Защита персональных данных для школы и образовательной организации
Школа обрабатывает персональные данные учеников (несовершеннолетних), их родителей и сотрудников. У данных детей особый режим согласия. Разберём требования 152-ФЗ к образовательной организации.
Знакомые ситуации
- •Обрабатываем данные несовершеннолетних — кто даёт согласие.
- •Работаем в государственных информационных системах образования.
- •Есть данные о здоровье и льготах учеников — это особые категории.
Что нужно по 152-ФЗ
Основания и согласие
Обработка для образовательного процесса часто ведётся не на согласии, а на основании закона и договора об образовании (пункты 2 и 5 части 1 статьи 6). Где нужно согласие, за ребёнка его даёт законный представитель (родитель, опекун); для подростков 14–18 лет учитывается их частичная дееспособность.
Специальные категории
Сведения о здоровье, инвалидности, льготах относятся к специальным категориям (статья 10 152-ФЗ) и требуют повышенного внимания и, как правило, согласия.
Государственные информационные системы
Работа в ГИС образования (электронный журнал, дневник, региональные системы) ведётся по правилам оператора такой системы; для собственных ИСПДн — по приказу ФСТЭК №21.
Уведомление Роскомнадзора и политика
Подать уведомление об обработке ПДн и опубликовать политику обработки, отразив категории субъектов (ученики, родители, работники) и цели.
Публикация данных
Для размещения данных учеников (фото, достижения) в открытом доступе оформляется отдельное согласие на распространение (статья 10.1) от законного представителя.
Частые вопросы
Кто даёт согласие на обработку персональных данных ученика?
За ребёнка согласие даёт его законный представитель (родитель, опекун); для подростков 14–18 лет дополнительно учитывается их частичная дееспособность. При этом обработка для образовательного процесса часто основана на законе и договоре об образовании, а не на согласии.
Можно ли публиковать фотографии и достижения учеников на сайте школы?
Для размещения данных ученика в открытом доступе нужно отдельное согласие на распространение персональных данных (статья 10.1) от законного представителя; общего согласия на обработку для этого недостаточно.
Подробнее в Базе знаний
Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.