6 мая 2015 г.

Справка о защите ПДн в ЭЖ

Поскольку стали чаще задавать вопросы про несоблюдение законодательства о защите персональных данных (ПДн) при ведении электронных классных журналов успеваемости (ЭЖ), решил сформулировать в блоге. По мере появления новых соображений, буду добавлять.

В отношении мер защиты ПДн при ведении ЭЖ, да и в целом информационных систем в сфере образования, следует отметить две системных проблемы:

  • застарелая нормативная база
  • ИТ-решения, неадекватные задачам защиты данных и сомнительные с позиции закона.

В отношении защиты ПДн можно отметить 4 отраслевых нормативных решения:

  • описание в законе 273-ФЗ “Об образовании в РФ” региональной базы итоговой аттестации (ГИА/ЕГЭ)
  • приказ Минобрнауки от 22.01.2014 №32 о приеме в школу, в котором дан перечень персональных данных для подачи заявления и констатируется необходимость их хранения на время обучения
  • письмо Минобрнауки от 21.10.2014 №АК-3358/08 (выжимка-напоминание из 152-ФЗ)
  • письмо Минобрнауки от 04.03.2015 №03-155 о ПДн в отношении внесения в списки на итоговую аттестацию

Больше никаких серьезных изменений, затрагивающих ПДн, в практике делопроизводства со времен приказа министра просвещения от 27.12.1974 №167 я не встречал. Разъяснения о возможности использования ЭЖ на основании действующего законодательства представлены в письме Минобрнауки от 15.02.2012 №АП-147/07.

Мероприятия по защите данных предусматривают 2 направления:

  • организационные мероприятия (анализ, нормативная база, уведомления…)
  • технические мероприятия

Я уделю основное внимание организационным мероприятиям, т.к. технические– удел узких специалистов

Существующие типичные нарушения при ведении ЭЖ:

  • нет согласий на обработку ПДн, хотя данные передаются третьей стороне
  • согласие есть, но неконкретное и/или избыточное по составу обработки
  • согласие не отвечает интересам субъекта
  • нет журнала передачи данных
  • нет договора о передаче данных и об обработке данных в соответствии с целями в интересах субъекта
  • у большинства не выполнены или выполнены формально другие процедурные мероприятия по защите (Положение, приказы, модели угроз и прочее)
  • школы вынуждают передавать все данные успеваемости и посещаемости в центральное хранилище, хотя это заведомо избыточная обработка данных, т.к. по закону ведение учета успеваемости и промежуточной аттестации в компетенции школы
  • передача данных в центральное хранилище осуществляется без согласия родителей под предлогом оказания госуслуг, хотя подавляющее большинство родителей не заказывает госуслуги информирования об успеваемости
  • родителей вынуждают заказывать госуслуги, т.к. иначе они не могут попасть в ЭЖ
  • реестры детей, подлежащих обучению, заполняются с грубым нарушением закона под давлением органов власти сотрудниками подведомственных школ (реестры детей, подлежащих обучению, предусмотрены в законе 273-ФЗ для муниципальных органов власти, но не детализированы по составу и не указан способ получения этих данных)
  • в централизованных ЭЖ доступ к персональным данным предоставляется сотрудникам органов власти в сфере образования, хотя законных оснований для этого нет
  • в централизованном ЭЖ сотрудникам органов власти предоставляется доступ к данным текущего оценивания и промежуточной аттестации, которые по формальным признакам являются тоже персональными данными и по закону это относится только к компетенции школы
  • в технических заданиях на региональные информационные системы закладывают требования по внешним мониторингам с возможностью персонального доступа к данным всех учеников и даже родителей (!)
  • аналогичные требования об обеспечении доступности персональных данных закладывают в отношении одаренных учащихся, проявивиших себя на различных конкурсных мероприятиях, в отношении детей, находящихся в интернатах и имеющих сложных родителей
  • доступ к данным медицинского характера, особенно в отношении детей, требующих медицинского внимания
  • бывают проколы с технической защищенностью данных, в том числе даже в хваленых облачных системах, но это сложности конкретных реализаций, а не общая проблематика.

Здесь перечислены только те нарушения, которые касаются 152-ФЗ. Нарушения, связанные с 273-ФЗ, сформулированы на примере Москвы в открытом обращении в Рособрнадзор.

Особняком стоит вопрос массовых рассогласований с жесткой формулировкой части 4 статьи 98 273-ФЗ. Она предполагает создание федеральных и региональных информационных систем в образовании при наличии их регламентации Правительством РФ. В отношении ЭЖ нет таких регламентов, однако во многих регионах внедрены региональные ЭЖ и органы власти навязывают их использование.

Комментарий

Поскольку проблематика защиты персональных данных выходит за рамки основной деятельности образовательных организаций и средств на оплату специалистов в бюджете обычно нет, выполняются только те мероприятия и по той схеме, которые транслируются из органов управления. Там тоже специалистов нет. Те, которых нанимают, сталкиваются с полным непониманием и вынуждены готовить довольно странные шаблоны документов, которые распространяются по всем школам и заполняются максимально формально. Об адресном и внимательном анализе существующих информационных систем, моделях угроз и прочих мероприятиях всерьез говорить не приходится.

Подавляющее большинство школ под давлением органов управления использует ЭЖ, размещенные в сети, хотя гораздо меньше сложностей при ведении персональных данных в локальной сети школы, особенно, если в открытой сети ограничиться только ЭЖ с минимальным (обезличенным) набором данных, а полные данные не вести в открытых сетях.

Многие школы собирают с родителей согласия на обработку ПДн, образец которого им рекомендует орган управления. Текст согласия часто весьма странный и серьезной проверке на соответствие закону не подлежит.

Некоторые директора полагают, что все эти странные и непонятные проблемы решит провайдер внешнего ЭЖ. По инициативе Роскомнадзора было разослано письмо Минобрнауки от 21.10.2014 №АК-3358/08 с напоминанием из 152-ФЗ о необходимых действиях. Оно многих повергло в шок. Некоторые органы власти только после этого письма начали готовить типовые комплекты, чтобы соответствовать всем перечисленным задачам.

Если провести проверку, большинство школ окажется абсолютно не соответствующим даже на уровне перечня необходимых документов, не говоря о содержательном их анализе. Чтобы реально обеспечить мероприятия, соответствующие закону, необходимо осознанно пересмотреть существующую практику делопроизводства с учетом электронного документооборота и практики госуслуг.

Поиск конструктивных решений

При ведении ЭЖ стоит рассматривать 3 направления анализа:

  • оказание госуслуг
  • сдача отчетности и мониторингов в вышестоящие органы
  • ведение различных единых реестров (образовательных организаций, педагогов, учеников, всех и всяких квалификаций…).

Большинство региональных решений без анализа пытается одним махом в единой системе решить все задачи, что приводит к конфликту с действующим законодательством. Особенно настораживает ожидаемая вскоре система “Контингент”, которая может консолидировать в одной федеральной информационной системе все существующие проблемы под углом зрения всех реестров разных участников образовательного процесса, хотя заметно более легкое и правильное с позиции законов решение, на мой взгляд, в разведении этих задач по отдельным существующим подсистемам с грамотным взаимодействием, в том числе на основе СМЭВ, и четким распределением по уровням доступа к персональной и статистической информации.

В отношении оказания госуслуг можно выделить 2 проблемы:

  • ошибочный типовой регламент оказания услуги информирования родителей об успеваемости и посещаемости
  • стремление создателей Портала госуслуг за счет ЭЖ накрутить посещаемость

Ошибка заключается в требовании единообразно представлять информацию об успеваемости и посещаемости ученика в “личном кабинете” родителя на портале госуслуг. Это было бы возможно только в том случае, если бы все школы работали в единой системе оценивания, как это было когда-то очень давно. В настоящее время используется множество самых разных систем оценивания, не все из которых могут быть отражены в единообразной форме на портале. Наиболее адекватным было бы обеспечение в личном кабинете на портале заявки на информирование, а само информирование по указанным в ответе данным родитель мог бы получать непосредственно из школьного ЭЖ.

Для обеспечения истинного интереса родителей пользоваться порталом госуслуг, а не путем манипуляций по принуждению через доступ к ЭЖ, нужно предоставить им полезные услуги, например, автоматизированные справки с электронной подписью портала госуслуг об обучении в образовательной организации или о полученной квалификации. Есть и другие реально полезные предложения.

В отношении отчетности, необходимо, во-первых, внедрять культуру машинно-читаемых протоколов обмена данными, а во-вторых, отчитываться исключительно статистическими данными, т.к. персональные данные для отчетов и мониторингов не нужны, ибо работу с особыми детьми ведут педагоги, а не чиновники.

Чиновникам пора пересмотреть устаревшие нормативы по отчетности, которые создавались в доэлектронную эру для исключительно бумажной культуры работы с информацией. С тех пор поменялось не только делопроизводство, но и задачи на разных уровнях управления образованием, включая законы. Думаю, не ошибусь, если заподозрю чиновников образования в неготовности сформулировать четко, что им нужно. Поэтому они и стремятся собрать все данные вместе, чтобы на любой чих вышестоящего руководства иметь возможность оперативно подготовить ответ.

Надо избегать неправильной постановки задач на проектирование систем. Сначала надо очертить задачу, а потом решать ее в логике 152-ФЗ– без избыточности данных и гиперуниверсальных ИТ-монстров. Хотя эти увлечения могут иметь большее отношение к компетенции Счетной Палаты, а не регуляторов 152-ФЗ.


Как я вижу решение без глубокого пересмотра нормативной базы?

Прежде всего, адекватная задачам методология сбора данных:

  • сформулировать, какие статистические данные и когда нужны органу власти из ЭЖ
  • разработать и опубликовать протокол обмена данными между системой сбора и любым школьным ЭЖ
  • реализовать систему сбора статистических данных
  • обеспечить разработчикам различных ЭЖ доступ к системе отладки взаимодействия с системой сбора данных

Кроме того, коррекция административных регламентов:

  • исправление регламента оказания услуги информирования родителей об успеваемости:
    • на портале заявка и ответ в виде информации о личном доступе непосредственно в школьный ЭЖ
    • услуга информирования оказывается самим школьным ЭЖ
  • исправление регламента приема в школу– через постановку на учет в муниципальном реестре: либо самостоятельно через портал госуслуг, либо с помощью сотрудника школы, специально выделенного по поручению оператора
  • уточнение на уровне федерального закона или, как минимум, Минобрнауки РФ состава данных учета детей, подлежащих обучению, и круга лиц, имеющих доступ к этой информации, которая должна вестись, согласно 273-ФЗ, в муниципальном органе власти.

При наличии исчерпывающей информации в муниципальной системе учета можно было бы отменить необходимость хранения в школе бумажных копий документов, подтверждающих эти данные, и пересмотреть устаревшие регламенты документооборота, связанные с приемом и выпуском учеников. Предложение об изменении традиционного документооборота, позволяющее существенно облегчить обязанности школы как оператора персональных данных, я публиковал в журнале «Персональные данные» в 2013 году. Пока оно никого в практическом ключе не заинтересовало.

Подборка ссылок по обеспечению защиты ПДн при ведении ЭЖ

Отправить комментарий