Вопросы обеспечения безопасности информации, особенно персональных данных, находятся в зоне повышенного внимания со стороны государства. И это не случайно, ведь неправомерные действия в отношении таких данных могут нанести серьезный вред правам и законным интересам граждан.
Учреждения образования обрабатывают персональные данные весьма широкого круга лиц — обучающихся и их законных представителей, выпускников, работников учреждений образования, кандидатов на трудоустройство, граждан, являющихся стороной по гражданско-правовому договору либо обратившихся за осуществлением административной процедуры, посетителей, пользователей сайтов учреждений образования. Без преувеличения можно сказать, что учреждения образования обрабатывают огромные массивы персональных данных вышеуказанных категорий субъектов. Это информация об успеваемости учащихся, сведения о местах работы и учебы, посещении кружков и секций, контактные данные, сведения о состоянии здоровья, привлечении к ответственности, информация о семейном положении и многое другое.
Безусловно, обеспечение защиты такого рода информации является одной из важнейших задач образовательных учреждений всех уровней. Это налагает на учреждения образования огромную ответственность по соблюдению требований законодательства о персональных данных.
25 апреля 2024 года решением VII Всебелорусского народного собрания утверждена Концепция национальной безопасности, где отмечена необходимость обеспечения защиты персональных данных.
При этом неправомерные действия в отношении персональных данных названы в числе основных угроз национальной безопасности. В этой связи одним из важнейших направлений нейтрализации внутренних источников угроз национальной безопасности в информационной сфере является обеспечение защиты персональных данных от несанкционированного или случайного доступа к ним, иных неправомерных действий.
В статье 28 Конституции Республики Беларусь установлено, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.
15 ноября 2021 года вступил в силу Закон Республики Беларусь от 7 мая 2021 года № 99-З “О защите персональных данных” (далее — Закон о защите персональных данных). Данный правовой акт заложил основы правового регулирования вопросов защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных. Все субъекты, осуществляющие обработку персональных данных, должны неукоснительно соблюдать требования названного закона и уделять защите персональных данных больше внимания.
Учреждение общего среднего образования (далее — УОСО), являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано неукоснительно выполнять требования Закона о защите персональных данных.
В этой связи рассмотрим более подробно, какие меры должны быть приняты УОСО и какая документация должна быть подготовлена в соответствии с требованиями Закона о защите персональных данных.
В статье 17 Закона о защите персональных данных прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.
- Назначение ответственного за осуществление внутреннего контроля за обработкой персональных данных.
Одна из основных целей назначения лица, ответственного за осуществление внутреннего контроля, — предотвращение возможных нарушений со стороны оператора (уполномоченного лица).
Конкретные квалификационные требования, предъявляемые к работникам, на которых возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой персональных данных, установлены в Едином квалификационном справочнике должностей служащих “Должности служащих для всех видов деятельности” (выпуск 1), утвержденном постановлением Министерства труда и социальной защиты Республики Беларусь от 30 декабря 1999 года № 159.
Для учреждений образования, с учетом их штатной структуры, допускается возложить дополнительные функции по осуществлению внутреннего контроля за обработкой персональных данных на одного или на нескольких работников.
При возложении обязанностей на одного работника у него должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.
Принимая во внимание возлагаемые на данных лиц функции, стоит отметить, что такое лицо должно назначаться c учетом знания законодательства о персональных данных и законодательства, регламентирующего сферу деятельности организации (в данном случае речь идет о законодательстве об образовании), с учетом практики его применения, а также способности выполнять функции, возложенные на данное лицо. Кроме того, требуется наличие высшего юридического или гуманитарного образования.
Каждое учреждение образования должно самостоятельно оценить способности и возможности своих работников и решить, кто из работников справится с такой функцией. Применительно к УОСО это может быть, например, один из заместителей директора, педагогический работник.
Наряду с назначением ответственного лица необходимо разработать порядок осуществления внутреннего контроля за обработкой персональных данных, включающий периодичность и формат контрольных мероприятий, их оформление и порядок принятия решений по результатам таких мероприятий.
С рекомендациями о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, можно ознакомиться на сайте Национального центра защиты персональных данных.
- Политика учреждения образования в отношении обработки персональных данных.
Цель издания данного документа заключается в информировании субъектов персональных данных об обработке персональных данных в учреждении образования.
Это может быть один общий документ, определяющий политику учреждения образования в отношении обработки персональных данных, или несколько.
В учреждении образования с учетом огромного количества процессов обработки персональных данных и для удобства пользования рекомендуется подготовить несколько документов, определяющих порядок обработки персональных данных в определенных сферах или в связи с определенными процессами. Это могут быть, например, политика учреждения образования в отношении обработки персональных данных, политика видеонаблюдения, политика обработки персональных данных на сайте (в отношении обработки файлов cookie), политика обработки персональных данных работников в процессе трудовой (служебной) деятельности и т. п.
Любая из этих политик должна содержать общие положения, разъясняющие субъекту персональных данных, как и для каких целей персональные данные собираются, используются или иным образом обрабатываются, а также какие права имеются у субъекта в контексте этой обработки и каков механизм их реализации.
Для информирования об основной деятельности учреждения образования обучающихся, их законных представителей, иных субъектов необходимо максимально полно и правильно отразить в политике все процессы обработки персональных данных. Для этого необходимо начать с составления реестра обработки персональных данных. Реестр даст представление о том, какие персональные данные, в каком объеме, для каких целей, на каких правовых основаниях и сколько времени обрабатываются учреждением образования.
К сожалению, практика свидетельствует, что учреждения образования формальным образом подошли к выполнению данной меры. Выборочный мониторинг сайтов УОСО показал, что зачастую учреждения образования используют политики коммерческих организаций без их должного критического осмысления, не отражающих происходящие в школе процессы, либо акцентируют внимание на трудовых отношениях, не затрагивая образовательной и воспитательной деятельности, либо используют в политике общие фразы, не позволяющие оценить, каким образом осуществляется обработка персональных данных в УОСО. Иные учреждения образования до сих пор не подготовили и не разместили на сайте политику.
В этой связи обращаем внимание, что в целях оказания методологической помощи по осуществлению деятельности учреждений дошкольного и общего среднего образования в соответствии с Законом о защите персональных данных центром разработан пакет примерных документов по реализации обязательных мер по обеспечению защиты персональных данных в учреждениях образования. Формы документов согласованы с Министерством образования Республики Беларусь, размещены в разделе “Портфель оператора” в рубрике “Типовые решения для сферы образования” на сайте Национального центра защиты персональных данных и доступны для скачивания (https://cpd.by/pravovaya-osnova/portfel-operatora/).
В частности, центром для УОСО подготовлены:
- реестр обработки персональных данных в учреждении общего среднего образования;
- типовая политика в отношении обработки персональных данных в учреждении общего среднего образования;
- политика видеонаблюдения для учреждений дошкольного, общего среднего образования.
Также в “Портфеле оператора” размещена политика в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, которые могут быть использованы при подготовке соответствующих документов в учреждении образования.
Вместе с тем перечисленные документы являются примерными, при их использовании учреждениям образования необходимо адаптировать содержащуюся в них информацию к конкретному учреждению с учетом возможных особенностей его деятельности, в том числе в части определения правовых оснований обработки персональных данных, сроков их хранения и с учетом нормативной правовой базы, регулирующей деятельность этих учреждений. Так, при всей схожести процессов будут отдельные отличия при обработке персональных данных в гимназии и школе.
Необходимо помнить и о том, что учреждение образования обязано обеспечить неограниченный доступ к политике, в том числе с использованием сети интернет, с учетом круга субъектов персональных данных, на которых она распространяется.
Политика (политики) оператора в отношении “внешнего контура” (законных представителей несовершеннолетних, граждан, направляющих обращения, и т. п.) размещается (размещаются) на сайте учреждения образования. При отсутствии у учреждения образования сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Политику в отношении обработки персональных данных работников в процессе трудовой (служебной) деятельности (при ее наличии) нет необходимости размещать в открытом доступе для неограниченного круга лиц. В этом случае допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), а также разместить на информационных стендах.
- Документ, определяющий порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
Порядок доступа к персональным данным целесообразно закрепить в одном документе, но отдельные его положения могут быть детализированы в иных документах, в том числе в положениях об информационных ресурсах (системах), о видеонаблюдении и др.
При разработке порядка доступа к персональным данным в нем следует отразить различия в предоставлении такого доступа к документам в информационных ресурсах и к документам в бумажном виде.
Снимок используется в качестве иллюстрации
При этом, определяя порядок доступа к тем или иным персональным данным, необходимо закрепить перечень лиц, которые имеют доступ к персональным данным, с конкретизацией категорий и случаев, когда им предоставляется такой доступ (постоянно, временно, для каких целей).
Очевидно, что директор школы, его заместители, классные руководители, учителя-предметники, педагог-психолог, социальный педагог, специалист по кадрам будут иметь доступ к различным категориям персональных данных.
Отсутствие такого порядка может привести к тому, что доступ к персональным данным будут иметь работники, должностные обязанности которых не связаны с обработкой персональных данных (например, обслуживающий персонал), или иные лица (обучающиеся, родители, посетители учреждения образования).
Положение о порядке доступа может включать в себя следующую информацию:
- перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
- цели выдачи доступа (например, при организации работы с электронными журналами и дневниками, при организации оплаты питания);
- порядок доступа в помещения, где обрабатываются персональные данные;
- порядок доступа к электронным базам персональных данных;
- порядок выдачи логинов и паролей;
- перечень должностей учреждения образования, которым может быть дан доступ;
- порядок прекращения доступа работников к обработке персональных данных.
- Осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
В соответствии с абзацем пятым пункта 3 статьи 17 Закона о защите персональных данных обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
- Определение перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является учреждение образования, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).
Операторы обязаны устанавливать и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются (подпункт 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 года № 422 “О мерах по совершенствованию защиты персональных данных”).
К данным ресурсам (системам) следует относить, например, такие распространенные в учреждениях образования ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения кадрового учета, сайты учреждений, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т. п.
- Перечень уполномоченных лиц (если для обработки персональных данных в учреждении образования привлекаются такие лица).
Данный перечень может быть установлен как в отдельном документе, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных.
При этом учреждение образования при заключении договора с уполномоченным лицом должно руководствоваться положениями статьи 7 Закона о защите персональных данных.
- Формы согласия субъекта персональных данных.
Учреждению образования следует разработать и утвердить формы согласия субъекта персональных данных для обработки персональных данных, осуществляемой на основании согласия. Важно учитывать, что для разных целей обработки формы согласия могут различаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т. п.).
Обращаем внимание, что в разделе “Портфель оператора” в рубрике “Типовые решения для сферы образования” на сайте Национального центра защиты персональных данных размещены и доступны для скачивания примерные формы согласия на обработку персональных данных обучающегося, законного представителя обучающегося, работника учреждения образования.
- Ознакомление работников с положениями законодательства о персональных данных.
Важно помнить и о том, что к числу обязательных мер по обеспечению защиты персональных данных относится не только подготовка вышеуказанных документов, но и ознакомление работников учреждения образования и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, иными документами, а также обучение указанных работников и иных лиц в порядке, установленном законодательством (абзац 4 пункта 3 статьи 17 Закона о защите персональных данных).
Порядок ознакомления (например, ознакомление под подпись и др.) определяет само учреждение образования.
Ознакомление не должно носить формальный характер, а работники действительно должны ознакомиться с тем объемом информации, который им необходим для успешного выполнения трудовых функций.
- Обучение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, непосредственно осуществляющих их обработку.
Порядок такого обучения, в том числе его периодичность, определен в подпункте 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 года № 422 “О мерах по совершенствованию защиты персональных данных”.
- Внесение изменений в должностные инструкции.
В должностные инструкции работников, трудовая функция которых связана с обработкой персональных данных (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы), педагогических работников), необходимо внести положения, касающиеся соблюдения установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных.
Перечень таких обязанностей определяется в каждом конкретном случае, исходя из специфики деятельности работника. Примерный перечень таких обязанностей можно найти на сайте Национального центра защиты персональных данных.
- Документ, устанавливающий порядок удаления (уничтожения) персональных данных.
Данный документ может быть оформлен как отдельный локальный правовой акт либо включен в локальный акт, определяющий порядок функционирования информационной системы (ресурса), политику информационной безопасности.
Обращаем внимание, что с учетом разработанных типовых решений для сферы образования УОСО к 1 сентября 2024 года должны были адаптировать рассматриваемые документы к своей деятельности и разместить их на сайте учреждения образования.
Если по какой-то причине соответствующая информация не была доведена до сведения учреждений образования, то необходимо в кратчайшие сроки провести анализ деятельности УОСО с учетом именно тех процессов и особенностей, которые характерны для конкретного учреждения образования, и документов, размещенных на сайте Национального центра защиты персональных данных, подготовить и утвердить соответствующий пакет документов для каждого учреждения образования. Ведь совершенно очевидно, что при схожести многих процессов обработки персональных данных в УОСО реестр обработки персональных данных и политика в отношении обработки персональных данных, например, в гимназии и школе будут отличаться. Поэтому следует в самое ближайшее время завершить эту работу, чтобы избежать нарушений законодательства о персональных данных.
Напоминаем также, что в разделе “Методологические документы” на сайте Национального центра защиты персональных данных размещены рекомендации о применении Закона о защите персональных данных в сфере образования (от 2022 и 2023 года), к которым УОСО может обращаться при осуществлении своей деятельности.
Надежда ШВЕД,
кандидат юридических наук, доцент,
заместитель начальника управления методологии защиты персональных данных
Национального центра защиты персональных данных Республики Беларусь