Добавить материал и получить бесплатное свидетельство о публикации в СМИ
Эл. №ФС77-60625 от 20.01.2015
Инфоурок / Директору, завучу / Другие методич. материалы / Программа вебинара «Обработка персональных данных в образовательной организации»

Программа вебинара «Обработка персональных данных в образовательной организации»

  • Директору, завучу

Поделитесь материалом с коллегами:

Слайд 1

Добрый день уважаемые коллеги. Меня зовут Анастасия. Я являюсь слушателем курса повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»


И сейчас мы рассмотрим очень важную, а главное актуальную на сегодняшний день тему «Обработка персональных данных в образовательной организации»

Слайд 2

И, наверное, сразу обосную актуальность этого вопроса. Многие может ещё не знают, что 24 февраля 2015 года Государственная Дума РФ утвердила в первом чтении новые штрафы за нарушение правил обработки персональных данных. Изменения эти вступили в законную силу с 1 января 2016 года и действую в настоящие время.

Теперь за различные нарушения правил обработки персональных данных для организации предусмотрены значительные штрафы от 15 до 300 сот тыс. руб.,

Слайд 3

для руководителя учреждения и ответственного за обработку персональных данных в организации сумма штрафа составляет от 3 до 25 тыс. руб. И для граждан, физических лиц от 700 руб. до 5 тыс. руб.

Слайд 4

Кто же является основными регуляторами и кто осуществляет контроль в сфере защиты ПДн?

РОСКОМНАДЗОР (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

ведет реестр операторов персональных данных,

контролирует обработку персональных данных операторами и

рассматривает обращения субъектов персональных данных.

ФСТЭК (Федеральная служба по техническому и экспортному контролю РФ) - регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ (Федеральная служба безопасности РФ) - регулирует сферу

использования криптографических (шифровальных) средств защиты информации при обработке персональных данных.

Слайд 5

В ходе вебинара мы затронем следующие вопросы:

  1. Базовое законодательство в сфере персональных данных (краткий анализ статей ФЗ РФ, основные понятия, относящиеся к ПД)

2. Регуляторы в области информационной безопасности.

3. Особенности работы с персональными данными в образовательной организации.

4. Деятельность образовательной организации в вопросах защиты информации.


Если по ходу вебинара у вас будут появляться какие-либо вопросы, пожалуйста, пишите их в чат. Мы постараемся, как можно полно на них ответить.

Слайд 6

Работая с персональными данными, как с категорией информации ограниченного доступа, как с конфиденциальной информацией, мы должны учитывать законодательство в сфере персональных данных.


Что же такое законодательство в сфере персональных данных?


Под «законодательством» понимается Нормативно-правовые акты Российской Федерации на уровне:

  • Конституции РФ

  • Федеральных законов (регулирующих отношения при использовании и хранении персональных данных)

  • Постановлений правительства

  • Документов регуляторов сферы защиты персональных данных (А у нас существует три основных регулятора – РОСКОМНАЗОР, ФСТЭК РФ и ФСБ РФ, о них мы поговорим подробней чуть позже)

  • Отраслевые документы (в нашем случае, так как мы говорим об образовательных организациях, это документы Министерства образования РФ. Это важно потому, что работая с правовыми базами, такими как «консультант +» или «гарант», введя в запросе «персональные данные», мы получим перечень около 6 тыс. документов в РФ разработанные в разных отраслях) Нам все они не нужны, это понятно, нас интересуют законодательство по персональным данным исключительно в сфере образования. Их относительно не много, и сейчас мы их увидим.

Слайд 7

И так. Основной и самый главный документ нашей страны, Конституция РФ, в 23 и 24 статьях закрепляет права граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, а главное, что Конституция напрямую закрепляет порядок сбора, хранения, использования и распространения информации о частной жизни лица, говоря о том, что все эти действия невозможны без согласия этого лица.

Слайд 8

в пункте 4 статьи 29 закреплено право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Слайд 9

Кодекс об административных правонарушениях в Главе 13. Административные правонарушения в области связи и информации, содержит ряд статей, которые предусматривают наказания за несоблюдение законодательства в области информационной безопасности, в т.ч. персональных данных

Слайд 10

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных.

Данный закон был принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных


В ходе вебинара мы постараемся затронуть все законодательные акты.


Вот, например, Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. определяет какие есть уровни защищенности и требования по определению уровня защищенности использования персональных данных (ИСПДн).

Слайд 11

Постановление Правительства РФ № 687 касается бумажной обработки персональных данных (тех самых журналов учета, личных дел и т.д.)


В этом списке есть, конечно же, документы РОСКОМНАДЗОРА

Слайд 12

И соответственно документы еще двух регуляторов – это ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю) и …

Слайд 13

ФСБ РФ (Федеральная служба безопасности Российской Федерации)

Слайд 14

Этими документами являются приказы, разъяснения, методические документы, рекомендации и типовые требования.

Законодательство в этой сфере объемное и конечно же ответственное лицо за организацию обработки персональных данных, должно уметь в нем ориентироваться.

Слайд 15

Для того чтобы разобраться что же такое «персональные данные» и как их обрабатывать, необходимо четко понимать, что такое в общем «информация», какая она бывает и что такое информация ограниченного доступа.

Слайд 16

Федеральный закон 149 «Об информации, информационных технологиях и о защите информации» раскрывает понятие информации следующим образом


Информация - сведения (любые сведения: сообщения, данные) независимо от их формы и представления.

Слайд 17

Информация подразделяется на два вида: это защищаемая информация и незащищаемая. Нас интересует защищаемые, персональные данные, и три основные свойства, которые мы обязаны соблюдать при обработке ПДн в Школе: конфиденциальность, целостность и доступность.

Слайд 18

Защищаемая информация —является предметом собственности и подлежит защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Конфиденциальность. Что это значит? Это значит, что, получая доступ к ПДн, мы не имеем права раскрывать эти данные третьим лица и распространять эти ПДн без письменного согласия лица, если иное не предусмотрено федеральным законом. Если же есть такая норма, то мы уверено можем эти данные передать, или же сделать общедоступными. Например, передать данный о педагоге или же ребенке если их затребовали судебные органы. Или же другой пример у нас есть норма, которая обязует опубликовывать на сайте сведения о педагогах (есть определённый перечень, который включает образование, категорию, стаж и опыт работы и т.д.) но этот перечень не обязует нас опубликовывать фотографию педагога, и, соответственно, не имея письменного согласия от него, мы не имеем никакого права этого сделать. То есть мы гарантируем конфиденциальность.

Целостность –исключение неправомерного изменения информации. Если говорить о сайте или электронном журнале, то мы должны обеспечить безопасность и исключить неправомерное изменение информации, которая там содержится.

Доступность – то есть к ПДн должен иметь доступ только тот круг лиц, к которому эти данные относятся. Например, к электронному журналу должен иметь доступ только педагогический состав, понятно, что завхоз не может просто взять и получить доступ к ЭЖ, если взять документацию, которая хранится в бумажном виде, например, в отделе кадров, значит мы должны обеспечить доступ к этой информации исключительно работникам этого отдела, а не всему коллективу. Тоже самое с бухгалтерией. Доступ, например, к заработной плате, должен иметь только бухгалтер, ну и т.д.

Слайд 19

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информация ограниченного доступа. Доступ к такой информации может быть ограничен только Федеральным законом.

Слайд 20

Таким образом, 152 ФЗ о Персональных данных относит ПДн к информации ограниченного доступа. В целом такой информации очень много, около 50 видов, и вот персональные данных входят в перечень информации ограниченного доступа.

Слайд 21

Что же такое ПДн?

Федеральный закон «О персональных данных» раскрывает это понятие следующим образом: Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

По мнению рабочей группы Роскомнадзора, можно считать персональными данными, совокупность данных необходимой и достаточной для идентификации лица.

Слайд 22

Какие категории персональных данных мы обрабатываем в учреждении?


А, следовательно, если мы их обрабатываем значит у нас должно быть законное основание, согласия на обработку этих персональных данных.


И так, первая категория, сотрудники образовательной организации. Это педагогический состав, административный и хозяйственный. Для обработки персональных данных этой категории у нас должна быть форма согласия для сотрудников образовательной организации.


Следующая категория, ученики, безусловно, школа обрабатывает ПДн учеников, электронной журнал, дневник и т.д. А значит, что для законной обработки этих данных мы должны иметь письменное согласие от их законных представителей (родителей или опекунов). Вот и возникает вторая форма согласия – форма согласия на обработку персональных данных обучающихся ОО.


Казалось бы, все. Какие еще категории ПДн школа может обрабатывать?

Но это не так. Представим, что у нас освободилась должность учителя биологии. ВЫ открываете вакансию, к вам приходят несколько кандидатов, и вы предлагаете им заполнить анкету кандидата на вакансию. Следовательно, мы получаем какие-то его ПДн и начинаем их обработку, но у нас нет на это законных оснований. Так вот, чтобы они были мы должны обезопасить себя, и иметь форму согласия на обработку ПДн для соискателей должности.


Следующая категория — это студенты практиканты. Когда к нам в организацию на практику приходят студенты, мы же где-то регистрируем этот факт, берем какие-то их данные, оформляем документы, а значит начинаем обработку ПДн. И следующая форма согласия, которую мы должны иметь это форма согласия на обработку ПДн для этой категории лиц.


Ну и последний момент, бывшие сотрудники ОО. Если мы хотим пригласить бывшего сотрудника, ветерана труда, на праздничный концерт, мы что делаем? Мы идем находим ее данные адрес, телефон (а значит эти данные где-то у нас записаны в бумажном, а может и в электронном виде, мы же не храним всю информацию хранить в голове) а если она у нас где-то хранится значит мы обрабатываем эти ПДн, а это значит мы должны предусмотреть ещё одну форму согласия на обработку персональных данных для бывших сотрудников ОО.

Слайд 23

Где обрабатываются и используются ПДн в образовательном учреждении?

Обрабатывать персональные данные мы начинаем, когда человек приходит устраиваться на работу. Он заполняет какие-то документы, оформляет договор в отделе кадров, потом какие-то документы переходят в бухгалтерию и т.д. И уже на здесь начинается помимо бумажной, автоматизированная обработка ПДн.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Далее учебные подразделения, где обрабатываются ПДн обучающихся.

ПДн также содержаться в письмах, обращениях, жалобах граждан.

Официальный сайт. У ФСТЭК есть четкая позиция, что если на официальном сайте есть база данных, то это Информационная система использования персональных данных. А что такое база данных? Это упорядоченный массив информации в бумажном или электронном виде. Есть ли у нас это? Есть, так как мы обязаны опубликовывать на сайте список сотрудников.

Тоже самое и с электронным журналом и дневником.

Медицинский кабинет. Это особая ИсПДН. Прежде всего это договорные отношения с поликлиникой, понятное дело, что зона ответственности лежит на медицинском учреждении, но мед. Кабинет находится на нашей территории.


Таким образом, оказавшись в учреждении ПДн становятся объектом права, и их обработка регулируется нормативными правовыми актами в сфере ПДн. А образовательная организация, как оператор обработки ПДн, должна обрабатывать в рамках закона.

Слайд 24

А что же такое обработка ПДн?

Под Обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.

В законе под «обработкой ПДн» понимаются 18 действий: «сбор, запись, систематизация, накопление, хранение, уточнение, (обновление, зменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн», при этом 5 действий: распространение, предоставление, блокирование, уничтожение, обезличивание имеют прямое толкование, остальные 13 действий определяются косвенно.

Слайд 25

Для всех процедур обработки и защиты ПДн существуют определенные требования, которые являются обязательными для каждого учреждения

(организации). Такими требованиями являются принципы и условия обработки ПДн.

1. Обработка ПДн осуществляется на законной и справедливой основе

2. Обработка ПДн Ограничивается достижением конкретных, заранее определенных и законных целей.

3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях

4. Обработке подлежат только ПДн, которые отвечают целям их обработки

Слайд 26

4. Содержание и объем ПДн должен соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными.

6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, актуальность по отношению к целям обработки

7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. ПДн подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.

Слайд 27

1) обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн ;

2) обработка ПДн необходима для для достижения целей, предусмотренных международным договором РФ или ФЗ для осуществления функций, полномочий и обязанностей оператора

3) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта

4) необходима для предоставления государственных или муниципальных услуг в соответствии с ФЗ от 27.07.2010г. №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию на едином и (или) региональном портале госуслуг.


Слайд 28

5) Необходима для заключения и (или) исполнения договора

6) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

7) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей, при этом не нарушая права и свободы субъекта ПДн;

8) обработка ПДн необходима для осуществления профессиональной деятельности журналиста…что при этом не нарушаются права субъекта ПДн


Слайд 29

9. Осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивании ПДн

10. При условиях если доступ неограниченному кругу лиц предоставлен субъектом (они стали общедоступными)

11. ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ

Слайд 30

И так, письменное согласие на обработку ПДн, каким оно должно быть. Субъект ПДн, принимая решение о предоставлении его ПДн, дает согласие на их обработку свободно, своей волей и в своем интересе. Ранее мы выяснили, что в идеале в ОО должно быть как минимум 5 форм согласия для разных категорий граждан.

Согласие на обработку ПДн должно быть: конкретным; информированным; сознательным.

Конкретное согласие означает явно выраженное, предметное и неабстрактное согласие.

Под информированным согласием подразумевается уведомительное, сообщающее намерение о подтверждении того или иного события, факта, действия.

Под сознательным согласием имеется в виду осмысленное, обдуманное, разумное согласие.

Согласие может быть дано субъектом/его представителем в любой форме, если иное не установлено ФЗ.

В случае получения согласия от представителя его полномочия на дачу согласия от имени субъекта, его данные проверяются оператором

Согласие может быть отозвано субъектом. В случае отзыва согласия оператор вправе продолжить обработку без согласия при наличии оснований (ст.6 ч.1 (2-11), ст.10 ч.2, ст.11 ч.2)

В случае недееспособности субъекта согласие дает законный представитель

В случае смерти субъекта согласие дают наследники.

Слайд 31

Согласие в письменной форме субъекта на обработку его ПДн должно включать в себя, в частности:

1) ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) Такие же данные представителя субъекта ПДн + реквизиты доверенности или иного документа, подтверждающего его полномочия …;

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн, то есть ОО;

4) цель обработки ПДн;

Слайд 32

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта ПДн.

Слайд 33

В каких случаях оператор должен получить письменное согласие:

- при включении ПДн в общедоступные источники (сайт ОО, Электронный журнал – это все является общедоступным источником).

- при обработке специальных категорий ПДн (Специальные категории ПДн, это данные касающихся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка не допускается, за исключением случаев, предусмотренных ч. 2 ст.10ФЗ-152:).

- при обработке биометрических ПДн (Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К примеру фотография субъекта ПДн, пропускная система в ОО).

- при трансграничной передаче ПДн на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов (Роскомнадзор утверждает перечень иностранных государств, не являющихся стороной

Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов ПДн).

А также, в соответствии с Трудовым кодексом:

- при получении ПДн у третьих лиц, в случаях, когда данные нельзя получить у самого работника.

- при получении и обработке данных о частной жизни работника в случаях, непосредственно связанных с вопросами трудовых отношений.

- сообщение ПДн работника третьей стороне.

- сообщение ПДн работника в коммерческих целях.

Слайд 34

Хотелось бы немного успокоить вас тем что, помещая фотографии на официальном сайте ОО с каких-либо масштабных мероприятий, не обязательно брать письменное согласие со всех присутствующих на фотографии.

Пленум Верховного суда РФ разъясняет, что согласия не требуется при публикации «изображения, полученного при съемке, которая проводится в местах, открытых для свободного посещения или на публичных мероприятиях (собраниях, съездах, конференциях, концертах,

представлениях, спортивных соревнованиях и подобных мероприятиях)», но оговорился, что из этого исключены случаи, когда изображение человека на снимке «является основным объектом использования».

В частности, не нужно согласия, если в целом фотоснимок отображает информацию о проведенном публичном мероприятии. При этом внимание не должно привлекаться именно к изображению данного гражданина. Коллективные фотографии, где «граждане очевидно выразили свое согласие на фотосъемку» может обнародовать без получения дополнительного согласия от иных изображенных на фотоснимке лиц отметил Верховный суд.

Слайд 35

ФЗ 152 «О персональных данных» предусматривает ряд статей о правах субъекта ПДн, мы не будем в них углубляться, просто их перечислим.

Ст. 14 предусматривает Право субъекта персональных данных на доступ к его ПДн. В ней говорится о том, что Субъект имеет право на получение информации, касающейся обработки его ПДн, и регламентируется порядок получения этих данных. Это штрафная статья, и если вспомнить таблицу, которую мы рассматривали вначале, то мы мы увидим сумму штрафа для оператора ПДн от 20-40 тыс. руб.

Ст. 15 Права субъектов при обработке их ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Ст. 16 Права субъектов при принятии решений на основании исключительно автоматизированной обработки их ПДн

А ст.17 раскрывает право на обжалование действий или бездействия оператора.

Слайд 36

Обязанности оператора при сборе ПДн закреплены в Статье 18 ФЗ 152.

и мы рассмотрим их более подробно, так как оператором обротки персональных данных является Школа.

  1. Оператор обязан предоставить субъекту по его просьбе информацию об особенностях обработки ПДн субъекта.

  2. Разъяснить юридические последствия отказа предоставлять ПДн

  3. Оператор обязан предоставить субъекту сведения об наименовании оператора или его представителя, цель обработки ПДн, предполагаемый круг пользователей ПДн, права субъекта ПДн и источник получения ПДн

Слайд 37

Оператор обязан принять необходимые и достаточные меры для обеспечения обязанностей в соответствии с ФЗ-152 и нормативными правовыми актами (ФСТЭК, ФСБ, Роскомнадзора).

Перечень и состав мер оператор определяет самостоятельно. К таким мерам

могут, в частности, относиться:

Слайд 38

1 назначение ответственного за организацию обработки ПДн

2 издание документов, определяющих политику в отношении обработки ПДн, локальных актов по вопросам обработки ПДн ……

3 применение правовых, организационных и технических мер по обеспечению безопасности ПДн

4 осуществление внутреннего контроля и (или) аудита соответствия обработки

5 оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства о ПДн

И ознакамливать работников с положениями законодательства РФ о ПДн

Слайд 39

Оператор должен опубликовать политику. За отсутствие политики на официальном сайте, РОСКОМНАДЗОР вправе вынести постановление и оштрафовать оператора, школу, на сумму от 15 до 30 тыс.руб.

Применять перечень мер, устанавливаемым Правительством… для операторов, являющимися государственными или муниципальными органами.

Оператор обязан представить документы и локальные акты, указанных в части 1 ст.18.1 ФЗ-152, по запросу Роскомнадзора.

Слайд 40

Какие же меры, действия, должен принять оператор, а точнее назначенное ответственное лицо за обработку ПДн в учреждении, для того, чтобы обеспечить безопасность ПДн при их обработке? С чего начать?

1 Перове что мы должны сделать это определить один из трех типов угроз безопасности ПДн при обработки их в ИСПДн.

Что такое угроза безопасности? Это те условия и факторы, создающие опасность несанкционированного, в том числе случайного доступа к ПДн. Определение типа угроз, актуальных для информационной системы,

производится оператором с учетом оценки возможного вреда.

В определении типа угроз вам поможет нормативная база ФСБ и ФСТЭК. Ими были разработаны методические рекомендации и типовые требования, которые вы видите на слайде.

Слайд 41

Определив тип угроз, оператор обязан самостоятельно определить уровень защищённости ПДН. Всего существует 4 уровня защищенности ПДн. Каждый из них включает определенные требования для обеспечения безопасности ПДн, установленные ФСБ и ФСТЭК. Самым низким считается 4 уровень защищенности, который включает в себя использование сертифицированных средств защиты информации, определение перечня лиц доступных к ПДн, обеспечение сохранности носителей ПДн и организация режима обеспечения безопасности помещений, в которых размещены ПДн.

С уменьшением уровня защищенности увеличивается перечень требований к обеспечению безопасности, которые необходимо соблюдать. Так к первому уровню уже необходимо создание структурного подразделения, ответственного за обеспечение безопасности. Поэтому, к определению уровня защищённости нужно подходить крайне серьезно. Как правило в ОО устанавливается 4 уровень защищенности, реже 3.

Слайд 42

Далее, оператор обязан обеспечить применение организационных и технических мер по обеспечению безопасности ПДн при их обработке, в соответствии с установленным уровнем безопасности.

Обязан использовать следующие сертифицированные СЗИ (то есть, прошедшие оценку соответствия качества):

  • Средство защиты информации от несанкционированного доступа

  • Антивирусное средство защиты

  • Межсетевой экран (защита от сетевых угроз)

  • Средство шифрования информации (криптографические)

  • Средство контроля (анализа) защищенности информации (сканеры безопасности/ уязвимостей)

  • Система обнаружения вторжений (СОВ, IDS, HIPS)


Помимо этого информационные системы ПДНн должны быть аттестованы.

Основанием для проведения аттестационных мероприятий является Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 г. Москва «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации.

Слайд 43

4. Оператор обязан производить Оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИнфСистПДн.

5. Учет машинных носителей ПДн.

6. Обнаружение фактов НСД к ПДн и принятием мер

7. Восстановление модифицированных или уничтоженных ПДн

8. Устанавливать правила доступа к ПДн

9. Регистрировать и учитывать все действия, совершаемые с ПДн в ИСПДн

10.Контролировать принимаемые меры по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн оператором, возлагается на ФСБ, и ФСТЭК , в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн.

Слайд 44

При обращении к Оператор субъекта ПДН, или его законного представителя, или уполномоченного органа по защите прав субъектов ПДН – РОСКОМНАДЗОРА, он обязан сообщить субъекту информацию о наличии ПДн и предоставить возможность ознакомления с ними в течение 30 дней с момента обращения.


В случае отказа (по ст.14 п.8) предоставить информацию, дать мотивированный ответ в письменной форме в течение 30 дней


Внести изменения в ПДн, если они являются неполными, неточными или неактуальными в течение 7 раб. Дней


Уничтожить ПДн, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки, в течение 7 раб. Дней


Уведомить субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы


Сообщить в Роскомнадзор необходимую информацию в течение 30 дней


Слайд 45

В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор

1.Обязан заблокировать неправомерно обрабатываемые ПДн

2. Уточнить ПДн либо обеспечить их уточнение в течение 7 раб. дней и снять блокирование ПДн.

3. В случае достижения цели обработки, обязан прекратить обработку и уничтожить ПДн в срок до 30 дней с даты достижения цели.

4. При отзыве согласия прекратить обработку ПДн и если их сохранение больше не требуется, уничтожить ПДн в срок не превышающий 30 дней с даты отзыва.

5.В случае отсутствия возможности уничтожения ПДн в течение указанного срока, оператор осуществляет блокирование таких ПДн или обеспечивает их

блокирование и уничтожение в срок не более чем 6 месяцев если иной срок не установлен федеральными законами.


Слайд 46

Роскомнадзор ведёт реестр операторов — компаний, выполняющих требования закона «О персональных данных».

Оператору, осуществляющему обработку персональных данных, следует знать, что до начала их обработки следует известить Роскомнадзор.

Как это сделать? Оператор подаёт уведомление об обработке персональных данных в бумажном или электронном виде.

В первом случае – оператор самостоятельно составляет уведомление в бумажной форме и направить его по почте. А во втором – более удобном – оператор заполняет уведомление в электронной форме на Портале персональных данных****, а затем распечатать.

Этот способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора.

Вы видите на слайде, какие сведения должно содержать уведомление

    1. наименование (фамилия, имя, отчество), адрес оператора

    2. цель обработки

    3. категории ПДн обрабатываемые оператором

    4. категории субъектов ПДН

    5. правовое основание обработки

    6. перечень действий с ПДн, общее описание способов обработки

7.описание мер содержащихся в статьях 18 и 19, в т.ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

Слайд 47

  1. ФИО физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты

  2. дата начала обработки ПДн

  3. срок или условие прекращения обработки

  4. сведения о наличии или об отсутствии трансграничной передачи в процессе их обработки

  5. сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ

Слайд 48

Как узнать, что уведомление принято?

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит сведения, указанные в части 3 статьи 20 ФЗ-152 а также сведения о дате направления указанного уведомления в реестр операторов.

Если уведомление подается в электронном виде, то после заполнения его на сайте Роскомнадзора организация получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений об организации и обрабатываемых ПДн, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто, но это делать нужно.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны.

Когда Роскомнадзор может прийти в организацию с проверкой?

Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки.

Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического или окончания последней плановой проверки.

Поводом для неплановой проверки может служить

2. Поступление в Службу обращений и заявлений граждан, о следующих фактах:

2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан;

2.2. Причинение вреда жизни, здоровью граждан;

2.3. Нарушение прав и законных интересов граждан, операторов при обработке их ПДн;

2.4. Нарушение Операторами требований нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в

уведомлении об обработке ПДн, фактической деятельности.

3. Если Оператор не представил запрашиваемые документы в установленные

законодательством Российской Федерации сроки.


Срок проведения, как плановой, так и внеплановой проверки не может превышать 20-тирабочих дней.


При проведении плановой проверки Роскомнадзор обязан направить уведомление о проведении проверки не позднее, чем в течение 3-х рабочих дней до начала ее проведения. А при внеплановой проверки оператор уведомляется Управлением Роскомнадзора не менее чем за 24 часа до начала ее проведения любым доступным способом.


Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление о начале проведения внеплановой выездной проверки не требуется.


Так же необходимо знать что РОСКОМНАДЗОР вправе круглосуточно проверять деятельность школы в сфере обработки ПДн путем мониторинг сайта ОО.

49

Когда ФСБ РФ может прийти в организацию с проверкой?
ФСБ России осуществляет контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДН при их обработке в ГОСУДАРСТВЕННЫХ информационных системах ПДН в пределах своих полномочий. Причем, без права ознакомления с персональными данными, обрабатываемыми в этих информационных системах.

Плановые выездные проверки осуществляются в соответствии с Планом проведения плановых проверок юридических лиц и индивидуальных предпринимателей.



О проведение внеплановой выездной проверки (кроме обращений граждан) уведомляет оператора не менее чем за 24 часа до начала ее проведения любым доступным способом;

В случае, если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, безопасности государства, уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Когда ФСТЭК может прийти в организацию с проверкой?

ФСТЭК осуществляет плановые и внеплановые проверки лицензиатов (тех, кто имеет лицензии ФСТЭК). Плановая проверка в отношении одной организации может проводиться не чаще 1 раза в год. Предметом плановой проверки является соблюдение лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. Плановые проверки осуществляются согласно ежегодному плану.



Основанием для включения лицензиата в план является истечение трех лет со дня:

  • государственной регистрации;

  • последней плановой проверки.


Основанием для проведения внеплановой проверки является:

  • истечение срока действия предписания об устранении нарушений;

  • поступление обращений и заявлений в ФСТЭК о фактах:

  • возникновения угрозы причинения вреда безопасности государства;

  • причинение вреда безопасности государства.

50

Спасибо за внимание


Все







https://152.kontur.ru/blog/notification-to-rkn

http://otchetonline.ru/art/kadry/11561-12371.html






















Таким образом информацию в целом мы можем поделить на общедоступную, то есть ту, которую мы имеем право и обязаны опубликовать на официальном сайте, и информацию ограниченного доступа, это та информация, которую мы обязаны обрабатывать в образовательном учреждении, как о педагогах, так и об учениках, но не должны ее распространять.



Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.



Регуляторы в области информационной безопасности.


Три основных регулятора в сфере

  1. РОСКОМНАЗОР

  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ)

  3. ФСБ РФ


Каждый из этих регуляторов имеет свои правила.. А наша с вами задача состоит в том, чтобы структурировать все требования, которые сформулированы у трех регуляторов и определить для себя зоны риска в отношениях с этими регуляторами


Первый регулятор он основной – он регулирует обработку персональных данных. РОСКОМНАДЗОР – это федеральная служба по контролю в сфере связи, информационных технологий, и массовых коммуникаций. С 1 сентября 2015 года он получил неограниченные полномочия, он вышел из под действия ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и является государственным регулятором по защите и обработки персональных данных.


Организация мероприятий систематического наблюдения (через сайт)


Автор
Дата добавления 26.05.2016
Раздел Директору, завучу
Подраздел Другие методич. материалы
Просмотров167
Номер материала ДБ-099467
Получить свидетельство о публикации
Похожие материалы

Включите уведомления прямо сейчас и мы сразу сообщим Вам о важных новостях. Не волнуйтесь, мы будем отправлять только самое главное.
Специальное предложение
Вверх