Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) предусматривается значительное число случаев, многие из которых встречаются в деятельности учреждений образования, когда согласие субъекта персональных данных не требуется (ст. 6 и 8 Закона).
Так, критерием, который свидетельствует о неправомерности обработки персональных данных на основании согласия, может являться, в частности, тот факт, что в таких ситуациях отказ от дачи согласия на обработку персональных данных либо его последующий отзыв не влечет прекращения обработки персональных данных.
Например, родители отказываются давать согласие на обработку персональных данных учащегося в целях «обеспечения образовательного процесса». В этом случае обработка персональных данных обучающегося осуществляется на основании необходимости выполнения обязанностей (полномочий), предусмотренных законодательными актами (Кодексом об образовании, законами, указами, декретами и принятыми в их развитие НПА Правительства или уполномоченного органа). Учреждение образования обязано обеспечивать образовательный процесс в соответствии с законодательством об образовании независимо от пожеланий родителей.
Цитата НПА
Закон Республики Беларусь «О защите персональных данных» от 07.05.2021 № 99-З
Принят Палатой представителей 2 апреля 2021 г.
Одобрен Советом Республики 21 апреля 2021 г.
Зарегистрировано в Национальном реестре правовых актов Республики Беларусь 13 мая 2021 г. № 2/2819
(Извлечение)
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
Согласие субъекта персональных данных на обработку персональных данных, за исключением специальных персональных данных, порядок обработки которых установлен статьей 8 настоящего Закона, не требуется:
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих, пособий;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
<…>
Цитата НПА
Закон Республики Беларусь «О защите персональных данных» от 07.05.2021 № 99-З
Принят Палатой представителей 2 апреля 2021 г.
Одобрен Советом Республики 21 апреля 2021 г.
Зарегистрировано в Национальном реестре правовых актов Республики Беларусь 13 мая 2021 г. № 2/2819
(Извлечение)
Статья 8. Обработка специальных персональных данных
1. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных пунктом 2 настоящей статьи.
2. Согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих;
при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
в целях ведения криминалистических учетов;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
для осуществления административных процедур;
в связи с реализацией международных договоров Республики Беларусь о реадмиссии;
при документировании населения;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
3. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
<…>
В связи с этим получение согласия в названных ситуациях является избыточной обработкой персональных данных и может повлечь ответственность, предусмотренную законодательными актами.
В тех случаях, когда получать согласие субъекта персональных данных все же необходимо, следует помнить о том, что такое согласие должно соответствовать требованиям, предусмотренным ст. 5 Закона.
Критерии получения согласия
Сам по себе факт получения согласия не делает обработку персональных данных законной, если не соблюдаются определенные Законом критерии его получения: согласие должно быть свободным, однозначным, информированным. Только при соблюдении этих критериев в совокупности согласие на обработку персональных данных признается действительным.
Согласие является свободным, когда субъект самостоятельно, руководствуясь собственным внутренним убеждением, выражает свою волю в отношении обработки персональных данных. Это означает недопустимость понуждения субъекта к даче такого согласия под угрозой наступления для него неблагоприятных последствий. Например, учреждение образования не может связывать получение согласия на обработку персональных данных (размещение фотоизображений ученика на сайте учреждения) и зачисление учащегося в учреждение образования. Это нарушает требования Закона.
При оценке, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором — давать свое согласие или нет. В отсутствие такого выбора его согласие является вынужденным.
Пример
Свободный характер согласия на обработку персональных данных не соблюдается:
• при получении согласия работника в процессе трудовой деятельности;
• получении согласия работника для целей обучения, воспитания;
• включении согласия в качестве обязательного условия в договор;
• получении единого согласия на достижение не связанных между собой целей;
• в случае невозможности отзыва согласия без ухудшения положения субъекта персональных данных;
• если обработка конкретных персональных данных является обязательным условием получения определенной услуги.
В случае объективной потребности в получении согласия на достижение нескольких не связанных между собой целей оператору следует обращаться к субъекту персональных данных за получением отдельного согласия на каждую из таких целей (принцип «одна цель — одно согласие»). При этом субъект персональных данных вправе давать согласие исключительно на те цели, которые посчитает нужными.
Для реализации требования о свободном согласии оператору (учреждению образования) необходимо предоставить субъекту персональных данных право выбора конкретных целей обработки персональных данных, с которыми он согласен или не согласен, а также указать категории персональных данных, обрабатываемые применительно к каждой из этих целей.
Таким образом, субъект персональных данных должен иметь возможность согласиться или не согласиться как с одной, так и с несколькими целями обработки. Цели обработки персональных данных в таких случаях разделяются на соответствующие чек-боксы, в которых субъект персональных данных может выразить свое согласие путем проставления отметки (галочки).
Согласие является однозначным, когда дается путем совершения четкого намеренного действия.
Пример
Не соответствует критерию однозначности получение согласия путем молчания или бездействия субъекта персональных данных, например «продолжая пользоваться сайтом, вы даете согласие на обработку персональных данных».
Согласие должно быть информированным. Даче согласия должно предшествовать предоставление субъекту всей необходимой и достоверной информации о целях обработки, об обрабатываемых данных, учреждении образования и иных лицах, которые будут осуществлять обработку, сроке обработки и другой необходимой информации.
К сожалению, практика показывает, что учреждения образования пренебрегают этим требованием и не доводят необходимую информацию до сведения учащихся или их законных представителей, что вынуждает последних обращаться в различные органы, в т. ч. Национальный центр защиты персональных данных (НЦЗПД).
Для того чтобы согласие соответствовало критерию информированности, учреждение образования должно ознакомить субъекта персональных данных со следующей информацией:
- наименованием и местом нахождения оператора, получающего согласие субъекта персональных данных;
- целями обработки персональных данных. При этом не допускается использование обобщающих целей: «обеспечение исполнения законодательства», «осуществление уставной деятельности», «осуществление взаимодействия с законными представителями несовершеннолетних» и др.;
- перечнем персональных данных, на обработку которых дается согласие субъекта персональных данных;
- сроком, на который дается согласие субъекта персональных данных;
- информацией об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечнем действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общим описанием используемых оператором способов обработки персональных данных;
- иной информацией, необходимой для обеспечения прозрачности процесса обработки персональных данных.
Это важно
Предоставляемая учреждением образования информация должна позволять субъекту получить ответы на вопросы: кто, зачем, каким образом, в течение какого срока и какие именно его персональные данные будет обрабатывать.
Таким образом, чтобы согласие было информированным, учреждению образования необходимо до получения согласия исполнить обязанность по предоставлению субъекту персональных данных информации, содержащейся в п. 5 ст. 5 Закона, простым и ясным языком разъяснить его права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи или отказа в даче согласия.
Данная информация должна быть предоставлена в той же форме, что и форма получения согласия.
Типичные нарушения при получении учреждением образования согласия
Анализ правоприменительной практики, обращений, поступающих в НЦЗПД, выборочный мониторинг сайтов учреждений образования показал наличие серьезных проблем, связанных с выбором правового основания обработки персональных данных для тех или иных целей.
При этом анализ форм согласия, например, родителя (законного представителя) на обработку персональных данных несовершеннолетнего, предлагаемых к подписанию рядом учреждений образования, отражает их несоответствие требованиям Закона ни по форме, ни по содержанию.
Нарушения в отношении получения согласия можно подразделить на две группы.
Первая — когда для обработки персональных данных имеются обязанности (полномочия), установленные законодательным актом. В таком случае получение согласия влечет избыточную обработку персональных данных.
Пример
Во многих формах согласия встречались следующие цели обработки: для обеспечения образовательного процесса (вариант — в целях осуществления обучения и воспитания), в целях физического воспитания, ведения классных журналов и дневников учащегося, участия в олимпиадах, конкурсах, турнирах, фестивалях, конференциях, симпозиумах, конгрессах, семинарах и других образовательных мероприятиях, спортивно-массовой, общественной, научной, научно-технической, экспериментальной, инновационной деятельности и ряд иных целей, для которых персональные данные должны обрабатываться на правовых основаниях, установленных ст. 6 или п. 2 ст. 8 Закона.
В связи с этим отметим, что получать согласие при организации вступительной кампании, зачислении в учреждения образования (например, при поступлении в I класс средней школы (ст. 151 Кодекса об образовании)) не требуется. Обработка персональных данных осуществляется в таких случаях на основании абз. 20 ст. 6 Закона.
Вторая группа — когда берется общее (единое) согласие на различные цели, при этом не обеспечивается свободный и информированный характер согласия. В итоге соответствующая обработка персональных данных нарушает требования Закона.
Отметим также, что форма согласия на обработку персональных данных разработана НЦЗПД. Предлагается применять ее в качестве основы и дорабатывать с учетом специфики образовательной деятельности.
Хранение согласий
Согласно п. 7 ст. 5 Закона обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.
Поэтому получение согласия следует организовать таким образом, чтобы учреждение образования в любой момент могло подтвердить данный факт. Механизм подтверждения получения согласия субъекта персональных данных определяется учреждением образования самостоятельно.
При этом в случае получения согласия субъекта персональных данных в письменной форме или форме электронного документа учреждению образования следует вести учет полученных согласий.
Не обязательно хранить все полученные согласия централизованно, в одном месте.
Пунктом 331 перечня типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей (утв. постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов»), установлено, что согласия субъектов персональных данных на обработку их персональных данных хранятся 1 год после окончания срока, на который дается согласие.
От редакции
Дополнительно по теме вы можете прочитать в материалах:
Швед Н. Зачисление в учреждение образования: принимаем документы правильно;
Швед Н. Обработка персональных данных при организации и проведении социального расследования;
Швед Н. Персональные данные: изготовление и выдача билета учащегося.