ВНИМАНИЮ РОДИТЕЛЕЙ САНКТ-ПЕТЕРБУРГА

Заявление Санкт-Петербургского городского родительского комитета по факту раскрытия персональных данных в информационной системе «Параграф 3»

В начале декабря 2013 года в распоряжение Санкт-Петербургского городского родительского комитета поступили сведения, указывающие на то, что сбор, обработка и передача персональных данных учащихся и их родителей (законных представителей), а также персональных данных работников, осуществляемые в учреждениях, подведомственным Комитету по образованию Администрации Санкт-Петербурга, обработка которых в электронной форме совершаются с использованием Информационной Системы «Параграф 3» (ИС «Параграф 3»), являются незаконным и не обеспечиваются должным уровнем защиты, а также доступны для потенциального несанкционированного использования.

Специалисты группы информационной безопасности СПб ГРК провели предварительную проверку поступивших к нам сведений, результаты которой переданы для дальнейшего рассмотрения в Прокуратуру Санкт-Петербурга и правоохранительные органы по подведомственности. По мере получения ответов, они будут опубликованы на сайте СПб ГРК.

Выводы, сделанные компетентными специалистами, привлеченными СПБ ГРК для анализа ситуации, подтверждают, что:

  1. ИС «Параграф» является незащищенной системой, которую в настоящее время нельзя использовать для целей сбора, хранения, обработки и передачи персональных данных по положению Федерального Закона 152-ФЗ «О персональных данных», как несоответствующую выполняемым этой ИС задачам;
  2. Правовой статус ИС «Параграф» и порядок ее текущего использования учреждениями образования является непрозрачным, поскольку правообладателем этого программного продукта является коммерческая фирма, зарегистрированная по адресу проживания учредителя в г. Тихвин Ленинградской области, а не орган управления образованием. Это входит в очевидное противоречие с задачами обеспечения безопасности данных, обрабатываемых этой информационной системой — персональных данных учащихся и работников образовательных организаций.
  3. Финансирование из бюджета Санкт-Петербурга на работу по содержанию ИС «Параграф 3» и ее сопровождению, включая разработку, получает подведомственное Комитету по образованию Администрации Санкт-Петербурга учреждение — РЦОКОиИТ, не являющееся правообладателем указанной ИС, что следует из текста лицензионного соглашения на использование ИС «Параграф 3». При этом, в лицензионном соглашении упоминается отказ от ответственности разработчика за потерю данных или иные убытки, возникшие вследствие использования указанного программного обеспечения.
  4. У образовательных организаций, являющихся, по закону «О персональных данных» операторами защищаемых сведений об учащихся и их родителях (законных представителях), нет никаких правовых оснований пересылать эти сведения по реализуемой на данный момент схеме обмена данными с вышестоящими органами управления.
  5. Сбор персональных данных, осуществляемых в учреждениях образования, ведется с нарушением принципа достаточной необходимости. В базы данных постоянно довносятся сведения, которые не требуются для ведения учебной работы, зачастую собираемые сведения относя ко второй или даже к первой категории защищенности, которая не может быть обеспечена на уровне существующей информационной среды школы или детского сада.
  6. Интернет-адрес и пароли доступа к ftp-серверу, где хранились и обновлялись архивы с базами данных, содержащими персональные данные детей, обучающихся или посещающих все без исключения образовательные организации города, включая дошкольные и частные учреждения, а также персональные данные работников образовательных организаций, подведомственных Комитету по образованию Администрации Санкт-Петербурга, были, до момента проведения проверки, доступны на публичных интернет-ресурсах официальных организаций, подведомственных Комитету по образованию Администрации Санкт-Петербурга.
  7. Распоряжения и регламенты, издаваемые Комитетом по образованию Администрации Санкт-Петербурга по вопросу применения ИС «Параграф 3», являются нарушающими федеральные законодательные акты и инструктивные письма вышестоящих органов, в связи с чем должны быть отозваны.

В связи с выявлением указанных фактов, Санкт-Петербургский городской родительский комитет, помимо обращения в правоохранительные и надзорные органы, предпринял необходимые действия для исключения доступа к персональным данным граждан Санкт-Петербурга на выявленных ресурсах.

В настоящее время базы данных, содержащие персональные данные детей, посещающих образовательные организации Санкт-Петербурга и персональные данные работников этих организаций, в открытых сетях полностью удалены.

Однако эти меры не решают вопроса о законности и возможности дальнейшего использования ИС «Параграф 3» в работе образовательных учреждений Санкт-Петербурга. Эта мера также не решает вопроса об ответственности лиц, допустивших возникновение описанных системных проблем при построении информационной среды отрасли образования в Санкт-Петербурге.

СПб ГРК настоятельно рекомендует родителям (законным представителям) детей, посещающих организации, подведомственные Комитету по образованию Администрации Санкт-Петербурга, обратиться в эти организации с письменным заявлением, отзывающим разрешение на обработку и передачу персональных данных, выданное ранее.

Пояснение: разрешение на использование персональных данных образовательной организацией в целях осуществления ею учебного процесса, без права на передачу таких данных третьим лицам, по Закону РФ «О персональных данных» №153-ФЗ не требуется.
Относительно персональных данных, которые сообщались ФГУП «Организатор перевозок» у родителей были подписаны отдельные согласия на обработку и по этим согласиям отзыв не требуется.


Образец обращения родителей (законных представителей) в образовательную организацию по данному вопросу можно скачать здесь.

В качестве комментария по теме предлагаем познакомиться с мнением по вопросу об электронном документообороте в школе Михаила Кушнира:

0 комментариев

Автор публикации запретил добавлять комментарии