Родители обоснованно обеспокоены вопросом защиты персональных данных детей. Часто обязанности по их охране нарушаются СМИ, публикующими сведения о ребенке, включающие в себя его имя, номер школы, иногда даже адрес. В российской правоприменительной практике это приводит даже к закрытию отдельных газет. Но не менее серьезным становится вопрос, насколько персональные данные ребенка защищены в образовательном или медицинском учреждении, может ли произойти их утечка, как случайная, так и преднамеренная.

Нормативно-правовое регулирование защиты персональных данных детей

Общие вопросы защиты персональных данных регулируются Федеральным законом «О персональных данных». Он рассматривает терминологию, понятие оператора, его обязанности по обеспечению информационной безопасности сведений, оказавшихся в его распоряжении. К персональным данным ребенка относятся:

• имя, возраст;
• сведения о родителях и других членах семьи;
• данные о месте проживания;
• сведения об успеваемости;
• данные медицинской карты.

Все они могут храниться в различных подразделениях школы, колледжа, поликлиники как на бумажных, так и на электронных носителях. Защищены эти объекты должны быть как с физической, так и с программной точки зрения. Причем эта обязанность распространяется и на процесс хранения, и на процесс обработки сведений.

Может ли ребенок дать согласие на обработку персональных данных

Важной задачей для оператора становится обязательное получение согласия субъекта персональных данных на их обработку. Его предоставление подразумевает, что лицо ознакомлено с целями и методами, которыми она может осуществляться. Не все знают, вправе ли несовершеннолетний подписать такое согласие самостоятельно или за него это должны сделать его законные представители – родители или опекуны.

Нормативные акты предусматривают, что персональные данные ребенка делятся на две группы. Те, которые обрабатываются в связи с обязанностями учреждения, в частности, информация из его документов, находящаяся в личном деле или в медицинской карте, обрабатывается без специального согласия. Иные данные, которые учреждение получает в связи с предоставлением гарантий и компенсаций, могут обрабатываться только с письменного согласия родителей. К ним относятся:

• данные о финансовом положении семьи;
• данные о специальном статусе ребенка или родителя, например, сведения о статусе инвалида;
• информация о состоянии здоровья, не относящаяся к медицинской карте.

Кто может иметь доступ к персональным данным

Учреждение образования или медицины должно максимально разграничить права доступа к персональной информации ребенка. К полным сведениям могут иметь доступ:

• руководители или заместители руководителей организации;
• сотрудники департамента соответствующего министерства, уполномоченные на это в установленном порядке и понимающие степень ответственности за их разглашение или иное неправомерное использование;
• работники образования и медицины, имеющие право получить информацию о ребенке в рамках служебных обязанностей, например, классный руководитель или врач-педиатр.

При запросе данных о ребенке сотрудники медицины или образования не вправе предоставлять их родителям, лишенным родительских прав. Любая информация о ребенке, доверенная организации, будет конфиденциальной и не может быть использована сотрудниками в своих целях, при нарушении этой нормы они будут привлечены к ответственности.

Обязанности учреждений образования и медицины по защите персональных данных детей

Как оператор персональных данных, учреждение медицины или образования обязано осуществить комплекс организационных и технических мер, направленных на обеспечение безопасности персональных данных ребенка.

К организационным мерам относятся:

• разработка пакета внутренней документации, которая должна включать в себя положение о порядке обработки данных и формат согласия на их подготовку;
• назначение приказом руководства лица или подразделения, которое отвечает за качественное соблюдение требований закона, обеспечивающих защиту данных;
• обеспечение такого режима хранения личных дел, медицинских карт и иных материальных носителей, который исключал бы доступ к ним третьих лиц;
• обязательное установление пропускного режима на объекте.

Технические меры должны гарантировать, что информация, находящаяся на электронных носителях, не будет уничтожена, искажена, распространена или использована в целях, противоречащих заявленным для их обработки. Для этого используются такие меры, как:

• установление антивирусной защиты;
• разработка системы идентификации и аутентификации лиц, которые отвечают за аппаратную обработку данных;
• использование средств криптографической защиты, если данные передаются по телекоммуникационным каналам связи;
• шифрование сведений, находящихся на серверах организации;
• установление межсетевой защиты и иных средств разграничения доступа. 

Ответственность за нарушение прав ребенка на защиту его персональных данных

Проверки того, насколько качественно выполняются обязанности по защите персональных данных, проводятся уполномоченными государственными учреждениями, к которым относятся Роскомнадзор, ФСБ и ФСТЭК. Проверки должны контролировать соблюдение как организационных, так и технических требований. Если требования закона и подзаконных нормативных актов грубо нарушаются, в отношении организации могут быть применены следующие меры воздействия:

• предписание об устранении нарушений;
• административный штраф;
• приостановление или прекращение деятельности, связанной с обработкой данных, в частности, закрытие СМИ;
• привлечение к уголовной ответственности на основании материалов, собранных в ходе проверки и направленных в правоохранительные органы.

Обязанности родителей

Родители ребенка должны знать, что и на них лежит серьезная ответственность по защите персональных данных детей. Им необходимо:

• отслеживать, какую именно информацию ребенок представляет о себе в социальных сетях. Часто деструктивные группы получают нужные им данные именно таким способом;
• не передавать любую информацию о ребенке неизвестным третьим лицам или даже лицам, которые представляются преподавателями или социальными работниками;
• предупредить ребенка о тех действиях, которые он должен совершать для собственной защиты;
• использовать средства контроля сайтов, посещаемых ребенком, и ограничивать возможность заходить на определенные сайты.

Необходимо понимать, что фотография также относится к биометрической информации, и передавать детские фотографии третьим лицам категорически запрещено, они тоже могут быть использованы в преступных целях.

Сейчас проблема с распространением персональных данных детей становится критической. Даже если не говорить о наиболее опасных криминальных деяниях, таких как вовлечение в террористические организации или в деструктивные секты, например, в «Синий кит», просто сведения о месте жительства ребенка могут привлечь к нему интерес преступников. Поэтому к защите этой информации нужно подходить максимально ответственно как родителям, так и педагогам.