Пропускной режим в образовательном учреждении и персональные данные

Одним из способов обеспечения безопасности в школе, детском саду, в любом другом образовательном учреждении является введение пропускного режима: при входе в учреждение у посетителя просят удостоверяющий его личность документ и сведения из этого документа (фамилию, имя, отчество, номер документа и др.) вносятся в журнал учёта посетителей. Записываемая в журнал информация является персональными данными. Однако письменное согласие на сбор (т.е. обработку) персональных данных у посетителя не запрашивается. Является ли это нарушением? 

Нет, не является.

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (в рассматриваемом случае — посетителя образовательного учреждения). Под обработкой закон понимает любое действие с персональными данными, в т.ч. их сбор и занесение в материальный хранитель информации (например, в журнал учёта посетителей). Закон разрешает получать согласие в любой форме. При этом важно, чтобы были соблюдены следующие условия:
– во-первых, субъект должен иметь возможность отказаться от предоставления персональных данных;
– во-вторых, предоставление персональных данных осуществляется в интересах субъекта;
– в-третьих, субъект должен осознавать, для чего он передаёт свои персональные данные, для каких целей.

Если соблюдены названные условия, то согласие на обработку данных может быть получено в любой форме. Письменное согласие необходимо получить только в случаях, указанных в федеральном законе, в частности, при обработке персональных данных, которые относятся к специальным категориям (например, национальность, фото и др.). В других случаях согласие субъекта может быть получено любым иным способом, подходящим для конкретной ситуации.

Фамилия, имя, отчество, паспортные данные не относятся к специальной категории персональных данных, поэтому требовать от посетителя выразить в письменной форме своё согласие на сбор персональных данных нет необходимости. Что в сущности происходит на пропуском пункте? Посетитель добровольно предоставляет охраннику информацию о себе в определенном объеме. Цель предоставления персональных данных посетитель понимает и принимает. Таким образом, посетитель своими действиями показывает, что он согласен на обработку своих персональных данных, т.е. согласие выражено не в форме письменного документа, а в форме соответствующих действий (в юриспруденции такие действия называются конклюдентными).

Кроме того, закон разрешает обрабатывать персональные данные вообще без согласия субъекта, если это необходимо для осуществления прав и законных интересов оператора (например, школы, детского сада) или третьих лиц (обучающихся, их родителей), либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Так, в соответствии с п. 9 части первой ст. 34 Федерального закона РФ «Об образовании в Российской Федерации» обучающиеся имеют права на охрану жизни и здоровья. А к компетенции образовательной организации относится создание необходимых условий для охраны здоровья обучающихся и работников образовательной организации (п. 15 части третей ст. 28 названного закона). Организация пропускного режима относится к мерам по обеспечению безопасности обучающихся и работников, в частности, в отношении профилактики террористических актов. Таким образом, законодательство разрешает в рассматриваемом случае собирать персональные данные посетителей вне зависимости от наличия их согласия в какой-либо форме.

Сами по себе действия по обработке персональных данных в рассматриваемом случае (запись данных из паспорта в журнал учёта посетителей) официально называются «обработка персональных данных без использования средств автоматизации». При этом образовательным организациям необходимо учитывать требования, установленные Правительством РФ от 15.09.2008 № 687:
1) в локальном акте учреждения нужно предусмотреть ведение журнала учёта посетителей (его форму) и указать цели сбора персональных данных, их содержание (указать, что конкретно переписывается из паспорта и в какие графы, колонки, разделы журнала) и срок их обработки (продолжительность хранения журнала), должность и Ф.И.О. лиц, которые имеют доступ к журналу, отвечают за ведение и сохранность журнала;
2) запрещается копирование информации, которая содержится в журнале учёте посетителей (данное требование касается всех работников образовательной организации, в т.ч. руководящих работников);
3) при каждом пропуске на территорию образовательной организации персональные данные посетителя записываются только один раз.

 

Использованные нормативные правовые акты:
1) Федеральный закон от 29.12.2013 № 273-ФЗ «Об образовании в Российской Федерации».
2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3) Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».