Персональные данные и организация пропускного режима в образовательной организации

Вопрос обработки персональных данных, а точнее сказать, законности их обработки находится под пристальным вниманием контролирующих органов. Оператор персональных данных (образовательная организация) обязан не превышать объём обрабатываемых персональных данных, которые ему необходимы для организации пропускного режима в образовательной организации. Какие персональные данные и в каком объёме можно обрабатывать с этой целью? 

Самый распространённый на сегодняшний день вариант обработки персональных данных в целях осуществления пропускного режима в образовательных организациях — обработка без средств автоматизации. Пожалуй, это самое простое и достаточно безобидное, что может быть в данном вопросе. Как правило, в этом случае на посту охраны в образовательной организации для прохода в здание собираются персональные данные только сторонних посетителей, а не работников и обучающихся.

На сегодняшний день действует Постановление Правительства РФ от 15.09.2008 № 687«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее — Постановление 687). В этом документе зафиксировано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. В нашем случае это выполняет охранник, который собирает персональные данные, а также иные ответственные лица, назначенные приказом руководителя организации.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Таким образом, если персональные данные обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований Постановления 687.

man2.pngВажно отметить, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» указывает, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях (п.2. ст. 22).

Как быть в ситуации, когда обработка персональных данных в целях осуществления пропускного режима осуществляется в более масштабно? Все работники организации, обучающиеся проходят через турникет, используя многоразовый магнитный пропуск. Существенный вопрос —
осуществляется ли при этом идентификация, проходящего в здание образовательной организации или это просто обычный магнитный ключ, который позволяет пройти в здание? Если это обычный магнитный ключ, то здесь не будет никакой обработки персональных данных. В случае, если происходит идентификация лица, то для организации такой системы прохода с использованием персональных данных нужно соблюдать требования законодательства, особенно когда вопрос касается обработки персональных данных несовершеннолетних.

Сначала ответим на вопрос — должен ли вообще быть таким сложным процесс прохода в образовательную организацию, который будет идентифицировать личность входящего в здание человека? Зачем всё это? Сделаем обзор нормативно-правового подхода к данному вопросу.

Конвенция о правах ребенка обязывает ее участников-государств обеспечивать соответствие учреждений, служб и органов, ответственных за работу с детьми или их защиту, нормам, установленным компетентными органами, в частности, в области безопасности и здравоохранения и с точки зрения численности и пригодности их персонала, а также компетентного надзора. Российская Федерация как участник Конвенции приняла на себя международно-правовые обязательства, по обеспечению безопасности в детских учреждениях.

В силу статьи 2 Конституции РФ человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина является обязанностью государства.

В соответствии с пунктами 1, 3, 7 статьи 2 Федерального закона от 06.03.2006 № 35-ФЗ «О противодействии терроризму» одними из принципов противодействия терроризму в Российской Федерации являются обеспечение и защита основных прав и свобод человека и гражданина, приоритет защиты прав и законных интересов лиц, подвергающихся террористической опасности, приоритет мер его предупреждения.

Согласно п. «д» ст.11 «Концепции противодействия терроризму в Российской Федерации», утвержденной Президентом Российской Федерации 05.10.2009, одной из основных задач противодействия терроризму является обеспечение безопасности граждан и антитеррористической защищенности потенциальных объектов террористических посягательств, в том числе критически важных объектов инфраструктуры и жизнеобеспечения, а также мест с массовым пребыванием людей. Как мы понимаем, образовательная организация — место массового пребывания людей.

На основании п. 1 ч. 13 ст. 30 Федерального закона от 30.12.2009 № 384 «Технический регламент о безопасности зданий и сооружений» для обеспечения защиты от несанкционированного вторжения в зданиях образовательных учреждений должны быть предусмотрены меры, направленные на уменьшение возможности криминальных проявлений и их последствий.

Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» так же содержит требование об охране здоровья обучающихся, включающее в себя обеспечение безопасности обучающихся во время пребывания в образовательном учреждении (п. 8 ч. 1 ст. 41 данного закона).

pen

Образовательная организация обязана осуществлять свою деятельность в соответствии с законодательством об образовании, в том числе создавать безопасные условия обучения, воспитания обучающихся, присмотра и ухода за обучающимися, их содержания в соответствии с установленными нормами, обеспечивающими жизнь и здоровье обучающихся, работников образовательной организации (п. 2 ч. 6 ст. 28 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»).

Образовательная организация несет ответственность в установленном законодательством Российской Федерации порядке за невыполнение или ненадлежащее выполнение функций, отнесенных к ее компетенции, а также за жизнь и здоровье обучающихся, работников образовательной организации.

В соответствии с пп. «д» п.22 Требований к антитеррористической защищенности объектов (территорий) Министерства образования и науки Российской Федерации и объектов (территорий), относящихся к сфере деятельности Министерства образования и науки Российской Федерации, и формы паспорта безопасности этих объектов (территорий), утвержденных Постановлением Правительства РФ от 07.10.2017 № 1235 в целях обеспечения антитеррористической защищенности объектов (территорий) независимо от присвоенной им категории опасности осуществляются следующие мероприятия: оснащение объектов (территорий) инженерно-техническими средствами и системами охраны и поддержание их в исправном состоянии, оснащение бесперебойной и устойчивой связью объектов (территорий). В том числе и на основании данного документа во многих регионах были разработаны паспорта безопасности образовательных организаций.

Важно! Из положений пункта 4 статьи 3 Федерального закона от 06.03.2006 № 35-ФЗ «О противодействии терроризму», пункта 6.1 части 1 статьи 15 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» следует, что орган местного самоуправления обязан финансировать профилактические мероприятия в области противодействия терроризму.

В соответствии с пунктом 3 части 1 статьи 17 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» в целях решения вопросов местного значения органы местного самоуправления обладают полномочиями по финансированию муниципальных учреждений.

?

Таким образом, исполнение требований нормативно — правовых актов по обеспечению антитеррористической защищенности является обязанностью не только образовательного учреждения, но и органов местного самоуправления.

На основании перечисленных требований нормативно-правовых актов федерального уровня по вопросам безопасности и антитеррористической защищённости, делаем вывод, что образовательная организация и орган местного самоуправления должны принять все исчерпывающие меры, позволяющие повысить уровень защищённости здания, включая усиление мер контроля пропускного режима в здание.

Какова позиция Минцифры России по данному вопросу в части, касаемой обработки персональных данных, учитывая, что в системе прохода иногда используются биометрические данные. А главное — можно ли вообще использовать биометрические данные несовершеннолетних?

В своём письме от 17 июля 2020 г. № ОП-П24-070-19433 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации предоставило подробные разъяснения.

Порядок обработки биометрических персональных данных регулируется ст. 11 Закона о персональных данных. В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.

?

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.

Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных, не требуется.

Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Общий подход предоставления согласия, закрепленный в ч. 2 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.

Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.

man1.pngТаким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.

Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.

В соответствии с решениями, принятыми на совещании по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных, состоявшемся 24.01.2020, соответствующие рекомендации по применению положений Закона о персональных данных при обработке биометрических персональных данных несовершеннолетних направлены в адрес Минпросвещения России и Рособрнадзора.

Дополнительно сообщаем, что согласно позиции ФСБ России, обработка биометрических персональных данных образовательными учреждениями также не подпадает под исключения, установленные ч. 2 ст. 11 Закона о персональных данных.

?

Итак, позиция Минцифры России очевидна — у образовательной организации нет никаких законных оснований для использования биометрических данных несовершеннолетних. Отметим, что Минпросвещения России и Рособрнадзор официально уведомлены о данной позиции.

А если в системе прохода в здание не используются биометрические персональные данные? В этом случае действуем согласно требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Получаем согласие на обработку персональных данных субъекта персональных данных, а для несовершеннолетних — законных представителей. Безусловно, нужно понимать всю меру ответственности за обработку таких данных. Передаются ли они третьим лицам? Например, оператору мобильной связи, который может отправлять смс-уведомления родителям, оповещая о входе/выходе их ребёнка в (из) здания образовательной организации.

Сейчас встречается очень много случаев, когда законные представители несовершеннолетних обучающихся отказываются давать согласие на обработку персональных данных своих детей, которое для образовательной организации необходимо получить, чтобы соблюсти все требования для исполнения технических решений системы прохода в учебное здание. Надо отметить, что для некоторых родителей, особенно в «осенне-весенний период» это становится неким развлечением — «просто не дам согласие и пусть попробуют не допустят моего ребёнка до занятий». Ну и далее по тексту…. (мы пойдём в Прокуратуру, напишем Президенту и прочее). Безусловно, со стороны руководства образовательной организации должна проводиться разъяснительная работа. Отметим, что в Федеральном законе от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» закреплено требование — родители (законные представители) несовершеннолетних обучающихся обязаны: соблюдать правила внутреннего распорядка организации, осуществляющей образовательную деятельность, правила проживания обучающихся в интернатах, требования локальных нормативных актов, которые устанавливают режим занятий обучающихся, порядок регламентации образовательных отношений между образовательной организацией и обучающимися и (или) их родителями (законными представителями) и оформления возникновения, приостановления и прекращения этих отношений (ст. 44).

Необходимо думать о безопасности детей, а не упражняться в знаниях нормативно-правовой базы, закидывая администрацию учебного заведения никому не нужными многостраничными «сочинениями».

Написать комментарий

Прикрепить файл
Вы можете прикрепить к сообщению не более пяти файлов (текст, видео, аудио), объемом не больше 5Мб каждый.

Информация персонального характера о пользователях официального сайта образовательной организации хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

Политика оператора по обработке персональных данных

КомментарииКомментариев: 0