Основные сведения о ПДн, их автоматизированной обработке и защите

Законодательство РФ в области защиты персональных данных

1 января 2011 года вступил в силу федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (ред. 04.06.2014), регламентирующий порядок защиты персональных данных граждан РФ.

Персональные данные (ПДн) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) - его фамилия, имя, отчество, место и дата рождения, адрес проживания, семейное, социальное, имущественное положение, образование, профессия, доходы и прочее.

Образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных своих сотрудников, учащихся и их законных представителей. 

 

Выполнение требований закона в образовательных организациях

Меры по обеспечению безопасности персональных данных при их обработке:

  • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от
    неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в
    отношении персональных данных.
  • Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку регуляторам контролирующим организациям.

 Подробнее об этапах организации защиты ПДн в ОО рассказано здесь.  

 

Ответственность за нарушение ФЗ №152 «О персональных данных»

Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.

Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.

Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста.  Уголовный кодекс, ст. 137, 140, 272.

Места обработки персональных данных:

  • бухгалтерия;
  • библиотека;
  • учительская;
  • отдел кадров;
  • мед.пункт.

Специальные категории персональных данных:

  • религиозные убеждения;
  • состояние здоровья;
  • национальная или расовая принадлежность;
  • политические взгляды;
  • интимная жизнь.

 

Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области. Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

 

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям. Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

 

Ограничение доступа работников к персональным данным

Ограничение  доступа  работников  организации к персональным данным –  неотъемлемая  часть мероприятий  по обеспечению безопасности ПДн при их обработке в   информационных   системах.  Допуск   к   обработке персональных данных должен быть только у тех сотрудников, которым   это  необходимо для выполнения служебных (трудовых) обязанностей.

Система «Дневник.ру» построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения первоначальных логинов и паролей в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению,  что гарантирует  отсутствие посторонних лиц в системе «Дневник.ру».

 

Классификация ИСПДн

Информационные системы  классов К1 и К2

Дневник.ру – информационная система класса К2.

Организации, информационные системы которых отнесены к классам К1 и К2 обязаны:

  • составить и отправить в уполномоченный орган уведомление об обработке персональных данных с целью занесения в реестр операторов персональных данных;
  • получить лицензию ФСТЭК РФ на деятельность по технической защите конфиденциальной информации.
Информационной системой «Дневник.ру» были получены необходимые лицензии ФСТЭК – «На деятельность по технической защите конфиденциальной информации» и «На деятельность по разработке и (или) производству  средств  защиты  конфиденциальной  информации».

Аттестация (сертификация)  ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить  мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности персональных данных  используется  обязательная сертификация (аттестация).

 

Была ли эта статья полезной?

Комментарии