Законодательство РФ в области защиты персональных данных
1 января 2011 года вступил в силу федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (ред. 02.07.2021), регламентирующий порядок защиты персональных данных граждан РФ.
Персональные данные (ПДн) - это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) - его фамилия, имя, отчество, место и дата рождения, адрес проживания, семейное, социальное, имущественное положение, образование, профессия, доходы и прочее.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Согласно федеральному закону образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных своих сотрудников, обучающихся и их законных представителей.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Выполнение требований закона в образовательных организациях
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:
- неправомерного или случайного доступа к ним;
- уничтожения;
- изменения;
- блокирования;
- копирования;
- предоставления;
- распространения;
- иных неправомерных действий в отношении персональных данных.
В образовательных организациях должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку регуляторам контролирующим организациям.
Подробнее об этапах организации защиты ПДн в образовательных организациях рассказано здесь.
Ответственность за нарушение ФЗ №152 «О персональных данных»
Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области. Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
Согласия на обработку персональных данных физических лиц
В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Формы согласий на обработку персональных данных сотрудников образовательных организаций, обучающихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.
Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.
Ограничение доступа работников к персональным данным
Ограничение доступа работников организации к персональным данным – неотъемлемая часть мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей.
Система «Дневник.ру» построена таким образом, что сотрудники образовательных организаций, обучающиеся и их законные представители могут пройти регистрацию на сайте только после получения первоначальных логинов и паролей в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в системе «Дневник.ру».
Классификация ИСПДн
Подробная информация об ИСПДн и классах защищенности опубликована в специальной статье.
Информационные системы классов К1 и К2
Дневник.ру – информационная система класса К2.
Организации, информационные системы которых отнесены к классам К1 и К2 обязаны:
- составить и отправить в уполномоченный орган уведомление об обработке персональных данных с целью занесения в реестр операторов персональных данных;
- получить лицензию ФСТЭК РФ на деятельность по технической защите конфиденциальной информации.
Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности персональных данных используется обязательная сертификация (аттестация).