Основные нарушения при работе с персональными данными в образовательных организациях - 22 Мая 2013 - АХР в школе

Среда, 07.12.2016, 17:22
АДМИНИСТРАТИВНО - ХОЗЯЙСТВЕННАЯ РАБОТА
И ОХРАНА ТРУДА В ШКОЛЕ
Главная | RSS
ДОБРО ПОЖАЛОВАТЬ!
Меню сайта
Кадровые вопросы
Наш опрос
Как вы считаете: кто "главный" в школе?
1. Директор
2. Зам. по АХР
3. Я
4. Учитель
5. Зам. по УВР
6. Уборщица
7. Вахтёр
8. Сторож
Всего ответов: 126
КАРТА
Здесь был
Радио онлайн
Главная » 2013 » Май » 22 » Основные нарушения при работе с персональными данными в образовательных организациях
13:21
Основные нарушения при работе с персональными данными в образовательных организациях
Зам. директора Центра правовых прикладных разработок Института развития образования ФГОУ ВПО "НИУ ГУ - Высшая школа экономики" А.А. Вавилова

Культура работы с персональными данными для Российской Федерации является сравнительно новым явлением. В течение десятилетий такого понятия, как персональные данные, в советском и российском законодательстве не существовало, равно как и понятия privacy. Для русской культуры неприкосновенность частной жизни, в т. ч. информации о ней, является сравнительно новым явлением.

Сфера образования в данном случае не исключение - в течение длительного времени понятия неприкосновенности информации о частной жизни ученика либо педагога не были настолько императивны, как, например, сейчас, когда российское законодательство адаптировалось к требованиям западной культуры по вопросам неприкосновенности частной жизни и персональных данных. В итоге для большой части педагогического сообщества необходимость соблюдения конфиденциальности персональных данных обучающихся является довольно новым требованием, которое нарушает привычный ход работы. В связи с этим возникают регулярные нарушения, обусловленные тем, что долгое время работали иначе, не задумывались над этими вопросами. И многие практики, которые в течение десятилетий были общепринятыми, еще не осознаются как незаконные.

Понятие и состав персональных данных обучающихся и работников учреждения

Определения персональных данных даны в Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон) и Трудовом кодексе Российской Федерации от 30.12.2001 № 197-ФЗ (далее - ТК РФ):
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона);
персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). К персональным данным лица относится информация (т. е. самые разнообразные данные), которая позволяет идентифицировать это лицо.

Если информация представлена в такой форме, что невозможно определить, к какому конкретно гражданину она относится - она не является персональными данными. Исчерпывающий перечень персональных данных определить нельзя. Любая информация, если она относится к конкретному лицу, является такими данными.

В случае, когда речь идет об обучающихся, в качестве персональных данных чаще всего выступают фамилия, имя, отчество, адрес, телефон, родственные связи, дата и место рождения, паспортные данные, социальное и имущественное положение семьи, образование и место работы родителей, адреса электронной почты и прочие контакты в сети Интернет, факты обучения в других учреждениях (дополнительное образование), информация об оздоровительных мероприятиях, сведения о других событиях жизни и т. п. Несомненно, в школе накапливается также большой массив информации об учебных достижениях ребенка.

Помимо той информации, которая содержится в личном деле работника, работодатель обладает информацией о его заработной плате, факте нахождения в отпуске, периодах временной нетрудоспособности, может стать обладателем информации о семейной и личной жизни, состоянии здоровья работника. Работодатель владеет информацией о квалификации и ее повышении, прохождении периодических медицинских осмотров, наличии судимости, результатах аттестации, служебных расследований, об обучении работника и т. п.

Нарушения при работе с персональными данными обучающихся

Данный вид нарушений является довольно распространенным. Большей своей частью нарушения связаны с восприятием коллектива детей - как целого, той единицы, с которой и происходит работа. Персональные данные детей чаще всего группируются по классам, группам, и работа с ними ведется именно как с единым набором информации. Это прочно вошло в педагогическую практику.

Зачастую нарушения связаны с тем, что персональные данные третьих лиц предоставляются без согласования с этими лицами. Например, мама ребенка в качестве контактной информации указывает не только свои данные, но и данные отца ребенка, а также других родственников. Учреждение получает, хранит, обрабатывает эти данные, несмотря на то что получены они не у того субъекта, который вправе решать вопрос об их предоставлении. В самом факте наличия контактной информации о разных людях нет ничего противозаконного, но только в том случае, если персональные данные предоставлены этими людьми добровольно и самостоятельно. Если же такая информация собрана через третьих лиц (пусть эти лица даже и будут родителями ребенка), это - нарушение.

Довольно часто с родителями на собраниях либо в классе обсуждаются какие-то моменты, в т. ч. частная жизнь ребенка. При этом озвучиваются некоторые данные о составе семьи ребенка, социальном и материальном положении его родственников, месте жительства и иная подобная информация, которая может быть отнесена к персональным данным. Во многих школах принято давать родителям классный журнал, чтобы ознакомиться с оценками их ребенка, и т. п. Вместе с тем каждый ребенок является субъектом персональных данных, и работа с его данными должна вестись отдельно.

Подобные действия, несомненно, будут являться нарушениями. Если информация касается отдельного ребенка, то предоставлять ее даже его одноклассникам можно только в случае выраженного на то согласия законных представителей ребенка. В случае же, если такого согласия нет, информация долж- <J на быть изолирована. Например, показывая журнал, чтобы родители могли посмотреть оценки своего ребенка, закрываются данные по другим детям. Либо давая посмотреть, как §. класс в целом справился с контрольной работой (для оценки успеваемости ребенка на фоне остальных) закрывают фамилии и имена детей, чтобы информация была обезличена. Другой вариант ознакомить конкретного родителя с информацией о его ребенке - предоставление выписки из журнала, когда копируется исключительно нужная информация.

Аналогичные нарушения могут возникать и в других случаях, например, когда ведется журнал пропуска лиц в здание организации, и копию страницы такого журнала (с именами, фамилиями, отчествами проходивших на территорию родителей и иных лиц, с их паспортными данными) предоставляют лицу, которому потребовалось доказательство того факта, что в конкретный день он проходил на территорию организации. Ситуация аналогична изложенной выше, когда дается информация не только о конкретном лице, но и всех тех, чьи персональные данные оказались на нужной странице журнала.

Довольно большое количество нарушений связано с тем, что сам педагогический процесс требует обмена информацией о детях, в целях организации их эффективного образования.

Распространены ситуации, когда классный руководитель передает другим учителям школы либо сотрудникам другой организации (если образовательная программа реализуется на принципах сетевого взаимодействия) информацию о ребенке, его состоянии здоровья, особенностях, успеваемости, контактных данных родителей и т. п. Формально такая передача требует согласия родителей (законных представителей) ребенка, и грамотного оформления данного согласия в письменной форме.
Очевидно, что если информация о заболеваниях ребенка в итоге неправомерной ее передачи становится широко известна, образовательная организация или ее работники не просто нарушают законодательство, но и, скорее всего, оказываются в ситуации острого конфликта с родителями, с привлечением органов управления образованием и иных контролирующих структур. При этом оправдания о необходимости разглашения подобной информации для эффективной работы с ребенком не являются допустимыми. Информация о диагнозе ребенка - медицинская тайна. Даже если классному руководителю сообщили эту информацию, передавать ее другим лицам без должным образом оформленного согласия родителей нельзя.

Если до других учителей нужно довести информацию об особенностях педагогической работы с ребенком, то это должно быть сделано именно в такой форме - не сообщить диагноз, а объяснить, как необходимо строить занятие, устанавливать режим занятий и т. п.

Спорные ситуации целесообразно заранее регулировать в локальном акте организации о передаче персональных данных. Работников необходимо ознакомить с этим актом под расписку, провести разъяснительные беседы - поскольку довольно часто нарушения подобного рода совершаются по незнанию, педагогический работник в момент передачи информации действительно не видит в этом ничего страшного, считает, что это правильно.

Нарушения нередко обусловлены тем, что информация о ребенке становится доступной не только непосредственно тем педагогическим работникам, которые работают с ним, но и другим сотрудникам организации, зачастую даже не педагогам. Можно встретить конфликты, связанные с тем, что доступ к журналам и информации о детях, их успеваемости, контактных данных их родителей получает обслуживающий персонал школы. Целый ряд спорных ситуаций возникает из-за того, что документы, в которых содержались персональные данные, хранились таким образом, что информация оказалась разглашена неправомерно.

Хранение журналов и прочей документации должно исключить доступ к ним лиц, не имеющих права на доступ к информации об успеваемости ребенка. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации определяются Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 № 687. Согласно названному документу у любого образовательного учреждения должен быть перечень мер, обеспечивающих условия сохранности персональных данных, порядок принятия этих мер и перечень лиц, которые ответственны за реализацию данных мер.

Какие меры необходимо принять, зависит от конкретного учреждения и организации его работы - именно это отражается в локальных актах. В частности, в ситуации с классными журналами можно предположить, что в состав мер должны войти закрывание учительской комнаты на ключ (что выполняется всеми, кто имеет к ней доступ), а также размещение журналов не в открытом, а в запираемом шкафу, с определенными мерами по регулированию доступа к ключам от него (иначе, например, уборщица сможет получить полный доступ к информации о детях). В ряде школ выдача журналов организована специальным образом - журналы хранятся при входе в учреждение, на пункте охраны, и выдаются под роспись.

Нарушения при работе с персональными данными работников

Большое количество нарушений в сфере обработки персональных данных сотрудников учреждения имеет те же причины, что и нарушения при работе с данными обучающихся - в частности, недостаточные меры по сохранности документов, содержащих персональные данные, по пресечению доступа к документам неуполномоченных лиц, когда информация распространяется шире, чем это предполагалось администрацией организации.

Распространены нарушения, связанные с тем, что информация о конкретном работнике не обособляется. Например, вместо того чтобы выдать выписку из табеля учета рабочего времени конкретному человеку, делается копия целого документа, включая персональные данные иных лиц. В случае персональных данных работников также имеет смысл исходить из того, что к разным персональным данным имеют доступ разные лица. Соответственно целесообразно разделить документы, в которых зафиксированы персональные данные, в зависимости от того, как организован доступ к этим данным, и обеспечить невозможность доступа к документам неуполномоченных лиц.

Целый ряд нарушений связан с тем, что в отношении работника собираются излишние персональные данные. Работодатель вправе запрашивать у работника только такие персональные данные, которые тот обязан предоставить работодателю в соответствии с Законом.

Согласно ст. 57 ТК РФ, в трудовой договор включаются фамилия, имя, отчество работника, его паспортные данные и индивидуальный номер налогоплательщика. В соответствии со ст. 65 ТК при заключении трудового договора работодатель запрашивает у работника определенные документы и получает данные о предыдущих местах работы, номер страхового свидетельства государственного пенсионного страхования, сведения о полученном образовании и квалификации, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования. Кроме того, отдельные работники предоставляют документы воинского учета. В ряде случаев работодатель может запросить и иную информацию. Например, о наличии и количестве иждивенцев, если возник вопрос о сокращении штатов или численности, о членстве в профсоюзе, если возник вопрос с расторжением трудового договора (и необходимо решить, надо ли запрашивать мнение профсоюза), и т. п. Любая запрашиваемая информация должна соответствовать требованиям ст. 86 ТК РФ.

Отдельно рассмотрим участие в социальных программах: по улучшению жилищных условий, социальной поддержке работников, имеющих детей, и т. п. Для вступления в такую программу работник должен предоставить сведения, напрямую с работой не связанные (например, о жилищных условиях, составе семьи). В случае, когда это делается по инициативе работника, и указанная информация не запрашивается со всех в обязательном порядке (ее предоставляют только желающие), вряд ли можно усмотреть нарушение законодательства. Статья 6 Закона допускает обработку персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных. Учитывая, что условия участия в подобных программах обычно фиксируются в коллективных договорах, данная статья может быть напрямую применима к такой ситуации.

Большие сложности возникают в связи с получением данных о наличии либо отсутствии судимости. Подобную информацию необходимо запрашивать в момент трудоустройства работника, потому что после заключения трудового договора легальных возможностей потребовать подтверждения отсутствия судимости уже не будет. Работник может отказаться предоставлять такие данные без каких-либо негативных последствий для себя, работодатель же не вправе обратиться за такой информацией непосредственно в уполномоченные органы. Она не должна быть ему выдана. Факты, когда информацию о судимости работников доводят централизованно списками до администрации организации либо до органов управления образованием, являются нарушением.

Нередко работодатель запрашивает (либо предоставляет в ответ на подобный запрос) характеристику с прежнего места работы. Согласно ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то необходимо уведомить его об этом заранее и получить на то письменное согласие. Таким образом, либо сам работник может предоставить подобную характеристику, либо надо получить от него согласие на ее получение. При этом работодатель должен не просто уведомить о намерении запросить характеристику, но и сообщить о целях, способе получения данных и о последствиях отказа - в данном случае о том, что никаких негативных последствий для работника отказ нести не может. В иных случаях подобные действия нарушают требования законодательства.

К работодателю могут обратиться с просьбами подтвердить факт работы человека в учреждении, размер зарплаты и т. п. (из банков, посольств и прочих подобных организаций). Сообщать данную информацию также можно только с согласия работника.

Аналогичные нарушения связаны и с передачей персональных данных внутри образовательной организации. Зачастую работники сообщают информацию о домашнем, мобильном телефоне одного человека другому - например, чтобы согласовать с ним вопросы организации педагогической деятельности, прояснить какие-то моменты, если он болеет, и замещающему его сотруднику нужна дополнительная информация. Это тоже передача персональных данных третьему лицу, и в случае отсутствия согласия работника - нарушение закона.

Похожим нарушением является публичное размещение поздравления сотрудника с днем рождения, исходящее из добрых побуждений, однако без учета того, что не всем сотрудникам приятно разглашение информации об их дате рождения и возрасте.

Зачастую нарушения в сфере персональных данных работников связаны с позицией учредителя образовательной организации по вопросам открытости и прозрачности информации об учреждении.

Нередко учредитель требует публикации данных о стимулирующей части заработной платы работников, и администрация следует этому требованию, вступая в конфликт с коллективом организации. Заработная плата конкретных сотрудников, несомненно, является персональными данными, и работать с этой информацией необходимо соответствующе. Требование опубликовать список сотрудников с размером заработной платы незаконно.

Аналогичными нарушениями будут публичное размещение графика отпусков сотрудников, сведений о прохождении ими повышения квалификации, о результатах оценки их работы профессиональными комиссиями в той или иной форме, и иной подобной информации без их согласия.

Вместе с тем законодательство в сфере образования предъявляет ряд требований к публикации информации о деятельности организации. В частности, Федеральным законом от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации"данные вопросы регулируются в ст. 29. Образовательные организации обеспечивают открытость и доступность информации о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы. Соответственно размещение подобных персональных данных предусмотрено на уровне федерального закона как не требующее согласия субъекта персональных данных, в связи с чем публикация подобной информации о педагогических работниках допустима.

Таким образом, в настоящее время можно выделить целый ряд типичных нарушений законодательства о персональных данных. При разработке локальных документов, регулирующих обработку персональных данных в образовательной организации, целесообразно учитывать типичные нарушения и конфликтные ситуации, возникающие в связи с их обработкой.


Дата публикации: 22.05.2013
Автор: Вавилова А.А. 
Источник: Нормативные документы образовательного учреждения, №6, 2013 г.

Просмотров: 1652 | Добавил: Вован | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Календарь
«  Май 2013  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
Архив новостей
Друзья сайта


Бесплатный школьный портал ПроШколу.ру

Школьный образовательный проект S-COOL.RU

  • Кадровая работа
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Giveaway of the Day


    Статистика

    Сейчас на сайте всего: 1
    из них гостей: 1
    и пользователей: 0



    Каталоги сайтов

    Каталог сайтов 'Российское образование в сети' Каталог сайтов Всего.RU Каталог сайтов :: Развлекательный портал iTotal.RU Каталог сайтов и статей iLinks.RU Каталог сайтов OpenLinks.RU



    Яндекс.Погода
    Copyright MyCorp © 2016
    Рейтинг@Mail.ru Rambler's Top100