Упражнения с персданными
Как защищать личную информацию несовершеннолетних в школах и детсадах
Дети являются уязвимой категорией граждан, и российское законодательство предусматривает ряд ограничений при обработке их персональных данных (ПД). В чем заключается специфика защиты личной информации несовершеннолетних, каковы типичные проблемы, которые возникают в этой сфере в образовательных учреждениях, почему значимость ПД детей и подростков возрастает и что нужно сделать для повышения их безопасности – в материале RSpectr.
ПЕДАГОГ – ОПЕРАТОР ПЕРСДАННЫХ
По свидетельству заместителя председателя Союза юристов-блогеров при Ассоциации юристов России Марии Верховской, случаи отказа родителей предоставить согласие на обработку персональных данных своего ребенка школе нередки. В таких ситуациях, рассказала она RSpectr, ФИО ученика заменяют на специальный код, который затем используют во внутренних актах.
По мнению эксперта по легализации обработки и защите персональных данных Дениса Лукаша,
для государственных детских садов и школ наиболее типичной проблемой можно назвать превышение цели обработки персданных или обработку без надлежащего основания
Вместе с тем, отметил он в беседе с RSpectr, может возникнуть парадоксальная ситуация, когда школа и родители согласны с конкретным случаем обработки личных сведений, а закон может быть не согласен.
Уровень киберграмотности сотрудников образовательных учреждений, работающих с ПД несовершеннолетних, остается достаточно низким, рассказала RSpectr GR-директор компании – разработчика средств информбезопасности «СёрчИнформ» Ольга Минаева. При этом
политика государства сейчас направлена на ужесточение законодательства в области персональных данных
В марте этого года вступил в силу ряд изменений в законодательстве о персданных, в том числе приказ Роскомнадзора №178, в котором установлены степени оценки вреда, нанесенного утечкой, в зависимости от категорий ПД, напомнила она.
Ожидаемый к принятию в ближайшее время закон об оборотных штрафах за утечки ПД будет связан с категориями вреда в указанном документе, полагает Ольга Минаева. В случае потери данных несовершеннолетних наказание будет отличаться от существующей в настоящее время практики применения минимальных штрафов, прогнозирует эксперт.
ЦЕНТР – РОДИТЕЛЮ
Центр правовой помощи гражданам в цифровой среде ФГУП «Главный радиочастотный центр» (ГРЧЦ) часто просят разъяснить, вправе ли родитель несовершеннолетнего не давать согласие на обработку ПД будущего ученика при приеме в школу и обязано ли образовательное учреждение в таком случае принимать ребенка на обучение, рассказала RSpectr директор Центра Людмила Куровская, который создан в 2021 году по инициативе Роскомнадзора.
Для достижения целей обработки персональных данных не требуется получение согласия субъекта ПД в соответствии с пунктом 2 части 1 статьи 152-ФЗ, пояснила директор. В связи с этим
образовательное учреждение обязано осуществить прием обучающегося и оказание образовательных услуг даже в случае отказа законного представителя от дачи согласия на обработку ПД
Также родители просят оценить предлагаемые им к подписанию формы согласия на обработку ПД несовершеннолетних. Родителей волнует:
- кто обрабатывает данные и куда подавать отзыв на ее прекращение;
- в каких целях необходима информация о месте работы, должности, образовании, ИНН или о здоровье ребенка;
- не является ли запрашиваемый объем сведений избыточным.
«Каждому обратившемуся родителю, не уверенному, с какой целью собираются те или иные сведения и являются ли такие сведения необходимыми, Центром подготовлен соответствующий запрос к оператору ПД. Если же родитель уже дал школе согласие на обработку личной информации и желал отозвать его – предоставлена форма такого отзыва», – сообщила Людмила Куровская.
Например, один из обратившихся в Центр правовой помощи жаловался на нарушение воспитателем детского сада требований 152-ФЗ: личные данные о ребенке заявителя сотрудник детсада при отсутствии согласия опубликовала в группе, организованной родителями в мессенджере. «Центром подготовлена форма требования к детскому саду о проведении проверки законности действий воспитателя и о необходимости проведения разъяснительной работы со всеми работниками образовательного учреждения в соответствии с пунктом 6 части 1 статьи 18.1 152-ФЗ», – рассказала директор.
ЗНАЧИМОСТЬ РАСТЕТ
С развитием технологий усиливается тренд на защиту детей от информации, которая может негативно воздействовать на их развитие. Одновременно растет актуальность защиты персданных несовершеннолетних. Поэтому обработка сведений о детях должна рассматриваться как обработка с высоким риском, отмечают эксперты.
Персональные данные несовершеннолетних не относятся к специальным категориям ПД, хотя выделяются в части 3.1 статьи 4 152-ФЗ наравне с биометрическими ПД и специальными категориями личной информации, отметил в беседе с RSpectr консультант по персональным данным, сопредседатель Кластера РАЭК Privacy & Legal Innovation Александр Партин.
Тем не менее, по его мнению, ПД несовершеннолетних – это чувствительные данные, к обработке которых нужно относиться особенно тщательно.
Александр Партин, Privacy & Legal Innovation:
– Согласно письму Роскомнадзора от 30.03.2023 № 08-26424, согласие на обработку персональных данных несовершеннолетние старше 14 лет могут давать самостоятельно в пределах, описанных в статье 26 Гражданского кодекса РФ. До 14 лет за несовершеннолетних согласие могут выдать их законные представители.
В отношении биометрических ПД установлено жесткое правило – обрабатывать биометрию детей можно только с согласия родителей, напомнил RSpectr юрист Comply Артем Сафьянников.
Несовершеннолетние являются пользователями различных сервисов, которые обрабатывают значительные объемы данных. Поэтому для них возникают все те же риски, что актуальны для взрослых: утечки личной информации, ее незаконное использование, а также злоупотребление неосведомленностью пользователя, пояснила RSpectr старший юрист практики юридической компании Nextons Ксения Смирнова. По ее мнению,
несовершеннолетние – это уязвимая социальная группа, в этом заключается ключевая проблема защиты их персданных
Ксения Смирнова, Nextons:
– В контексте обработки ПД коротко и емко эта проблема сформулирована в Общем регламенте по защите данных ЕС (GDPR), где указано, что дети нуждаются в особой защите их личных сведений, поскольку они могут в меньшей степени осознавать риски, последствия, соответствующие гарантии и свои права при обработке подобной информации.
ДОБАВИТЬ, НАСТРОИТЬ
В GDPR ключевой вопрос при обработке ПД детей и подростков – предоставление согласия, считает юрист Comply Артем Сафьянников. Дети могут самостоятельно давать согласия только с 16 лет, если более низкий порог не установлен национальным законодательством стран – участников ЕС.
Артем Сафьянников, Comply:
– Это ограничение работает только при предоставлении согласия в соцсетях, мобильных приложениях и веб-сервисах. В остальном GDPR не предъявляет каких-либо специальных требований к обработке ПД несовершеннолетних.
Россия имеет вполне развитое регулирование персональных данных, считает Александр Партин. «В отношении обработки личной информации несовершеннолетних, на мой взгляд, целесообразно уточнение регулирования, но в целом это больше вопрос правоприменения и правовой культуры», – считает он.
Повышенное внимание к обработке ПД несовершеннолетних уделяется в Европе и Великобритании, а в США есть отдельный акт, регулирующий обработку сведений о детях – COPPA (Children’s Online Privacy Protection Act), отметил он.
Денис Лукаш предлагает вести отдельную публичную статистику и отчетность по нарушениям в области персональных данных несовершеннолетних. Он подчеркивает, что
в отношении персональных данных несовершеннолетних необходим более проактивный постоянный подход
«В идеале в составе компетентной комиссии по обработке ПД детей, которую можно создать при Роскомнадзоре, формулировать и периодически пересматривать угрозы, прорабатывать меры по их нейтрализации», – считает Денис Лукаш.
Учет результатов и проводимых воспитателями и учителями действий требует их привязки к личной информации ребенка, отметил в беседе с RSpectr член правления Лиги образования, сотрудник Школы антропологии будущего РАНХиГС Михаил Кушнир.
Он предлагает вести все учетные материалы в школах в «условно-обезличенном виде – по домашним именам детей, чтобы все задачи по защите персданных обрабатывались в базе региональных или федеральных государственных информационных систем (ГИС)». Внутренний учет в организации должен быть изолирован и связан с ГИС уникальным ключом. Это позволит образовательному учреждению сосредоточиться на своих задачах, полагает эксперт.
Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев рассказал RSpectr, что в феврале нынешнего года в Комитете по науке, образованию и культуре Совета Федерации обсуждали введение «педагогической тайны».Она предлагает запретить учителям сообщать кому-либо информацию о состоянии здоровья учеников, а также семейные секреты, включая тайну усыновления, другую конфиденциальную информацию.
«Идея рассматривается не первый год, но остается надеяться, что тренд на ужесточение наказания за правонарушения в сфере ПД распространится и на образовательные учреждения, а предлагаемая концепция реализуется в виде поправок в закон о защите персональных данных», – отметил он.
Тимур Халудоров