Об уточнениях в методические рекомендации по внедрению систем ведения журналов успеваемости в электронном виде
Во исполнение решения совещания в Администрации Президента Российской Федерации по вопросу использования электронных дневников и электронных журналов успеваемости в образовательных организациях Минобрнауки России вносит уточнение в п. 4 раздела «Этап проектирования нормативного и регламентационного обеспечения» части 1 «Методические рекомендации» письма Минобрнауки России от 15 февраля 2012 г. № АЛ-147/07 «О методических рекомендациях по внедрению систем ведения журналов успеваемости в электронном виде» (стр. 9). Данный пункт рекомендаций предусматривает организацию работ по исполнению Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - № 152-ФЗ).
С учетом обновленной терминологии в рамках Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» (статьи 28, 30, 44) и закрепления в нем ряда положений данного письма, необходимо обратить внимание на особенности мероприятий по защите персональных данных в различных вариантах использования электронных журналов успеваемости.
Электронные журналы, обрабатывающие данные вне образовательной организации, предусматривают необходимость:
- «уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (п.1 статьи 22 № 152-ФЗ) и декларировать изменения «в течение десяти рабочих дней с даты возникновения» (п.7 статьи 22 № 152-ФЗ), в том числе, при смене варианта используемого электронного журнала;
- контролировать возможность трансграничной передачи персональных данных;
- получить и соответствующим образом хранить письменные согласия субъектов на обработку персональных данных, в том числе на передачу их в организацию, обслуживающую внешний электронный журнал;
- обеспечить соответствие целей обработки данных, указанных в согласии на обработку, с целями обработки данных у организации, которой данные передаются;
- заключить договор с организацией, обслуживающей электронный журнал, об ответственности за обработку переданных ей персональных данных в соответствии с заявленными целями.
При использовании электронных журналов, обрабатывающих данные внутри образовательной организации, ряд перечисленных выше мероприятий может быть сокращен и/или облегчен при соответствующей подготовке локальной нормативной базы. Вместе с тем, образовательная организация должна обеспечить организационно-технические меры по защите персональных данных, находящихся в ее информационных системах, включая электронный журнал, в соответствии с требованиями закона и инструкций по информационной безопасности.
В обоих случаях необходимо соблюдать условие п.1 статьи 9 № 152-ФЗ о том, что согласие на обработку персональных данных дается субъектом с соблюдением его интересов. Если обработка персональных данных субъекта диктуется интересами организации, а не интересами субъекта, то согласие может быть признанно ничтожным и аннулировано, а обработка данных - нарушающей требования законодательства. Принципы и условия обработки персональных данных изложены в главе 2 № 152-ФЗ.