кому-либо информацию о состоянии здоровья учеников, а также семейные секреты, включая тайну усыновления, другую конфиденциальную информацию.

«Идея рассматривается не первый год, но остается надеяться, что тренд на ужесточение наказания за правонарушения в сфере ПД распространится и на образовательные учреждения, а предлагаемая концепция реализуется в виде поправок в закон о защите персональных данных», – отметил он.

Тимур Халудоров