Основные сведения о ПДн, их автоматизированной обработке и защите

Законодательство РФ в области защиты персональных данных

1 января 2011 года вступил в силу федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (ред. 31.12.2017), регламентирующий порядок защиты персональных данных граждан РФ.

Персональные данные (ПДн) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) - его фамилия, имя, отчество, место и дата рождения, адрес проживания, семейное, социальное, имущественное положение, образование, профессия, доходы и прочее.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 Согласно федеральному закону образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных своих сотрудников, обучающихся и их законных представителей.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

Выполнение требований закона в образовательных организациях

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:

  • неправомерного или случайного доступа к ним;
  • уничтожения;
  • изменения;
  • блокирования;
  • копирования;
  • предоставления;
  • распространения;
  • иных неправомерных действий в отношении персональных данных.

В образовательных организациях должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку регуляторам контролирующим организациям.

Подробнее об этапах организации защиты ПДн в образовательных организациях рассказано здесь.  

 

Ответственность за нарушение ФЗ №152 «О персональных данных»

Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

 

Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области. Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

 

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва№
  • подпись субъекта персональных данных.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, обучающихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.

 Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

 

Ограничение доступа работников к персональным данным

Ограничение  доступа  работников  организации к персональным данным –  неотъемлемая  часть мероприятий  по обеспечению безопасности ПДн при их обработке в   информационных   системах.  Допуск   к   обработке персональных данных должен быть только у тех сотрудников, которым   это  необходимо для выполнения служебных (трудовых) обязанностей.

Система «Дневник.ру» построена таким образом, что сотрудники образовательных организаций, обучающиеся и их законные представители могут пройти регистрацию на сайте только после получения первоначальных логинов и паролей в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению,  что гарантирует  отсутствие посторонних лиц в системе «Дневник.ру».

 

Классификация ИСПДн

Подробная информация об ИСПДн и классах защищенности опубликована в специальной статье

Информационные системы классов К1 и К2

Дневник.ру – информационная система класса К2.

Организации, информационные системы которых отнесены к классам К1 и К2 обязаны:

  • составить и отправить в уполномоченный орган уведомление об обработке персональных данных с целью занесения в реестр операторов персональных данных;
  • получить лицензию ФСТЭК РФ на деятельность по технической защите конфиденциальной информации.
Информационной системой «Дневник.ру» были получены необходимые лицензии ФСТЭК – «На деятельность по технической защите конфиденциальной информации» и «На деятельность по разработке и (или) производству  средств  защиты конфиденциальной  информации».

Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности персональных данных используется обязательная сертификация (аттестация).

Была ли эта статья полезной?

Комментарии