Персональные данные

Особенности защиты персональных данных в образовательных учреждениях

Согласно Федеральному закону от 23.12.2010 № 359-ФЗ информационные системы персональных данных, созданные до 1 января текущего года, должны быть приведены в соответствие с установленными требованиями не позднее 1 июля 2011

Законодательное обеспечение защиты персональных данных

В настоящее время в образовательных учреждениях (далее – ОУ) активно внедряются информационные системы, осуществляющие обработку персональных данных, делопроизводство, бухгалтерские программы и др. Эти системы предназначены для ведения базы данных воспитанников, обучающихся, родителей и работников ОУ, оперативного управления учреждением. Образовательные учреждения должны отреагировать на требования законодательства о защите персональных данных участников образовательного процесса в первую очередь, т. к. речь идет о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан.

Защита персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях.

Защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (работнику).

Положения о защите персональных данных работников регламентируются:

Конституцией Российской Федерации;

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);

Трудовым кодексом РФ (далее – ТК РФ).

Кроме того, в целях обеспечения защиты персональных данных работников в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты).

В соответствии со ст.3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация.

Согласно ст.2 Закона № 152-ФЗ его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера, утвержденном указом Президента РФ от 06.03.1997 № 188. Следовательно, работодатель, получающий доступ к персональным данным, должен обеспечить их конфиденциальность.

Закон № 152-ФЗ определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в т. ч. в сфере трудовых правоотношений.

Требования закона распространяются на все организации (независимо от формы собственности), в т. ч. на ОУ, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).

Вопрос правовой регламентации обеспечения защиты персональных данных работников в настоящее время особенно актуален, поскольку информационные системы персональных данных работников ОУ, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона № 152-ФЗ не позднее 1 января 2011 г. – они должны представлять собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования средств автоматизации.

В соответствии с ч.1 ст.19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Постановлением Правительства РФ от 17.11.2007 № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в т. ч. с использованием средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.

В соответствии с ч.3 ст.4 Закона № 152-ФЗ постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Данное Положение предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований этого Положения.

Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 05.02.2010 № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных, которое подробно регламентирует вопросы, связанные с порядком применения методов и способов защиты информации в информационных системах персональных данных оператором или уполномоченным им лицом.

В соответствии с ч.1 ст.22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязькомнадзор) выступает таким уполномоченным органом, который приказом от 19.08.2011 № 706 утвердил образец Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Частью 2 ст.22 Закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Следовательно, образовательные учреждения не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с учреждениями.

Федеральные документы о защите персональных данных

Постановление Правительства РФ от 1 ноября 2012г.

Приказ федеральной службы по надзору в сфере связи от 19 августа 2011г. №706

ФЗ от 27 июля 2006 года №149

ФЗ от 27 июля 2006 года №152 о персоналных данных

Документы МБДОУ

1 Положение об ответственном за организацию обработки персональных данных МБДОУ №4 "Росинка" г. Тихорецка. Открыть

2 Функциональные обязанности ответственного пользователя средств криптографической защиты информации. Открыть

3 Правила доступа в помещения МБДОУ №4 "Росинка" г. Тихорецка Открыть

4 Отчет об уничтожении ключевой информации МБДОУ №4 "Росинка" г. Тихорецка. Открыть

5 План проведения проверок за соблюдением условий использования средств криптографической защиты информации МБДОУ №4 "Росинка" г. Тихорецка. Открыть

6 Технический аппаратный журнал МБДОУ №4 "Росинка" г. Тихорецка. Открыть

7 Журнал учета хранилищ ключевых документов, технической и эксплутационной документации к СКЗИ и ключей к ним. Открыть

8 Журнал поэкземплярного учета СКЗИ, эксплутационной и технической документации и ключей к ним, ключевых документов. Открыть

9 Журнал учета проверок исправности сигнализации Открыть

10 Журнал опломбирования аппаратных средств, с которыми осуществляется функционирование СКЗИ Открыть

Документы МБДОУ о защите персональных данных

1 Типовой план мероприятий по защите персональных данных в МБДОУ №4 «Росинка» г. Тихорецка. Открыть

2 Положение об обработке и защите персональных данных. Открыть

3 Положение о порядке обработки и обеспечении безопасности персональных данных в ОУ. Открыть

4 Положение об обработке и защите персональных данных работников в МБДОУ №4 «Росинка» г. Тихорецка. Открыть

5 Политика образовательного учреждения в отношении обработки персональных данных. (новая редакция) Открыть

6 Перечень организационно-распорядительных и эксплуатационных документов по защите персональных данных. Открыть

7 Отзыв согласия на обработку персональных данных. Открыть

8 Ответ о факте обработки персональных данных. Открыть

9 Обязательство о неразглашении информации, содержащей персональные данные. Открыть

10
Обязательство о неразглашении персональных данных воспитанников
Открыть

11
Согласие на обработку персональных данных сотрудника.
Открыть

12
Перечень персональных данных, обрабатываемых в МБДОУ №4 «Росинка» г. Тихорецка.
Открыть

13 Типовая форма "согласие на обработку персональных данных" Открыть

14 Типовой договор "на поручение обработки персональных данных третьим лицам" Открыть

15
Заявление о передаче персональных данных третьей стороне
Открыть

Приказы МБДОУ

1
Приказ № 389 от 29.12.2015г. "О развертывании автоматизированной системы управления сферой образования (АСУ, "Е-Услуги, Образование" "Сетевой город. Образование")
Приложение к приказу № 389 от 29.12.2015г.
Открыть

2 Приказ № 434 от 28.12.2016г. "О назначении ответственного пользователя средств криптографической защиты информации". Открыть

3
Приказ № 435 от 28.12.2016г. "О допуске пользователей к работе с криптографическими средствами защиты информации".

Приложение к приказу № 435 от 28.12.2016г.
Открыть

4 Приказ № 436 от 28.12.2016г. "О создании комиссии по устранению уровня защищенности персональных данных в информационных системах персональных данных". Открыть

РОСИНТЕГРАЦИЯ

1
Схема организации криптографической защиты конфиденциальной информации в МБДОУ Открыть

2 Заключение о возможности эксплуатации СКЗИ на автоматизированных рабочих местах Открыть

3 Заключение о возможности допуска пользователей к самостоятельной работе с СКЗИ Открыть

4 АКТ установления уровня защищенности персональных данных при их обработке в информационной системе VipNet Client 3.x KC2 Открыть

5 О допуске пользователей к работе с криптографическимисредствами защиты информации Открыть

6 О назначении ответственного пользователя средствкриптографической защиты информации Открыть

7 О создании комиссии по устаиовлению уровня защищенности персональных данных в информационных системах персональных данных Открыть

8 Правила доступа в помещения ДОУ Открыть

9 Функциональные обязанности ответственного пользователя средств криптографической защиты информации Открыть

Cайт создан по технологии "Конструктор e-Publish"