Речь идет о поправке в закон "О внесении изменений в Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» и в Федеральный закон от 24 апреля 2008 г. № 48-ФЗ «Об опеке и попечительстве».

Федеральный взгляд

В Минобрнауки предполагают, что данные о детях должны попадать в базу с момента рождения. В личном деле должны быть указаны сведения об образовательных учреждениях и успеваемости, победах в конкурсах, олимпиадах, а также там должны содержаться сведения о родителях и ситуации в семье.

Вносить персональные данные учащихся в базу данных будут региональные и муниципальные структуры, за Минобрнауки закрепляется "методологическое и методическое обеспечение системы". Проект предполагает существенное расширение круга ведомств, которые имеют право собирать, обрабатывать и хранить персональные данные учеников. Так, в перечень включены Минздрав, Минтруд, налоговые и пенсионные органы, муниципальные и региональные образовательные структуры. Стоит отметить, что в документах правительства и Минобрнауки не содержится даже приблизительных сведений о том, сколько человек в итоге получит доступ к базе данных, и каким образом будет регламентироваться вопрос о неправомерном использовании информации об учащихся, особенно несовершеннолетних.

Планируемый срок вступления нормативного акта в силу уже завтра - 1 сентября 2015 года.

Ахиллесова пята

Между тем, школа уже сталкивалась с проблемами, связанными с несовершенством законодательства о защите персональных данных. В частности, осенью 2014 года, руководители двух с лишним тысяч школ, детских садов и интернатов были наказаны за публикации на сайте образовательных учреждений списков детей, при этом, согласие самих детей и родителей на размещение информации не принималось во внимание. Под запрет попали даже списки победителей олимпиад и соревнований.

Также тема безопасности персональных данных школьников становилась предметом широкого обсуждения в декабре 2014 года, когда информационно-аналитическая система "Московский регистр качества образования" ("Электронный дневник школьника") подверглась мощной DDos-атаке, которая продолжалась с 17 по 24 декабря.

В последний раз вопрос в связи с массовыми утечками в открытый доступ персональных данных, вызванными, как предполагается, недостаточной защищенностью электронных дневников и журналов, возник уже в мае 2015 года. В СМИ тогда упоминался тревожный факт - офшорная кипрская компания получила доступ к данным как минимум 5,6 млн. российских учащихся, зарегистрированных в системе электронного дневника и журнала «Дневник.ру». Интересно, что последовавшие вслед за этим проверки Роскомнадзора, каких-либо серьезных нарушений в работе компании «Дневник.ру» не выявили.

Что говорят эксперты?

Мы попросили экспертов прокомментировать степень ответственности директоров школ и педагогов в случае работы с персональными данными. Что необходимо знать, чтобы не допускать нарушений законодательства?

"Нам известны случаи, когда в школе пароль учителя или даже директора был продолжительное время известен ученикам. Приходилось принудительно сбрасывать такие пароли, заставляя пользователя системы его изменить», - рассказал Денис Кузнецов, генеральный директор компании «Веб-Мост», которая является разработчиком электронного журнала и дневника ЭлЖур.  

По его словам, при работе с персональными данными, администрация школы должна четко осознавать степень ответственности, которая на ней лежит в соответствии с законодательством и компетенциями школы. Сегодня не редки случаи, когда школы, исполняя устные указания вышестоящего руководства, начинают использовать в своей работе внешние информационные системы и передавать в них персональные в данные без каких-либо нормативных оснований и даже без заключения договора с принимающей стороной (а значит без какой-либо ответственности и гарантий конфиденциальности). Сам факт такой слепой передачи на основании неправомочных распоряжений уже является нарушением закона 152-ФЗ «О персональных данных». Отвечать за него придется директору школы, а не тому, кто выдал устное распоряжение или письменно рекомендовал «начать использовать информационную систему в работе».

Однако, и учитель, и другие пользователи информационных систем должны учитывать новые особенности работы с данными, обрабатываемыми в них. Что конкретно здесь имеется ввиду? И с какими проблемами может столкнуться учитель в свете задач защиты персональных данных? Об этом нам рассказал эксперт по информационным технологиям в образовании, член правления Лиги образования, тренер образовательных программ Apple, в прошлом учитель информатики с 25-летним опытом Михаил Кушнир.

«В первую очередь, каждый учитель должен понимать, что за правила обработки персональных данных отвечает администрация школы, а контролируют их использование родители. Поэтому учителю важно соблюдать школьные правила и учитывать особенности законодательства только в рамках личных творческих инициатив.

Персональными данными является любая информация, которая имеет отношение к конкретному человеку. Ее нельзя делать доступной другим людям без согласия этого человека. Особое внимание педагог обязан уделять тем случаям, когда приходится выносить персональные данные из школы: поездки, олимпиады, диспансеризации.

Есть несколько исключений из правила получения согласия, в том числе:

  • когда эта информация является общедоступной;
  • когда передача этой информации необходима для обеспечения жизни и здоровья;
  • когда передача предусмотрена в федеральных законах.

Кто бы не просил у учителя персональные данные, к которым он имеет доступ, он должен убедиться в законности просьбы. Строго по закону, любая передача персональных данных должна быть запротоколирована, чтобы можно было ответить на вероятный запрос родителей, что школа делала с персональными данными. Лучше любую передачу данных из школы переадресовать администрации или, по крайней мере, согласовать с ней. Если школа не уверена в правомочности обращения за персональными данными, то вправе потребовать письменного предъявления доказательств в логике одного из указанных вариантов. Если учитель отвечает за мероприятие, предусматривающее вынесение или передачу куда-то данных учеников, нужно убедиться в наличии одного из этих условий. Надежнее всего иметь письменное согласие родителей на такие действия. Поскольку для таких мероприятий обычно издается приказ по школе, стоит вставить в него фразу о наличии таких оснований, чтобы ответственность за доказательство необходимости передачи данных не лежала на учителе.

Самая нелепая ситуация с персональными данными может сложиться тогда, когда учитель выставляет свои достижения в интернете. Например, публикует на личном сайте или школьном Интернет-ресурсе достижения учеников с подписями их имен, фамилий и класса, а порой с фото и видео подростков и их выступлений. Именно этот пример сейчас используется регуляторами закона как наиболее типичное нарушение. Нужно либо не указывать полные ФИО, либо иметь разрешение от родителей на такую публикацию с указанием ФИО ученика. Чтобы не иметь претензий от родителей на основании Гражданского кодекса (это уже не имеет отношения к 152-ФЗ), стоит заранее получить согласие на публикации изображений их детей в школьных материалах на сайте или в изданиях на бумаге. Даже для варианта без указания их ФИО. Проще всего заложить аккуратно составленную фразу прямо в заявление о приеме. Там можно предусмотреть “галочку”: с указанием ФИО или без".

Аналогичный казус может случиться, если учитель использует облачную ИТ-платформу для дистанционных образовательных технологий.

«Это очень перспективное и модное направление развития современной педагогики: "смешанное обучение" (blended learning). Часто такая деятельность проводится учителем самостоятельно без согласования с администрацией или при ее молчаливом согласии, о факте которого в конфликтной ситуации можно и забыть. Если Вы где-то зарегистрируете детей с указанием полных ФИО, Вас могут обвинить в несанкционированном распространении их персональных данных. Можно предложить родителям их зарегистрировать самостоятельно, но не все родители в состоянии это делать», - пояснил Михаил Кушнир.

По словам эксперта, если педагоги регистрируют своих учеников не по полным ФИО, а только по имени или, тем более, по известным между собой «никам», принятым в Интернете, к ним сложно будет предъявить претензии, т.к. опознать учеников нельзя (данные обезличены и особых мер защиты не требуют), минимальная защита именем/паролем во всех системах есть, а согласие на использование очевидно, раз используют. Важно иметь подтверждение, что все родители информированы и не возражают. Соответственно, такие сервисы не должны быть детям и родителям навязаны, здесь все исключительно добровольно, по обоюдному согласию.

Часто учителя возмущаются, что их упрекают за разглашение персональных данных школьников, а учительские данные порой открыто размещают на нескольких сайтах сразу. Дело в том, что часть персональных данных учителя, связанных с его квалификационными характеристиками, по закону должна быть открыта и опубликована на сайте школы. Значит, они общедоступны и их можно свободно передавать без спроса. Но в них не предусмотрены личные данные, такие как домашний адрес педагога или его мобильный телефон.

Слухи о всемогущих учениках-хакерах, взламывающих электронные журналы, сильно преувеличены. Чаще всего, школьники применяют более надежные психологические приемы, используя простые навыки работы с ИТ. Например, подделывая данные или организуя локальные информационные диверсии своим родителям: препятствуют получению информации технически на их компьютерах (меняют настройки почты, например) или отправляют сообщения от имени родителей в адрес администрации с различными просьбами и даже требованиями.

С точки зрения получения реального доступа к данным электронного журнала, намного проще воспользоваться информационной неопрятностью учителей, которые используют простые пароли (их легко подобрать), пишут их на бумажках и приклеивают к мониторам (их можно подсмотреть), заходят в журнал на глазах учеников (тоже можно подсмотреть), оставляют технику после входа без присмотра.

Чем масштабнее по охвату журнал, тем масштабнее может быть воздействие злоумышленника, получившего доступ. Захват учетной записи учителя учеником, скорее всего, будет ограничен учебными курсами учителя или школы (в зависимости от прав доступа учителя). Хуже, если окажется захвачена учетная запись завуча, у которого обычно больше прав, а они часто ведут уроки в роли учителя. Возможности выявить и исправить неправильные действия в электронном журнале у разных продуктов разные, но что-то можно сделать в любом из них.

Для специалистов ломка электронного журнала редко представляет интерес, особенно, если в нем мало пользователей.  «Так что, - заключил наш эксперт, - соблюдайте правила школы и не делайте глупостей. Вот и все личные правила по работе с персональными данными для учителя».

Фото Ольги Максимович