ТЕМА: ИАС "Электронный классный журнал"

1. Что такое персональные данные?
2. Что такое защита персональных данных?
3. Зачем необходимо защищать персональные данные?
4. Кто относится к операторам по обработке персональных данных?
5. Каковы способы защиты персональных данных
6. Каковы виды ответственности за неправомерную обработку персональных данных
7. Кто осуществляет контроль в сфере персональных данных?
8. Что защищает закон?
9. Сфера действия закона?
10. Границы распространения на старые информационные системы
11. Персональные данные: Классификация ИСПДн
12. К какой категории данных относится ФИО+ИНН?
13. На основании чего персональные данные относятся к 2 или 3 категории?
14. К какой категории обрабатываемых ПД правильно отнести ИС?
15. Требуются ли какие-либо специальные мероприятия, если ПДн в нашей школе являются только данные работников (менее 10 человек)
16. Как определить границы ИСПДн?
17. С какого времени начинает действовать Закон "О персональных данных"
18. Какими приказами МО или ДО следует руководствоваться в работе с персональными данными?
19. Работник отказывается подписать "Соглашение о предоставлении персональных данных" Что делать?
20. Нужно ли заключать дополнительное соглашение на обработку персональных данных, если в личных делах есть согласие на автоматизацию?
Что такое персональные данные?
По определению Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, персональные данные означают любую информацию об определенном или поддающемся определению физическом лице.
По Федеральному закону "О персональных данных", к персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

К персональным данным можно отнести, например: паспортные данные, место регистрации, ИНН, банковские реквизиты, медицинскую информацию, информацию о профессиональной деятельности, доходы и расходы граждан, национальность, вероисповедание, партийная принадлежность и многое другое.


Что такое защита персональных данных?
Защита персональных данных — это комплекс организационных и технических мер исключающих доступ к информации, содержащей персональные данные, лиц, не обладающих соответствующими полномочиями, а также исключающих возможность неправомерного использования такой информации.


Зачем необходимо защищать персональные данные?
Неправомерное искажение, фальсификация, уничтожение или разглашение информации наносит серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Для граждан, от степени защищенности информации персонального характера зависит физическая и имущественная безопасность субъектов персональных данных, а для операторов — обеспечение надлежащего функционирования организации.

субъект персональных данных - Физическое лицо.


Кто относится к операторам по обработке персональных данных?
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.


Каковы способы защиты персональных данных
В соответствии с Федеральным законом "О персональных данных", Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Однако, на данный момент, такие требования Правительством Российской Федерации не разработаны и операторы обязаны принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий по своему усмотрению.
Для граждан основным способом защиты их персональных данных будет проявление бдительности при предоставлении кому-либо информации личного характера, а также знание прав и обязанностей, которыми наделяет Федеральный закон операторов информационных систем и субъектов персональных данных.


Каковы виды ответственности за неправомерную обработку персональных данных
Лица, виновные в нарушении требований Федерального закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность


Кто осуществляет контроль в сфере персональных данных?
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является Федеральная служба по надзору в сфере связи (Россвязьнадзор).


Что защищает закон?
Закон защищает персональные данные физических лиц, которые находятся у юридического лица.

Сфера действия закона?
Закон регулирует отношения связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.


Границы распространения на старые информационные системы
Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.


Персональные данные: Классификация ИСПДн

Вопрос. Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?

Ответ. Четкого определения понятию «состояние здоровья» закон не дает. Поэтому можно говорить только об экспертном мнении. Оно таково: сведения об инвалидности, годности к работам и т.п. к сведениям о состоянии здоровья не относятся, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1 группы этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не состоянии здоровья

К какой категории данных относится ФИО+ИНН?

Вопрос. К какой категории данных относится ФИО+ИНН (или вместо ИНН № пенсионного полиса, или серия-номер паспорта, или номер вод.удостоверения, или т.п.)? Смущает то, что любой из этих номеров уникален и идентифицирует личность даже без ФИО.
Ответ. Любую комбинацию типа ФИО + номер одного из указанных документов, я бы отнес к категории 3, поскольку такая комбинация во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО. А вот если комбинация будет ФИО+ номер + еще номер, то это уже 2 категория персональных данных.


На основании чего персональные данные относятся к 2 или 3 категории?

Вопрос. На основании чего персональные данные относятся к 2 или 3 категории? Какие данные позволяют получить дополнительную информацию о субъекте, а какие просто его идентифицировать?
Ответ. Как Вы понимаете, всё, что у нас есть – это Приказ ФСБ/ФСТЭК/МинСвязи от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Весь вопрос в трактовке. Мы понимаем это так. Возьмем, к примеру, любую анкету. Идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПДн). Все остальное, сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПДн). Иными словами мы подходим к вопросу категоризирования данных с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и категория 2.


К какой категории обрабатываемых ПД правильно отнести ИС?

Вопрос. В организации используется ИС, в которой содержатся № телефона, ФИО лица, подавшего заявку на выяснение технической возможности подключения к Интрнет. Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПД правильно отнести данную ИС?
Ответ очень простой – К3. Это классическая типовая система, где Хпд=3, поскольку данные только идентифицируют личность, а Хнпд=2, т.к. количество обрабатываемых записей – от 1000 до 100000.


Требуются ли какие-либо специальные мероприятия, если ПДн в нашей школе являются только данные работников (менее 10 человек)

Вопрос. Требуются ли какие-либо специальные мероприятия, если ПДн в нашей школе являются только данные работников (менее 10 человек). Все эти данные обрабатываются в целях ТК РФ (зарплата и налоги) на домашнем ПК руководителя?
Ответ. Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Вам необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний ПК директора наверняка имеет выход в интернет, что требует также дополнительной защиты. Стоит обдумать вариант с бумажным ведением кадрового учета (хотя бы декларативно).


Как определить границы ИСПДн?
Как определить границы ИСПДн? Если в учреждении имеется много различный баз данных будет ли каждая база данных - ИСПДн или можно все базы данных в учреждении считать как единую ИСПДн учреждения? Соответственно если ИСПДн в учреждении много как определить границы (сетевое оборудование, сервера будут находиться одновременно в нескольких ИСПДн) и еще вопрос если ИСПДн много, аттестовать придется каждую в отдельности?

В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае если у Вас все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн. И будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если у Вас 2 базы данных (подсистемы), классифицированных по классу К2 ИСПДн, и одна – классифицированная по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите. С другой стороны, в федеральном законе №152 «О персональных данных» есть статья 5 «Принципы обработки персональных данных», один из которых звучит как
«недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных». Соответственно, нужно определить цели создания Ваших баз данных и, если для отдельных баз они будут несовместимы, то придется производить сегментирование и отделять их друг от друга.

На вопрос по аттестации – Вы будете аттестовывать информационную систему. Если у Вас ИСПДн будет много, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестуете ее одну.


С какого времени начинает действовать Закон "О персональных данных"
В первой редакции Закона "О персональных данных" было указано, что информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 "О персональных данных", должны были приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года.

В настоящее время, по разным объективным и субъективным причинам, срок действия закона ФЗ-152 в части разработанных ранее ИСПДн перенесен сначала до 1 января 2011 года, а затем и до 1 июля 2011 года (закон № 444277-5). Однако все разрабатываемые (модернизированные) с начала 2011 года ИСПДн уже должны соответствовать закону.

Это означает, что операторы персональных данных, не сумевшие выполнить требования ФЗ-152, с 1 января или 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность


Какими приказами МО или ДО следует руководствоваться в работе с персональными данными?
Приказа по нормативной базе именно для КРМ "Директор" нет. Но, документация, в любом случае, должна быть в школе. Это, даже, не связано с КРМ "Директор". Внутри школы используются персональными данными и не важно на бумажном носителе или в электроном виде - требования 152 ФЗ должны быть выполнены.

Работник отказывается подписать "Соглашение о предоставлении персональных данных" Что делать?
Персональные данные работника — информация о работнике, необходимая работодателю в связи с трудовыми отношениями (ст. 85—90 ТК РФ).
Персональные данные работника работодатель получает из документов, предъявляемых работником при заключении трудового договора (ст. 65 ТК РФ). Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Нужно ли заключать дополнительное соглашение на обработку персональных данных, если в личных делах есть согласие на автоматизацию?
Если упомянутое согласие «на автоматизацию» отвечает требованиям, предъявляемым к согласиям на обработку персональных данных, установленным ст. 9 Федерального закона № 152-ФЗ «О персональных данных», то дополнительных согласий получать не надо.
Если же не отвечает этим требованиям, необходимо анализировать конкретную ситуацию, так как статьей 6 указанного закона установлены случаи, когда может осуществляться обработка персональных данных. В частности, обработка персональных данных может осуществляться (без получения согласия субъекта персональных данных) в случае, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.