Как правильно составить акт об обезличивании персональных данных в электронном журнале?

Здравствуйте, Надежда!

Не надо составлять акт. Вы можете дать ответ родителям, что по закону обязаны обрабатывать персональные данные ученика

Так, согласно ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» ( ФЗ-152) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е., это сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных. Таким образом, информация о детях, их родителях (законных представителях), по которой их можно персонифицировать, является персональными данными этих субъектов.

Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 ФЗ-152, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.

Таким образом, образовательная организация в силу закона является оператором персональных данных и должна соблюдать требования законодательства о персональных данных. На нее, как на оператора, возлагаются обязанности принимать меры, необходимые и достаточные для обеспечения выполнения предписаний, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами (ст. 18.1 ФЗ-152).

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных или его представителя (п. 1 ч. 1 ст. 6, ч. 6 ст. 9 ФЗ-152), а в отсутствие такого согласия — только в случаях, предусмотренных пп. 2-11 ч. 1 ст. 6 ФЗ-152.

Приведенные нормы корреспондируются и с положениями ст. 7 ФЗ-152, в силу которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Исходя из приведенных норм, общеобразовательная организация в целях оказания образовательных услуг вправе обрабатывать персональные данные обучающихся без согласия их законных представителей для выполнения возложенных законодательством РФ на такую организацию

— функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 ФЗ-152);

— если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных,

— а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 ФЗ-152);

— для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 ФЗ-152);

— для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно (п. 3 ч. 2 ст. 10 ФЗ-152).

Таким образом, в рамках оказания образовательных услуг общеобразовательная организация вправе обрабатывать персональные данные обучающихся без согласия на это их законных представителей, соблюдая при этом основные принципы обработки персональных данных (ст. 5 ФЗ-152) и режим конфиденциальности (ст. 7 ФЗ-152). Соответственно, отзыв родителем согласия на обработку персональных данных своего ребенка не препятствует оператору при наличии законных оснований продолжить такую обработку (ч. 2 ст. 9, ч. 5 ст. 21 ФЗ-152).

Иные персональные данные обучающегося, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия одного из родителей (законного представителя), в том числе к таким данным относятся документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством, например, документы о составе семьи и ее социально-экономическом положении (письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. N ЛБ-С-074-24059 «О методических рекомендациях», абз. 4 п. 11).

Уважаемая Надежда, здравствуйте! У Вас запрошено мнение нескольких юристов

Конечно нужно составлять акт, поскольку Вы являетесь оператором ПД. Я на практике сама этим занимаюсь, и понимаю о чем идет речь

1. В случае отзыва родителями согласия на обработку персональных данных ребенка, образовательная организация должна предпринять ряд действий в соответствии с законодательством о персональных данных.

2.Отзыв родителем согласия на обработку персональных данных своего ребенка не препятствует оператору (образовательной организации) при наличии законных оснований (указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»)

продолжить такую обработку, но в том объеме, в котором это соответствует заявленным целям обработки.

www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

— 2. Если законных оснований для продолжения обработки нет, необходимо определить, какие данные подлежат обезличиванию. В вашем случае, если система не позволяет полностью удалить данные без приказа об отчислении, следует обезличить данные, оставив только те, которые необходимы для ведения учета (например, год рождения).

— 3. Для проведения процедуры обезличивания и документальной фиксации этого процесса необходимо создать комиссию или назначить ответственное лицо на основании приказа руководителя образовательной организации.

4. 

Акт должен содержать следующую информацию:

Дата и место составления акта.
Состав комиссии или данные ответственного лица.
Основание для обезличивания данных (например, отзыв согласия).
Перечень обезличенных данных.
Описание способа обезличивания.
Подписи членов комиссии или ответственного лица.

В течение 30 дней с момента получения отзыва согласия необходимо уведомить родителей о предпринятых действиях, включая прекращение обработки и обезличивание данных.
Факт обезличивания данных должен быть зарегистрирован в специальном журнале, который ведется образовательной организацией.

Если Вы этого не сделаете, то родители могут пожаловаться в РКН, увы.

Образец в приложении к ответу

Всех благ Вам

С уважением, Дарья Алексеевна!

Здравствуйте Надежда,

… написали отзыв согласия персональных данных ребенка в школу.

Общие положения закрепляет Приказ Минпросвещения РФ  от 2 сентября 2020 года N 458  «Об утверждении Порядка приема на обучение по образовательным программам начального общего, основного общего и среднего общего образования», можете ознакомиться полностью по следующей ссылке:

Из Приказа следует:

согласие родителя(ей) (законного(ых) представителя(ей) ребенка или поступающего на обработку персональных данных .

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»   Статья 9. Согласие субъекта персональных данных на обработку его персональных данных, можете ознакомиться полностью по следующей ссылке:https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/

Из статьи следует:

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. 

Далее я продолжу в следующем ответе ниже.