Персональные данные в школе: полный комплект документов по 152-ФЗ

Образовательные учреждения обрабатывают широкий перечень персональных данных. Это ФИО учеников и родителей, даты рождения, адреса проживания, данные свидетельств о рождении и паспортов, номера СНИЛС, сведения о здоровье и группе здоровья ребенка.

Помимо этого школы хранят информацию об успеваемости, результаты ГИА и ЕГЭ, данные о льготах и социальном статусе семьи. Часть этих сведений относится к специальным категориям ПДн (данные о здоровье), что требует повышенных мер защиты согласно статье 10 Федерального закона 152-ФЗ.

Школа выступает оператором персональных данных с момента приема первого заявления от родителей. Это означает обязанность соблюдать все требования 152-ФЗ, включая подачу уведомления в Роскомнадзор.

Минимальный пакет документов включает: политику обработки персональных данных, положение об обработке ПДн, приказ о назначении ответственного за обработку, формы согласий и уведомление в Роскомнадзор.

Политика обработки должна быть опубликована на сайте школы в открытом доступе согласно части 2 статьи 18.1 закона 152-ФЗ. Положение об обработке утверждается приказом директора и доводится до сведения всех сотрудников.

Дополнительно потребуются обязательства о неразглашении для сотрудников, перечень обрабатываемых ПДн, журнал обращений субъектов и инструкции по работе с персональными данными в информационных системах школы.

Согласие на обработку персональных данных несовершеннолетнего дает его законный представитель — родитель или опекун. Это прямо установлено частью 6 статьи 9 закона 152-ФЗ. Согласие оформляется в письменной форме до начала обработки данных.

Форма согласия должна содержать: ФИО родителя и ребенка, перечень обрабатываемых данных, цели обработки, срок действия согласия, перечень действий с данными и способ отзыва согласия. Отдельное согласие требуется на размещение фотографий и видеозаписей ребенка на сайте школы и в социальных сетях.

Важно получить отдельные согласия на разные цели: на обучение, на медицинское обслуживание, на передачу данных третьим лицам (например, при организации олимпиад или экскурсий).

Каждая школа обязана разместить на своем сайте политику в отношении обработки персональных данных. Это требование части 2 статьи 18.1 закона 152-ФЗ. Политика должна быть доступна неограниченному кругу лиц.

Политика описывает: какие данные школа собирает, на каком правовом основании, для каких целей, кому передает, как защищает и как долго хранит. Документ должен содержать контактные данные ответственного за обработку ПДн.

Если на сайте школы есть формы обратной связи, запись на мероприятия или электронный дневник — политика конфиденциальности обязательна. При её отсутствии Роскомнадзор вправе заблокировать сайт через суд.

Школа обрабатывает данные сотрудников как работодатель. Это регулируется главой 14 Трудового кодекса РФ и статьей 6 закона 152-ФЗ. Обработка данных работников для выполнения трудового договора не требует отдельного согласия.

Однако согласие необходимо для целей, выходящих за рамки трудовых отношений: размещение фотографии на сайте, передача данных в профсоюз, обработка биометрии для систем контроля доступа. Каждый сотрудник подписывает обязательство о неразглашении ПДн учеников.

Все работники, имеющие доступ к персональным данным учеников и их родителей, должны быть ознакомлены с положением об обработке ПДн и пройти инструктаж.

Роскомнадзор проводит плановые и внеплановые проверки образовательных учреждений. Плановые включаются в ежегодный план и публикуются на сайте ведомства. Внеплановые могут быть инициированы по жалобе родителя.

При проверке инспекторы запрашивают: уведомление об обработке ПДн, согласия субъектов, локальные акты, доказательства ознакомления сотрудников. Штрафы за нарушения составляют от 30 000 до 150 000 рублей для юридических лиц по статье 13.11 КоАП РФ.

Школам рекомендуется провести внутренний аудит документов до проверки и убедиться, что все согласия актуальны, а политика на сайте соответствует реальной практике обработки данных.