Защита персональных данных

Примерный перечень
рекомендуемых мероприятий
по обеспечению работы с персональными данными
 
1. Мероприятия по определению персональных данных и подготовке норма­тивных методических документов

1.1.        На основе нормативных документов, регламентирующих деятельность муниципальных органов управления образованием и образовательных учреждений, необходимо организовать работу по определению обязательного и достаточного объема и перечня обрабатываемых персональных данных сотрудников и обучающихся.

Перечни обрабатываемых персональных данных:

— могут быть включены в состав разрабатываемых Положений о персональных данных сотрудников и обучающихся;

— могут быть утверждены в виде отдельных документов (приложений к при­казам).

1.2.        С учетом рекомендаций Министерства образования и науки Российской Федерации по примерным формам Положений о защите, хранении, обработке и передаче персональных данных сотрудников и обучающихся необходимо организовать работу по разработке, согласованию и утверждению следующих документов:

— Положения о персональных данных сотрудников;

— Положения о персональных данных обучающихся (воспитанников);

— формы Согласия на обработку персональных данных сотрудников;

— формы Согласия на обработку персональных данных обучающихся (воспитанников);

— формы Согласия на размещение персональных данных сотрудников и обучающихся (воспитанников) на интернет-страницах учреждений образования (рекомендуется);

— формы заявлений о приеме обучающихся (воспитанников) с согласием их законных представителей (родителей, опекунов) на предоставление своих персональных данных (контактной и иной информации).

Рекомендуется организовать, при необходимости, внесение изменений в устав и локальные нормативные акты учреждений (организаций).

1.3.        Необходимо организовать работу по определению перечня лиц (организаций), имеющих доступ к персональным данным сотрудников и обучающихся (воспитанников), назначению лиц, персонально ответственных за организацию работы с персональными данными в учреждениях, организациях.

Перечни лиц, имеющих доступ (допускаемых) к работе с персональными данными:

— могут быть включены в состав разрабатываемых Положений о персональных данных сотрудников и обучающихся;

— могут быть утвержденные виде отдельных документов (приложений к приказам).

Лица, персонально ответственные за организацию работы с персональными данными в учреждениях (организациях), должны быть назначены приказами, с внесением изменений/дополнений в их должностные инструкции (функциональные обязанности).

1.4.        Необходимо организовать работу по ознакомлению лиц, допущенных к работе с персональными данными, с нормами и требованиями федерального законодательства, иных нормативных актов и документов и требованиями к персональной ответственности за их нарушение под роспись.

Рекомендуется организовать, при необходимости, внесение изменений/дополнений в должностные инструкции (функциональные обязанности) данных лиц.

2. Мероприятия по информированию субъектов персональных данных (сотрудников и обучающихся (воспитанников) и получению согласия от них на обработку персональных данных

2.1.        Необходимо организовать работу по ознакомлению сотрудников учреждений (организаций) образования с Положением о персональных данных сотрудников на общих собраниях трудового коллектива, с разъяснением:

— требований и норм федерального законодательства, в том числе перечня персональных данных, не требующих согласия на их обработку, и иного перечня персональных данных, требующих персонального согласия;

— целей и задач, стоящих перед учреждением (организацией) как оператором персональных данных;

— прав и обязанностей сотрудников как субъектов персональных данных;

— возможностей информационных систем и способов обработки персональных данных, предполагаемых к использованию.

Необходимо организовать работу по получению персонально заверенных Согласий каждого сотрудника на обработку персональных данных, включая при необходимости определяемые им самим расширения перечней (за пределами перечня данных, не требующих согласия по Федеральному закону от 26.07.2006 №152-ФЗ «О персональных данных») на период времени, устанавливаемый самим субъектом персональных данных.

Необходимо организовать работу по ознакомлению обучающихся (воспитанников), их родителей (законных представителей) с Положением о персональных данных обучающихся на родительских (классных) собраниях, с разъяснением:

— требований и норм федерального законодательства (особенно в части перечня персональных данных, не требующих согласия на их обработку, и наоборот, требующих персонального согласия);

— целей и задач, стоящих перед учреждением (организацией) как оператором персональных данных;

— прав и обязанностей обучающихся (воспитанников), как субъектов персональных данных;

— возможностей информационных систем и способов обработки ПД, предполагаемых к использованию.

2.4. Необходимо организовать работу по получению персонально заверенных Согласий каждого обучающегося (по достижении им 14 лет), законного представителя (родителя, опекуна) обучающегося (воспитанника) на обработку персональных данных, включая при необходимости определяемые им самим расширения перечней (за пределами перечня данных, не требующих согласия по Федеральному закону от 26.07.2006 №152-ФЗ «О персональных данных») на период времени, устанавливаемый самим субъектом персональных данных.

3. Мероприятия по инвентаризации и классификации информационных систем обработки персональных данных

3.1.        Необходимо организовать работу по инвентаризации установленного в учреждениях (организациях) образования установленного программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся;

— сформировать списки используемых в учреждениях (организациях) образования информационных систем и приложений с указанием производителя (разработчика), регистрационных свидетельств (сертифика­тов) и номеров лицензий.

— в рамках проведенной инвентаризации принять меры по удалению нелицензионного программного обеспечения и установке лицензионного программного обеспечения из состава стандартного (базового) пакета программного обеспечения (СБППО) «Первая Помощь», полученного по федеральной поставке в рамках приоритетного национального проекта «Образование» (в трехмесячный срок с момента получения СБППО).

3.2.        Рекомендуется принять во внимание, что работа по приведению информационных систем персональных данных, полученных учреждениями образования в рамках федеральных поставок, в соответствие требованиям Федерального закона от 26.07.2006 №ФЗ-152 «О персональных данных» организуется разработчиками данных систем в рамках действующих контрактов и договоров с федеральным заказчиком.

Необходимо принять меры по организации своевременного обновления модернизируемых разработчиками информационных систем.

3.3.        В учреждениях (организациях) образования, использующих лицензионные программные системы персональных данных, полученные по целевым региональным, муниципальным бюджетным поставкам, приобретенные или разработанные самостоятельно, рекомендуется организовать запросы к разработчикам об использующихся в данных программах системах защиты персональных данных и планируемых мероприятиях (включая сроки) по приведению данных информационных систем в соответствие с требованиями Федерального закона от 26.07.2006 №152-ФЗ «0 персональных данных» и других нормативно-регламентирующих актов.

В случае невозможности обнаружения разработчика (законного правообладателя) информационных систем или получения «отрицательных» ответов необходимо принять меры по деинсталляции данных систем.

3.4.        На основании проведенной инвентаризации и сформированных списков (п.3.1.) необходимо с учетом рекомендаций Министерства образования и науки РФ организовать работу по проведению классификации используемых в учреждениях (организациях) образования и на подведомственных территориях информационных систем и приложений:

— провести работы по классификации используемых информационных систем и приложений в соответствии с Порядком проведения кпассификации информационных систем персональных данных (утвержден совместным приказом ФСТЭК России, ФСБ России, Микинформсвязи России от 13.02.2008 №55/86/20);

— в установленные Министерством образования и науки РФ сроки сформировать и предоставить перечень классифицированных информационных систем персональных данных, в которых должна быть обеспечена безопасность информации, в соответствии с прилагаемой типовой формой.

3.5.        На время проведения работ по классификации используемых в учреждениях (организациях) информационных систем рекомендуется приостановить обработку персональной информации, относящейся к объектам обработки специальных информационных систем персональных данных:

— данных, касающихся состояния здоровья обучающихся/ воспитанников и сотрудников учреждений (организаций) образования;

— данных, обрабатываемых информационными системами, предусматривающими принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта пер­сональных данных (обучающегося/воспитанника или сотрудника учреждения образования) или иным образом затрагивающих его права и законные интересы.

3.6.        Необходимо принять меры по приостановке использования информационных систем персональных данных, не прошедших классификацию в установленные сроки (л.3.4.), и принятию решений о возможности их дальнейшего использования/деинсталляции с уничтожением информационных баз, обрабатываемых в них персональных данных.

3.7,        Рекомендуется организовать работу по проведению заявительных мероприятий в органах Россвязьохранкультуры для операторов персональных данных, использующих классифицированные информационные системы, подпадающие под действие п.3.3.

4. Мероприятия по организации защиты обрабатываемых в информационных системах персональных данных

Необходимо организовать работу по идентификации рабочих мест и каналов передачи, в том числе сети «Интернет», персональных данных внутри и вне учреждений (организаций) образования в соответствии с требованиями к ним на основе нормативно-методических материалов ФСБ и ФСТЭК.

Необходимо организовать работу по защите конфиденциальности обрабатываемых в учреждениях (организациях) образования персональных данных.

Необходимо считать недопустимым размещение персональных данных сотрудников и обучающихся в общих локальных сетях учреждений (организаций) и на локальных компьютерах с возможностью несанк­ционированного доступа к ним лиц, не имеющих прав на работу с персональными данными, рекомендуется принять меры по удалению размещенной подобным образом информации.