вторник, 8 октября 2013 г.

Федеральный реестр документов государственного образца об образовании и закон «О персональных данных» - кто кого?


Я уже писала о постановлении Правительства РФ от 3 апреля 2013 г. № 293, утвердившем «Правила формирования и ведения федерального реестра документов государственного образца об образовании, об ученых степенях и ученых званиях» (см.: http://rusrim.blogspot.ru/2013/04/blog-post_11.html ).

Создание и формирование «Федерального реестра сведений о документах об образовании и (или) о квалификации, документах об обучении» было предусмотрено принятым в декабре 2012 года федеральным законом «Об образовании в Российской Федерации»:
Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»

Статья 98. Информационные системы в системе образования

9. Для обеспечения учета сведений о документах об образовании и (или) о квалификации, документах об обучении, выданных организациями, осуществляющими образовательную деятельность, сведения о таких документах вносятся в федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении», формирование и ведение которой организует федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере образования. Федеральные государственные органы и органы исполнительной власти субъектов Российской Федерации, осуществляющие государственное управление в сфере образования, органы местного самоуправления, осуществляющие управление в сфере образования, организации, осуществляющие образовательную деятельность, представляют в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере образования, сведения о выданных документах об образовании и (или) о квалификации, документах об обучении путем внесения этих сведений в федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».

10. Перечень сведений, вносимых в федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении», порядок ее формирования и ведения (в том числе порядок доступа к содержащимся в ней сведениям), порядок и сроки внесения в нее сведений устанавливаются Правительством Российской Федерации.
Вроде бы всё чин чином, только вот при разработке закона забыли об одной маленькой проблеме: об установленных в законе «О персональных данных» требованиях получения согласия на обработку персональных данных :)

Согласно закону «О персональных данных» (см. часть 1 ст. 6, ст.7, часть 1 ст. 9), обработка персональных данных, в том числе их распространение и предоставление, при отсутствии согласия субъекта персональных данных на их обработку допускается только в случаях, предусмотренных федеральным законом:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Статья 6. Условия обработки персональных данных

1. … Обработка персональных данных допускается в следующих случаях:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Статья 7. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. … Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Из этого следует, что при создании и раскрытии информации о дипломах Министерству образования придется у каждого гражданина получать согласие на обработку персональных данных.

Средства массовой информации уже сообщили, что в Минобрнауке разработана система, «которая позволит российским компаниям-работодателям и вузам в режиме онлайн проверять достоверность представленных им документов об образовании» (см: http://izvestia.ru/news/557804 ). Система создана Центром бюджетного мониторинга Петрозаводского государственного университета (ПетрГУ). На эту работу уже затрачено около 40 млн. рублей, - и только теперь разработчики озаботились проблемой персональных данных! По словам директора Центра ПетрГУ Валерия Гуртова:
«Но мы столкнулись с проблемой. Предоставление личной информации в публичном доступе противоречит закону «О защите персональных данных… «Подобные данные можно предоставлять с письменного согласия обучающегося. Это наш самый большой камень преткновения. Сейчас идут бурные обсуждения данной проблемы совместно с российскими союзами работодателей»
По мнению В.Гуртова, выходом из ситуации является получение у выпускников школ и вузов при выдаче аттестата или диплома письменного согласия на доступ к данным об этом документе. «У тех, кто уже закончил учебное заведение, придется каким-то образом получить письменное согласие на показ данных их документов. Можно использовать электронную подпись и интернет, или предложить человеку лично явиться в органы Рособрназдора».

Эти предложения (при всей их наивности – вряд ли граждане толпой повалят в Рособрназдор; куда вероятнее, что они начнут массово рассылать жалобы на поведение Минобрнауки) не учитывают ещё одно положение законодательства о персональных данных – субъект персональных данных может в любой момент отозвать свое согласие, а оператор по его требованию должен прекратить обработку соответствующих персональных данных и уничтожить их.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. …

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Мой комментарий: Министерству лучше не искать себе приключений и поставить вопрос о включении в закон «О персональных данных» (или в отдельный специальный закон) положения, допускающего обработку персональных данных, содержащихся в реестре.

Источник: сайт газеты Известия
http://izvestia.ru/news/557804

4 комментария:

  1. Не совсем согласен. ФЗ 273 дает основания на обработку ПДн (т.е. статью 9 тут не пришьешь), но не на распространение, так как в ПП 729 (в котором исходя из статьи 10 главы 12 ФЗ 273 описан порядок доступа в ГИС) пункте 7 говорится, что сведенья предоставляются лицам, отличных от владельца ПДн (раскрытие ПДн их владельцу не подпадает под 7 статью 152-ФЗ), "в части ПОДТВЕРЖДЕНИЯ НАЛИЧИЯ сведений". Т.е. ПДн передают работодатели, а ГИС отвечает ок или не ок. Согласие берет работодатель. Другое дело что при проектировании ГИС могли порядок доступа вольно понять, тогда да, проблемка.

    ОтветитьУдалить
  2. А почему только этот вопрос поднят? )))) А как же раскрытие данных об учителях на сайтах образовательных организаций? Они оччччень рады )))) Но фишка еще и в ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ОБЩЕДОСТУПНЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ об учителях ))) Сайты школ, детсадов - на 95% хостятся на всяких народ.ру - какая защита?! А теперь оттттткрываем 17 (или 21) приказ ФСТЭК, 1119 постановление Правительства ииииии.... тадам! минимум 4 уровень, минимум 4 класс - ОБЯЗАТЕЛЬНО НСД+МЭ+... УРРРААА!!!! Только в нашем субъекте более 500 школ, а детсады? а кружки с лицензиями и БЕЗ лицензий (новый ФЗ практически уравнял различные формы образования). Цена вопроса? Миллионы на законное выполнение требований 29 статьи 273-ФЗ и соответствующего постановления Правительства.

    ОтветитьУдалить
  3. 1) Эти нормы писались позже чем закон о ПДн - который предоставляет необходимые правовые возможности для создателей закона об образовании. Если они не захотели или не сумели ими воспользоваться - это уж точно не проблема закона о ПДн.

    2) А этот так называемый "директор центра" попилил бабло, уплоченное за систему, ничего не сделал и теперь прикрывается мнимой невозможностью запустить систему из-за юридических казусов.

    Мы в свое время однажды так одну "уважаемую" кафедру чуть не закрыли, которая залезла в конкурс, выиграла, ничего не сделала, а к новому году захотела денег. Когда дело дошло до ректора, скандалище был жуткий.

    ОтветитьУдалить
  4. Сейчас уже действует новая редакция - 02.03.2016 были внесены изменения в закон об образовании 2016.

    ОтветитьУдалить