Комментарии Дневник.ру к уточнениям в метод.рекомендации по внедрению ЭЖ в части ПДн

21.10.2014 году письмом Министерства образования и науки РФ № АК-3358/08 внесены уточнения в методические рекомендации по внедрению систем ведения ЭЖ в части хранения персональных данных (ПДн).

Специалисты по информационной безопасности Дневник.ру следующим образом прокомментировали данное письмо: 

  • Общий комментарий:
    • данное письмо не указывает на новые требования, которые не существовали бы ранее и не были указаны в ФЗ №152 «О персональных данных»;
    • данное письмо составлено таким образом, что может вводить образовательные организации (далее - ОО) и органы управления образования в заблуждение о том, что при внедрении систем ЭЖ, обрабатывающих ПДн вне ОО, перечень организационных мер и затрат гораздо шире, чем при внедрении систем ЭЖ, обрабатывающих ПДн внутри ОО, что полностью не соответствует действительности;
    • в письме не перечислены все организационные меры и затраты, которые ожидают ОО при внедрении систем ЭЖ, обрабатывающих ПДн внутри ОО. 

Пояснения к формулировкам в тексте письма

«...уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (п.1 статьи 22 №152-ФЗ) и декларировать изменения «в течении десяти рабочих дней с даты возникновения» (п.7 статьи 22 №152-ФЗ), в том числе, при смене варианта используемого электронного журнала.

[Комментарий Дневник.ру] Полная формулировка п.1 статьи 22 №152-ФЗ: 

  • «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.» 

Вне зависимости от того, какого типа систему ЭЖ использует ОО, как оператор ПДн, любое ОО должно уведомлять уполномоченный орган о начале обработки ПДн.  

«Контролировать возможность трансграничной передачи персональных данных».

[Комментарий Дневник.ру] При использовании внутренней системы ЭЖ отсутствие трансграничной передачи данных очевидно, а в случае использования внешней системы ЭЖ необходимо запросить у компании-разработчика документы, подтверждающие отсутствие такой возможности. В случае использования ИС «Дневник.ру» отсутствие  трансграничной передачи данных зафиксировано в выписке из реестра операторов ПДн и обуславливается тем, что хранение всех ПДн осуществляется на серверах, расположенных на территории РФ в г.Санкт-Петербург.  

«Получить и соответственным образом хранить письменные согласия субъектов на обработку ПДн, в том числе на передачу их в организацию, обслуживающую внешний электронный журнал».

[Комментарий Дневник.ру] Вне зависимости от того, какого типа систему ЭЖ использует ОО, как оператор ПДн, любое ОО должно собирать согласия с обучающихся и их родителей (законных представителей) с обязательным уведомлением в нём о передаче ПДн во все сторонние системы, в том числе и систему ЭЖ.   

«Обеспечить соответствие целей обработки данных, указанных в согласии на обработку, с целями обработки данных у организации, которой данные передаются».

[Комментарий Дневник.ру] Данный пункт просто указывает на то, что цели обработки в согласии субъектов и в соглашении, которое ОО подписывает с владельцем внешней системы ЭЖ, должны быть согласованы. В образцах согласий, которые предлагает Дневник.ру, и в соглашении цели обработки ПДн согласованы.  

«Заключить договор с организацией, обслуживающей электронный журнал, об ответственности за обработку переданных ей персональных данных в соответствии с заявленными целями».

[Комментарий Дневник.ру] В случае использования внешней системы ЭЖ обязательно соблюдение данного требования и заключение соглашения с компанией-разработчиком системы ЭЖ, при этом в нём обязательно должна быть закреплён факт передачи ПДн для обработки данной компании и её ответственность по соблюдению всех норм законодательства в сфере обработки ПДн. В случае использовании ИС «Дневник.ру» ОО необходимо заключить с ООО «Дневник.ру» соглашение по данному образцу, который содержит п.7 с закреплением ответственности ООО «Дневник.ру» в отношении обработки ПДн, передаваемых ОО. Для ОО, подключенных до 1.08.2013 г. необходимо перезаключить соглашение по новому образцу с п.7. По данному соглашению вся ответственность по соблюдению соответствия системы ЭЖ нормам действующего законодательства также лежит на компании-разработчике, что избавляет ОО от многих организационных мероприятий. 

«При использовании ЭЖ, обрабатывающих данные внутри образовательной организации, ряд перечисленных выше мероприятий может быть сокращен и\или облегчен при соответствующей подготовке локальной нормативной базы. Вместе с тем, образовательная организация должна обеспечить организационно - технические меры по защите ПДн, находящихся в ее информационных системах, включая электронный журнал, в соответствии с требованиями Закона».

[Комментарий Дневник.ру] При использовании ЭЖ, обрабатывающих данные внутри ОО, ряд перечисленных выше мероприятий может быть действительно сокращён, но незначительно, при этом для обеспечения организационно - технических мер по защите ПДн, находящихся в  информационных системах ОО, необходимо будет как минимум:

  • организовать помещение для серверной (с охлаждением, пожаротушением, СКУД);
  • закупить сервер и другое оборудование, на котором будет развернуто внутреннее решение;
  • обеспечить бесперебойность работы данного оборудования, электропитания, соблюсти все требований по информационной безопасности;
  • нанять квалифицированный персонал для обслуживания оборудования и организации системы информационной безопасности и т.д. 

«В обоих случаях необходимо соблюдать условие п.1 ст. 9 №152-ФЗ о том, что согласие на обработку ПДн дается субъектом с соблюдением его интересов. Если обработка ПДн субъекта диктуется интересами организации, а не интересами субъекта, то согласие может быть признано ничтожным и аннулировано, а обработка данных – нарушающей требования законодательства. Принципы и условия обработки ПДн изложены в главе 2 №152-ФЗ». 

[Комментарий Дневник.ру] Данный пункт, видимо, приведён, чтобы обратить внимание ОО на необходимость правильной организации процедуры сбора согласий с обязательным информированием субъектов о целях и причинах необходимости их получения.

Полная формулировка п.1 ст. 9 №152-ФЗ: 

  • «Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.»

Этапы организации системы защиты ПДн в ОО при использовании внутренней системы ЭЖ (как примера информационной системы ПДн)

ƒƒШаг 1. Инвентаризация ресурсов
ƒƒƒƒШаг 2. Ограничение доступа работников к ПДн (СКУД в серверной, орг.меры и т.д.)
ƒƒƒƒШаг 3. Документальное регламентирование работы с ПДн (локальные акты)
ƒƒƒƒШаг 4. Формирование модели угроз ПДн
ƒƒƒƒШаг 5. Классификация информационных систем ПДн в ОО
ƒƒƒƒШаг 6. Составление и отправка в уполномоченный орган уведомления об обработке ПДн
ƒƒШаг ƒƒ7. Приведение системы защиты ПДн в соответствие с требованиями регуляторов
ƒƒШаг ƒƒ8. Создание системы информационной безопасности информационных систем ПДн и её аттестация (сертификация) – для информационных систем ПДн классов К1, К2
ƒƒШаг ƒƒ9. Организация эксплуатации информационной системы ПДн и контроля за безопасностью

Примечание: подробнее об этапах и об их сокращении, упрощении в случае использования ИС «Дневник.ру» можно найти здесь.

Была ли эта статья полезной?

Комментарии

  • Avatar
    Максим Александрович Пержинский

    Распоряжением Правительства РФ от 25 апреля 2011 г. № 729-р утвержден перечень услуг, оказываемых государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное (муниципальное) задание (заказ), предоставляемых в электронной форме. Он включает в себя перечень услуг, оказываемых муниципальными учреждениями в сфере образования. В частности, это предоставление информации о текущей успеваемости учащегося в муниципальном образовательном учреждении, ведение дневника и журнала успеваемости (п. 60 данного перечня).
    Согласно п. 4 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обработка персональных данных, необходимая для исполнения организацией функций по предоставлению государственных (муниципальных) услуг, является одним из допустимых случаев обработки персональных данных и не требует получения в обязательном порядке согласия субъекта персональных данных.
    Таким образом, согласие субъектов персональных данных на обработку их персональных данных при ведении электронного журнала не требуется.

  • Avatar
    Екатерина Волкова

    Добрый день, Максим Александрович!

    Вы правы, допустимо не собирать согласия на обработку ПДн, однако мы бы рекомендовали всё же собрать их.
    А в случае, если родитель не даёт согласие на обработку ПДН, можно оперировать указанными в выдержке данными из Распоряжения Правительства РФ.