ГрамотаИБ ГрамотаИБ

Персональные данные в школе и детском саду: согласие родителей и требования

Как образовательной организации (школе, детскому саду) законно обрабатывать персональные данные детей и родителей: когда основанием служит закон об образовании, а когда нужно согласие законного представителя, как быть с данными о здоровье и фотографиями, что оформить и какие ошибки ведут к претензиям.

Школа и детский сад обрабатывают много персональных данных — детей и их родителей: ФИО, адреса, сведения о здоровье, фотографии, успеваемость. Это полноценный оператор по 152-ФЗ, а данные детей требуют особой аккуратности. Разберём, что можно обрабатывать по закону, а где нужно согласие законного представителя.

Образовательная организация — оператор ПДн

Детский сад и школа определяют цели и состав обработки, значит, отвечают за неё как операторы. Особенность: субъект — несовершеннолетний, и за него, как правило, действует законный представитель (родитель, опекун). Поэтому согласия и обращения оформляются через родителей.

Когда согласие не нужно, а когда нужно

Часть обработки идёт без отдельного согласия — на основании закона: зачисление, ведение обучения и отчётности предусмотрены Федеральным законом № 273-ФЗ «Об образовании» и подзаконными актами. А вот всё, что выходит за рамки образовательного процесса, требует согласия законного представителя:

  • размещение фотографий и работ детей на сайте, в соцсетях, на стендах;
  • передача данных в сторонние сервисы, не относящиеся к образовательному процессу (например, кружки на аутсорсе, фотографы); для государственных и региональных образовательных систем и электронных журналов основанием часто служит закон, а не согласие;
  • биометрический проход (вход по лицу) — это ещё и отдельный строгий режим;
  • иные цели, не связанные напрямую с обучением.

Данные о здоровье и специальные категории

Сведения о здоровье ребёнка (медкарта, справки, особенности развития) — это специальная категория ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (статья 10 152-ФЗ) с повышенными требованиями к защите и основаниям обработки. Их обрабатывают в минимально необходимом объёме и хранят с особым контролем доступа.

Что оформить

  • Согласия законных представителей — отдельно на размещение фото и работ, на передачу данных в сторонние сервисы; виды согласий — в статье «Согласие на обработку ПДн».
  • Политику обработки ПДн и уведомление в Роскомнадзор.
  • Меры защиты под уровень защищённости (наличие данных о здоровье обычно повышает требования).

Типичные ошибки

  • Фото детей на сайте без согласия. Публикуют фотографии и работы без согласия родителей.
  • Биометрический проход без отдельного согласия. Турникеты с распознаванием лиц без письменного согласия и альтернативы — см. биометрию.
  • Избыточные анкеты. Собирают у родителей лишние данные сверх необходимого для обучения.

Главное

Школа и детский сад — операторы ПДн, а данные детей обрабатываются через законных представителей. Сам образовательный процесс опирается на закон об образовании и не требует отдельного согласия, но фотографии, сторонние сервисы и биометрия — требуют согласия родителей; данные о здоровье — это специальная категория. ГрамотаИБ помогает подготовить согласия, политику и уведомление под образовательную организацию — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.

Как вести школьный чат и не нарушить 152-ФЗ

Родительские и классные чаты переполнены персональными данными: ФИО и телефоны, фотографии детей, оценки, сведения о здоровье. Разбираем, кто здесь оператор и применяется ли 152-ФЗ (личные нужды против официального чата школы), что категорически нельзя публиковать без согласия (фото детей, диагнозы, успеваемость, чужие контакты) и как вести чат аккуратно, чтобы не нарушить права других.

Видеонаблюдение и персональные данные: что требует закон

Когда видеонаблюдение становится обработкой персональных данных и даже биометрии, на каком основании его можно вести, как информировать людей (таблички), сколько хранить записи и кому давать доступ. Отдельно — распознавание лиц как биометрия. Что оформить и типичные ошибки.

Cookie и баннер согласия на сайте: что требует российский закон

Нужен ли на сайте баннер согласия на cookie по российскому закону, являются ли cookie персональными данными, чем требования 152-ФЗ отличаются от европейского GDPR, что писать в баннере и политике и почему важны иностранные счётчики и локализация. Практический разбор для владельцев сайтов.