Добрый день!
Я специалист по защите персональных данных. Хочется прокомментировать Ваш перепост. Мой блог http://r-a-permyakov.blogspot.com/.
Во-первых, совершенно правильно необходимо обращаться к первоисточникам. 152 закон регулирует "отношения, связанные с обработкой персональных данных, осуществляемой… здесь [причисление юрлиц] … с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации".
Т.е. отказ или согласие на обработку ПД не влечет за собой разрешение или запрет на распространение персональных данных традиционным способом, например ксерокопированием.
С другой стороны запрет на обработку ПД означает невозможность оператору, в нашем случае школе, использовать средства вычислительной техники, например при проведении того же, не к ночи помянутого, ЕГЭ. При этом под обработкой понимается, в том числе и обработка для нужд самого оператора. Т.е. когда Вы отказываетесь подписать согласие, фактически Вы вынуждаете оператора производить обработку ПД без использования компьютеров. В принципе. Как Вы себе представляете это в XXI веке?
Теперь про согласие. Здесь все еще интереснее. Для начала надо понять, что не все персональные данные одинаковы. На уровне закона выделяется две особые категории персональных данных: "Специальные категории", "Биометрические данные" и "Общедоступные персональные данные". Для рассматриваемой темы интересно понятие специальной категории: "касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни". Переводя с юридического на русский персональные данные этой категории могут обрабатываться только в ограниченном количестве случаев, например сведения о состоянии здоровья могут обрабатываться только для экстренной медпомощи, плановой медпомощи и профилактических осмотров и страховка. Все, на этом законная обработка персональных данных специальных категорий заканчивается. Необходимо понимать, что статья 10 в ч. 2 говорит, что обработка персональных данных возможна только с письменного согласия.
Еще раз: Наличие согласия не дает право обрабатывать данные специальных категорий любому кто выпросил это согласие.
И еще один тонкий момент о согласии. Наличие федерального закона регулирующего обработку персональных данных освобождает оператора от необходимости получать согласие субъекта.
Так же закон требует соответствия заявленных целей обработки фактическим. Как по факту обработки, так и по набору обрабатываемых данных. У оператора есть несколько мест, где всплывают цели: 1. Цели, указанные в уведомлении в Роскомнадзор. 2. Цели, указанные в соответствующем федеральном законе или в случае отсутствия такого закона в согласии на обработку. 3. Цели, указанные в уставе организации. Если фактическая обработка не соответствует заявленным целям оператор обязан прекратить обработку.
Теперь о правах субъекта. Подробнее надо смотреть глава 3. Права субъекта персональных данных.
Вы можете потребовать:
1. Уведомление Роскомнадзора о регистрации в качестве оператора обработки персональных данных. Его может не быть, тогда должен быть представлен федеральный закон на основании которого ведется обработка.
2. Перечень и тексты нормативных документов по работе с персональными данными: основание, цели, допущенные лица, условия начала и прекращения обработки и т.д.
3. Сами персональные данные, содержащиеся в системе.
За непредставление этих сведений может наступить ответственность, вплоть до уголовной. Для того что бы все было законно, необходимо требовать в письменной форме. Ответ должны выслать в срок до 10 рабочих дней. Обращаться с жалобой на нарушение в местное отделение Роскомнадзора.