Доклад по защите персональных данных
статья по теме

Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей школе. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в школе. Приказ директора (1). Их может быть несколько. Например,  по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в школе. Как правило, назначают заместителя директора по безопасности. Основные задачи ответственного - контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей школе.

Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В  школах обрабатываются только персональные данные сотрудников и учащихся. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах, журналах  и т.д.) и в электронном виде – базы данных (АВЕРС, NET-школы  и т.д.).

После этого необходимо определиться с целями обработки каждого вида персональных данных.

Целями могут быть:

- обеспечение учебной деятельности;

- обеспечение трудовых взаимоотношений (для персональных сотрудников);

- обеспечение медицинской деятельности ;

- исполнение федеральных законов.

Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Учащиеся».

Для обработки персональных данных в школе за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных (родителей обучающихся, сотрудников). Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме").

Согласие в письменной форме требуется в следующих случаях:

- обрабатываются специальные категории персональных данных

- обрабатываются биометрические персональные данные

- будет осуществляться трансграничная передача персональных данных

Согласие субъекта не требуется в случаях:

- обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);

- персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных - ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Школе, обрабатывающей персональные данные (РБД ГИА и ЕГЭ), необходимо зарегистрироваться в Роскомнадозоре (http://pd.rsoc.ru/operators-registry/notification/ ) для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях:

- Обрабатываются только персональные данные сотрудников.

- Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).

-  Обрабатываются общедоступные персональные данные.

- Персональные данные используются только для однократного пропуска на территорию организации.

- Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.

- Персональные данные обрабатываются без использования средств автоматизации.

- Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.

- Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности

Уведомление отправляется в электронном виде и дублируется в бумажном виде с подписью руководителя и печатью.

Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.

Перечень персональных данных, разрешённых к обработке без уведомления субъекта персональных данных

фамилия, имя, отчество;

место рождения;

число, месяц, год рождения;

адрес;

сведения о профессии;

сведения о трудовом и общем стаже;

абонентский номер;

персональные данные, связанные с заключением договора (если эти данные не распространяются и не передаются третьим лицам);

персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации;

персональные данные, включённые в информационные системы персональных данных, имеющие статус федеральных автоматизированных информационных систем;

персональные данные, включённые в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

персональные данные, необходимые для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных не возможно;

персональные данные, необходимые для осуществления статистических или иных научных целей при условии обязательного обезличивания этих данных;

персональные данные для научной, литературной или иной творческой деятельности, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

персональные данные для защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

персональные данные для медико-профилактических целей, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять медицинскую тайну;

персональные данные, необходимые для осуществления правосудия;

персональные данные, необходимые для осуществления оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;

персональные данные для их трансграничной передачи при условии, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

персональные данные в оценочных ведомостях (если такие есть);

персональные данные в денежных ведомостях сотрудников;

персональные данные для отправки почтовых сообщений;

персональные данные, предоставленные добровольно для обработки субъектом персональных данных;

сведения о предыдущем месте работы;

сведения о заработной плате сотрудника;

сведения о социальных льготах;

специальность;

занимаемая должность;

Перечень персональных данных, подлежащих защите

паспортные данные;

сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность (автобиография);

сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

сведения, которые характеризуют физиологические особенности субъекта персональных данных и на основе которых можно установить его личность;

данные обязательного медицинского страхования;

данные ИНН;

данные обязательного пенсионного страхования;

общие списки сотрудников;

персональные данные лиц, сдавших или сдающих единый государственный экзамен;

персональные данные о результатах единого государственного экзамена до их утверждения в установленном порядке;

персональные данные, содержащиеся в личных делах соискателей учёных степеней и званий, аспирантов, докторантов;

персональные данные, содержащиеся в личных делах субъектов персональных данных;

трудовые книжки;

персональные данные, содержащиеся в документах об образовании;

персональные данные, содержащиеся в архиве;

фотографии и иные сведения, относящиеся к персональным данным;

место работы или учебы членов семьи и родственников;

дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

подлинники и копии приказов по личному составу;

основания к приказам по личному составу;

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Приказ о назначении администратора безопасности информационных систем персональных данных

Основная задача администратора безопасности - обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.

2. Приказ «О порядке сдачи(приеме) под охрану и вскрытии защищаемых помещений»

3.  Положение по защите персональных данных

Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.

4. Модель угроз безопасности персональных данных

Положение об обработке персональных данных работников

5. Перечень информационных ресурсов.

Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.

6. Список постоянных пользователей автоматизированных рабочих мест.

7. Перечень информационных систем (общешкольная база педагогических работников «Кадры», РБД, 1С: Психолог)

7. Перечень персональных данных, обрабатываемых в информационных системах.

8. Инструкция по работе пользователя информационных систем персональных данных.

9. Правила обработки, хранения и передачи персональных данных работников и обучающихся

10. Правила рассмотрения запросов уполномоченных органов, субъектов персональных данных или их представителей

11. Акт классификации информационных систем персональных данных (для каждой информационной системы)

(с официальных сайтов можно посмотреть сертификат соответствия ФСТЭК)

Составляется комиссией по классификации. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников.

12. Технический паспорт на каждую информационную систему (по образцу вместе с планом)

13. Инструкция по организации антивирусной защиты.

14. Перечень компьютерных программ по защите персональных данных

15. Топология сети ????

16. План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных

17. План внутренних проверок режима защиты персональных данных .

Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.

18. Согласие родителей или законных представителей. (образец)

19. Приложение к трудовому договору (заявление работника о согласии на обработку персональных данных + обязательство о неразглашении конфиденциальной информации)

20. Уведомление об обработке персональных данных с подписью и печатью директора. (распечатывается при заполнении электронного варианта документа)

21.  Журнал учета паролей

Журнал заполняется администратором безопасности. В нем указываются пароли, присвоенные каждому сотруднику, имеющему доступ к информационной системе.

22. Журнал учета обращений субъектов

В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них.

24. Журнал учета машинных носителей

Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.

25. Журнал сдачи под охрану защищаемых помещений

26. Копии баз данных  на дисках с определением места хранения(приказ) + акты об уничтожении путем механического разрушения.

СЛЕДУЕТ УЧИТЫВАТЬ СЛЕДУЮЩЕЕ:

Приобретение любых готовых документов не заменяет и не отменяет проведения всего комплекса работ по защите персональных данных и обеспечению соответствия требованиям законодательства (а служит лишь вспомогательным средством для квалифицированного разработчика документации)

Не существует четко определенного и утвержденного регуляторами списка необходимых документов по персональным данным, однако существуют потребности конкретной организации – оператора персональных данных и сложившаяся практика проведения работ в данной области

Никакие документы сами по себе не могут служить гарантией успешного прохождения любых проверок со стороны регуляторов

Любые документы могут содержать ошибки, опечатки и несоответствия, быть неполны или избыточны

Любые документы (типовые или разработанные специально под вас) в дальнейшем потребуют доработки и переработки в соответствии с жизненным циклом системной документации.

Желаем удачи!