Защита персональных данных
Когда согласие брать не следует
Согласие субъекта персональных данных не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
При определении правового основания обработки персональных данных в учреждении образования заведующему необходимо внимательно изучить ст. 6 и ч. 2 ст. 8 Закона. И только в том случае, если ни одно из указанных в них оснований не подходит, можно говорить о том, что обработку персональных данных необходимо осуществлять на основании согласия.
Еще одним критерием, позволяющим определиться с выбором правового основания обработки, может являться, в частности, тот факт, что отзыв согласия, если субъект решит воспользоваться своим правом, сам по себе не повлечет прекращения обработки персональных данных. Если такая обработка будет продолжаться, например, в силу требований законодательных актов, необходимости выполнения возложенных на оператора или уполномоченное лицо обязанностей, продолжения исполнения условий договора, следует констатировать, что обработка персональных данных должна осуществляться на ином правовом основании, и согласие субъекта персональных данных не требуется. И только лишь в ситуации, когда обработка персональных данных в тех или иных процессах зависит исключительно от воли субъекта, следует говорить о необходимости получения согласия как правового основания обработки.
Анализ правоприменительной практики и обращений, поступающих в Национальный центр защиты персональных данных, выборочный мониторинг сайтов учреждений образования показали, что в учреждениях образования существуют серьезные проблемы, связанные с выбором правового основания обработки персональных данных для тех или иных целей. Например, согласие родителя (законного представителя) на обработку персональных данных несовершеннолетнего, формы которого разработаны и предлагаются к подписанию учреждениями образования, не соответствует требованиям Закона ни по форме, ни по содержанию.
В соответствии с п. 1 ст. 5 Закона согласие на обработку персональных данных представляет собой свободное выражение воли субъекта персональных данных. Во многих формах согласия, используемых учреждениями образования, родителю (законному представителю) или обучающемуся не предоставлена возможность по своему усмотрению отказаться от одной или нескольких целей обработки, а также отозвать согласие в отношении одной или нескольких целей обработки, что не согласуется с требованиями ст. 5 Закона.
Защита персональных данных при размещении фото и видео на сайте учреждения
Необходимо ли получать согласие законных представителей воспитанников при размещении их фото и видео на сайте учреждения дошкольного образования?
Не нужно, если основной объект на снимке — не изображение ребенка, а проводимое мероприятие.
В настоящее время в республике принимаются меры по внесению изменений в НПА в целях регулирования вопроса о размещении фотографий и видеозаписей на сайтах организаций.
До внесения соответствующих изменений в акты законодательства государственным учреждениям образования следует руководствоваться Положением о порядке функционирования интернет-сайтов государственных органов и организаций (утв. постановлением Совета Министров Республики Беларусь от 29.04.2010 № 645 (далее — Положение № 645)).
На основании подп. 7.7 п. 7 Положения № 645 размещение по решению руководителя государственного учреждения образования на сайте, в соцсетях фотографий и видеозаписей с изображением участников мероприятия (в т. ч. несовершеннолетних) без получения их согласия в рамках новостного контента, освещения спортивных, культурных, образовательных мероприятий не рассматривается как нарушение Закона Республики Беларусь от 07.05.2022 № 99-З «О защите персональных данных».
Изображение ребенка при этом не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.
В случае, если акцент делается на изображении ребенка, то для размещения таких фотографий или видеоизображения необходимо получать согласие законного представителя воспитанника.
Требования к оформлению согласия
Если правовым основанием обработки персональных данных является согласие субъекта персональных данных (в отношении несовершеннолетнего — его законного представителя), оно должно соответствовать требованиям, предусмотренным ст. 5 Закона.
В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Чтобы оценить, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором, давать или не давать свое согласие, либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели (например, заключением договора, осуществлением трудовой функции, зачислением в учреждение дошкольного образования).
В целях обеспечения информированного согласия субъекту персональных данных до начала обработки должна быть предоставлена информация, предусмотренная п. 5 ст. 5 Закона.
Центром разработана примерная форма согласия на обработку персональных данных. Данная форма доступна на сайте Центра (короткая ссылка — https://cpd.by/forma-soglasija-na-obrabotku-personalnyh-dannyh-razrabotana-centrom/).
Если правовым основанием обработки персональных данных является согласие субъекта персональных данных (в отношении несовершеннолетнего — его законного представителя), оно должно соответствовать требованиям, предусмотренным ст. 5 Закона.
В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Чтобы оценить, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором, давать или не давать свое согласие, либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели (например, заключением договора, осуществлением трудовой функции, зачислением в учреждение дошкольного образования).
В целях обеспечения информированного согласия субъекту персональных данных до начала обработки должна быть предоставлена информация, предусмотренная п. 5 ст. 5 Закона.
Центром разработана примерная форма согласия на обработку персональных данных. Данная форма доступна на сайте Центра (короткая ссылка — https://cpd.by/forma-soglasija-na-obrabotku-personalnyh-dannyh-razrabotana-centrom/).
Документы по защите персональных данных
Учреждение дошкольного образования, являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано выполнять предписания Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Рассмотрим более подробно, какая документация должна быть в учреждении дошкольного образования в соответствии с Законом.
Закон не содержит исчерпывающего перечня мер, принятие которых будет свидетельствовать о соблюдении оператором обязанности по обеспечению защиты персональных данных. В Законе реализован риск-ориентированный подход, поэтому в зависимости от сферы деятельности оператора, объема обрабатываемых персональных данных, способов обработки, категорий персональных данных, потенциальных рисков, связанных с обработкой персональных данных, иных обстоятельств оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. При этом в ст. 17 Закона прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.
Таким образом, обработка персональных данных в сфере дошкольного образования может осуществляться на различных правовых основаниях, при этом согласие субъекта персональных данных в большинстве случаев не требуется.
Вместе с тем даже наличие и правильный выбор правовых оснований обработки персональных данных не исключают возможных нарушений Закона. Обращаем внимание, что в соответствии с п. 5 ст. 4 Закона обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. К сожалению, приходится констатировать, что в учреждениях образования встречается избыточная обработка персональных данных, когда учреждения собирают информацию на всякий случай, не задумываясь о реальной необходимости обработки подобной информации.
Для оказания учреждениям образования содействия в надлежащей реализации законодательства о персональных данных Центром подготовлена информация о применении Закона в сфере образования, в которой детально освещены вопросы, связанные с обработкой персональных данных в учреждениях образования, включая правовые основания такой обработки, общие требования к обработке персональных данных, организацию работы по реализации Закона.
Меню раздела