«Организация работы по защите информации. Обработка и защита персональных данных в ДОО».
статья

«Организация работы по защите информации. Обработка и защита персональных данных в ДОО».

Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная или, например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками.

Детские сады и приравненные к ним учреждения в плане защиты персональных данных руководствуются федеральным законодательством. Федеральный закон № 152-ФЗ, принятый в 2006 году, касается всех категорий личных данных гражданин. Закон одинаково актуален для бумажных носителей и специализированных электронных систем обработки персональной информации.

В соответствии с пунктом 6 протокола заседания рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве РФ по проведению в РФ Десятилетия детства от 22 июля 2020 года рабочая группа по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству, Минкомсвязь России, Минпросвещения России и Роскомнадзор подготовили методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Методические рекомендации разработаны в рамках реализации п. 6 ч. 1 ст. 18.1 и п. 2 ч. 4 ст. 22.1 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» для повышения уровня информированности и организации обучения работников ОО по вопросам законодательства РФ о персональных данных.

Цель методических рекомендаций – оказание методической поддержки администрациям общеобразовательных организаций по соблюдению требований законодательства Российской Федерации в области персональных данных при обработке персональных данных несовершеннолетних, их родителей (законных представителях) и работников общеобразовательной организации.

Необходимость заявленных действий по защите информации

Особый правовой статус ДОО – дети не могут самостоятельно отстаивать свои юридические права, поэтому согласие на обработку ПДн ребенка должны давать его родители, опекуны или иные законные представители.

По базовым положениям закона № 152-ФЗ, на муниципальные единицы типа ДОО возлагается вся полнота ответственности по сбору данных персонала детских садов, детей, их родителей, законных представителей. Детсады являются операторами, которые самостоятельно собирают, обрабатывают, передают и хранят конфиденциальную информацию. Дошкольная образовательная организация, как муниципальное заведение, внесено в Реестр операторов, который публикуется Роскомнадзором на его сайте. Основное уполномоченное лицо, отвечающее за эффективность и порядок сбора данных, – заведующий, директор ДОО. 

Независимо от штатного наполнения дошкольной образовательной организации, до начала сбора информации необходимо получить согласие родителей либо опекунов на выполнение этих действий. Такое же согласие нужно получать от сотрудника во время его принятия на работу. Оператор обязан разъяснить права, обязанности и ответственность за разглашение конфиденциальной информации и предоставить сведения о выполняемых действиях с полученными персональными данными.

Правовая база по защите персональных данных в ДОО

Все моменты работы с персональными данными в дошкольных образовательных организациях базируются на:

• законе № 152-ФЗ;
• законе № 273-ФЗ – основе для всех процедурных действий в сфере образования;
• ст. 85-90 ТК РФ – в части, касающейся персонала детского садика (и в целом любых учреждений, имеющих трудовые отношения с оператором персональных данных); 
• профильных приказах ФСТЭК и ФСБ, касающихся порядка сбора информации;
• Постановлении исполнительной власти относительно Положений по обеспечению безопасности обрабатываемых персональных данных;
• ГК РФ;
• Налоговом кодексе РФ;
• Уставе детского сада или иной формы ДОУ.

Персональные данные, подлежащие защите в ДОО

• Базовые идентификационные данные в виде ФИО, возраста, места рождения, пола.
• Фотокарточки (актуальные).
• Полис страховки.
• Заключение о состоянии здоровья ребенка (проводимое уже в сфере защиты персональных данных в медучреждениях).
• Комплект опекунских документов (если фигурируют опекуны).
• Военный билет и прочие документы относительно воинского учета персонала ДОО.
• В случае наличия льгот – подтверждающие документы. 
• ИНН.
• Штатные педагоги детсада предоставляют документацию о повышении квалификации (если она предусмотрена).
• Данные о наличии профильного образования (для персонала).
• Контактная информация – требуются не только непосредственно телефонные номера, но и все онлайн-контакты, включая адреса в мессенджерах, электронная почта и т. д.

Документация, регламентирующая работу с ПДн в ДОО

Каждое дошкольная организация обязана разработать и внедрить документацию, регламентирующую деятельность, связанную с обработкой персональных данных. Основными руководящими документами в ДОО являются:

• Положения об организации работы с персональными данными работников ДОО;
• Политика по обработке ПДн в дошкольном заведении;
• Письменное согласие на обработку ПДн от сотрудников учреждения, родителей, законных представителей;
• Положение о службе (ответственном работнике ДОО), отвечающей за информбезопасность в учреждении;
• Положение о конфиденциальности в детском саду;
• Положение, разграничивающее права доступа к персональным данным, которые подлежат обработке детским садом; 
• Обязательства, взятые с работника о неразглашении конфиденциальной информации;
• Согласие родителей (законных представителей) на обработку ПДн;
• Порядок учета электронных носителей информации в ДОО;
• Регламент по работе с электронными носителями данных. 

Данный перечень не исчерпывающий и может быть дополнен другими документами. Дошкольные образовательные организации должны иметь должностные инструкции, содержащие данные об ответственности, обязанностях сотрудников в отношении работы с персональными данными. Также ДОО должно иметь журнал, в котором фиксируются нарушения режима конфиденциальности, акты по уничтожению неиспользуемых ПДн, акты по выявлению нарушений при работе с такой информацией.