6. ознакомление работников оператора, непосредственно обрабатывающих персо­нальные данные, с положениями законо­дательства РФ о персональных данных, в том числе требованиями к защите пер­сональных данных, документами, опре­деляющими политику оператора в отно­шении обработки персональных данных, локальными актами по вопросам обра­ботки персональных данных, и (или) обучение указанных работников.

Из этого перечня меры № 1 и 2 обя­зательны с учётом других норм Феде­рального закона «О персональных дан­ных» (выше мы об этом говорили). Мера № 4, как правило, предусматри­вается положением о персональных дан­ных школы. Мера № 6 необремени­тельна для школы и осуществляется за­местителем директора, ответственным за обработку персональных данных (она прямо прописана в его обязанностях).

Проблемны меры № 3 и 5, однако их применение остаётся пока что на усмот­рение самой школы. Отметим, что со­гласно части 3 статьи 18.1. Федерально­го закона «О персональных данных» Правительство РФ устанавливает пере­чень мер, обеспечивающих выполнение обязанностей, предусмотренных настоя­щим Федеральным законом и приняты­ми в соответствии с ним нормативными правовыми актами, операторами, являю­щимися государственными или муници­пальными органами. Школа — госу­дарственное или муниципальное учреж­дение, а не орган, поэтому когда Пра­вительством РФ будет принят такой нормативный акт, на школу эти требо­вания не должны распространяться.

А вот государственным и муниципальным органам управления образованием их придёт­ся выполнять.

Согласно статье 19 Федерального закона «О персональных данных» оператор при об­работке персональных данных обязан прини­мать необходимые правовые, организацион­ные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирова­ния, копирования, предоставления, распрост­ранения персональных данных, а также от иных неправомерных действий .

Обеспечение безопасности персональных данных достигается, в частности (какие из них применять — определяет сама школа):

  • определением угроз безопасности персо­нальных данных при их обработке в инфор­мационных системах персональных данных;
  • применением организационных и техничес­ких мер по обеспечению безопасности персо­нальных данных при их обработке в инфор­мационных системах персональных данных, мер, необходимых для выполнения требова­ний к защите персональных данных, испол­нение которых обеспечивает установленные Правительством РФ уровни защищённости персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информа­ционной системы персональных данных;
  • учётом машинных носителей персональных данных;
  • обнаружением фактов несанкционирован­ного доступа к персональным данным и при­нятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
  • установлением правил доступа к персо­нальным данным, обрабатываемым в ин­формационной системе персональных дан­ных, а также обеспечением регистрации

и учёта всех действий, совершаемых с персональными данными в информаци­онной системе персональных данных;

  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информа­ционных систем персональных данных.

Правительство РФ с учётом возможного вреда субъекту персональных данных, объёма и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатыва­ются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

  • уровни защищённости персональных данных при их обработке в информацион­ных системах персональных данных в за­висимости от угроз безопасности этих данных;
  • требования к защите персональных дан­ных при их обработке в информационных системах персональных данных, исполне­ние которых обеспечивает установленные уровни их защищённости;
  • требования к материальным носителям биометрических персональных данных

и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных Правительст­вом РФ требований к защите персональ­ных данных для каждого из уровней за­щищённости, организационных и техниче­ских мер по обеспечению безопасности персональных данных при их обработке

в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в об­ласти обеспечения безопасности, и федераль­ным органом исполнительной власти, уполно­моченным в сфере противодействия техничес­ким разведкам и технической защиты инфор­мации, в пределах их полномочий.

Здесь под угрозами безопасности персональ­ных данных понимается совокупность условий и факторов, создающих опасность несанкциони­рованного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокиро­вание, копирование, предоставление, распростра­нение персональных данных, а также иные не­правомерные действия при их обработке в ин­формационной системе персональных данных.

Уровень защищённости

Под уровнем защищённости персональных данных понимается комплексный показатель, характеризующий требования, исполнение ко­торых нейтрализует определённые угрозы бе­зопасности персональных данных при их обра­ботке в информационных системах персональ­ных данных.

На сегодня Правительством РФ принято лишь Положение об обеспечении безопасности персональных данных при их обработке в ин­формационных системах персональных данных, (утверждено Постановлением Правительства РФ от 17.11.2007 № 781), в котором такие уровни и требования отсутствуют.

Пункт 6 Положения об обеспечении безопас­ности персональных данных при их обработке в информационных системах персональных

данных предусматривает, что информа­ционные системы классифицируются операторами в зависимости от объёма обрабатываемых ими персональных дан­ных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения та­кой классификации информационных си­стем устанавливается совместно Феде­ральной службой по техническому и экспортному контролю, Федеральной службой безопасности РФ и Министер­ством информационных технологий и связи РФ, т.е. речь идёт о совершен­но иной классификации. Никаких «ком­плексных показателей» Правительством РФ пока не принято.

Кроме того, это Положение в пункте 1 устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных систе­мах персональных данных, представляю­щих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персо­нальных данных лишь с использованием средств автоматизации. И если школа обрабатывает персональные данные в порядке, подпадающем под определе­ния, данные в Положении об особенно­стях обработки персональных данных, осуществляемой без использования средств автоматизации (Положения, ут­верждённого Постановлением Прави­тельства № 687, как нами было рас­смотрено выше), то нет необходимости выполнять требования Положения, ут­верждённого Постановлением Прави­тельства № 781.

О персональных данных

- политика образовательного учреждения в отношении обработки персональных данных сотрудников и обучающихся;

- положение о порядке обработки персональных данных работников;

- положение о порядке обработки персональных данных учащихся;

- типовое согласие родителей на обработку персональных данных;

- типовое согласие работников на обработку персональных данных;

- типовое согласие родителей на обработку персональных данных учащихся в сети Интернет;

- положение об обработке и обеспечении безопасности персональных данных в информационной системе учреждения;

- положение об официальном сайте учреждения;

- сведения о реализуемых требованиях к защите персональных данных;

- сведения о наличии согласия граждан (законных представителей обучающихся) на распространение персональных данных обучающихся:

все данные на сайте размещены на основании согласия педагогов, родителей (законных представителей обучающихся) и в соответствии с федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".

 

Описание: http://mboushkola1.ru/images/banners/GorLine.png

Муниципальная «ГОРЯЧАЯ ЛИНИЯ» по вопросам нарушения законодательства о защите детей от информации, причиняющей вред их здоровью и развитию

 

Тел.: +7 (3532) 98 74 67

e-mail: kormuhindv@admin.orenburg.ru