Главная страница
Навигация по странице:

  • Действия по защите персональных данных

  • Этапы защиты персональных данных

    		•

    практическая 2 информационная безопасность. савельева_ПРАКТИКА 2. Практическая работа 2 Работа с персональными данными в образовательной организации (составление аналитической справки)


    Скачать 24.92 Kb.
    НазваниеПрактическая работа 2 Работа с персональными данными в образовательной организации (составление аналитической справки)
    Анкорпрактическая 2 информационная безопасность
    Дата07.09.2021
    Размер24.92 Kb.
    Формат файлаdocx
    Имя файласавельева_ПРАКТИКА 2.docx
    ТипПрактическая работа
    #230039

    Практическая работа №2

    Работа с персональными данными в образовательной организации (составление аналитической справки)
    Правовая основа работы с персональными данными

    Школы, университеты, среднеспециальные учебные заведения логично стали основной базой для внедрения новейших систем обработки персональных данных. Образовательные учреждения предназначены для подготовки кадров, адаптированных к электронному делопроизводству и в качестве преподавателей, и в роли рядовых пользователей. Общая культура безопасности данных должна прививаться гражданам в любом возрасте без исключения, а общеобразовательные учреждения – первое место, где может культивироваться уважение к закону в общем, и к конфиденциальности приватной информации в частности. Именно в сфере образования лучше всего внедряется понимание законности или незаконности оперирования данными о гражданине.

    Защита персональных данных включает как юридический, так и технический аспекты правового регламентирования. Электронное обеспечение сбора информации – технический вопрос, а сама организация процесса относится в большей степени к вопросам делопроизводства, чем к актуальной юридической практике.  

    Защита ПДн работников (учителей, научных сотрудников, административных штатных единиц, системных администраторов и иного техперсонала) подпадает под действие следующих законодательных актов:

    • Конституции РФ;

    • Закона № 149-ФЗ, описывающего защиту данных в аспекте информтехнологий и сами информационные технологии;

    • Закона № 152-ФЗ, регламентирующего правовое положение персональных данных;

    • ТК РФ;

    • многочисленных ведомственных и подзаконных правовых актов.

    Третья статья закона № 152-ФЗ подразумевает под «персональными данными» любые биографические данные по субъекту – физическому лицу: 

    • его полное имя;

    • год и число рождения;

    • фактический адрес и место регистрации;

    • профессию и квалификационные навыки гражданина;

    • уровень и время получения образования;

    • размеры доходов и объем уплаченного налога;

    • социальное положение;

    • недвижимые и иные активы;

    • семейный статус и прочие социальные, финансовые, юридические факты о гражданине.

    Вторая статья этого же закона допускает обработку персональных данных исключительно в объемах, необходимых для обеспечения рабочего процесса, с гарантией неприкосновенности приватной жизни. Этот же закон регламентирует все требования по обращению с конфиденциальной информацией. Распространяется ФЗ № 152 на все организации на территории РФ, включая учебные учреждения, которые являются операторами по обработке персональных данных. 19-я статья этого документа определяет, что именно на оператора возлагаются все организационные и технические вопросы как по сбору, так и по защите потенциально уязвимого приватного материала.

    17.11.2007 № 781 исполнительная власть одобрила Положение, касающееся безопасности ПД в условиях применения электронных систем. В этом нормативном акте описан полный комплекс необходимой материальной части, к которой непосредственно относятся:

    • записывающая аппаратура;

    • принимающие персональную информацию терминалы;

    • элементы используемых сетей и все сопутствующее этой работе ПО.

    Конкретные версии программ и модели оборудования оговариваются особо в профильных документах, составленных Минобразования и специальными уполномоченными органами.

    Статья 22 Закона № 152-ФЗ требует от оператора обязательного уведомления компетентных органов непосредственно перед началом обработки персональных данных. Процедура необходима для предотвращения потенциальных злоупотреблений, нарушений и контроля над выполнением образовательными учреждениями требований законодательства в сфере обработки ПДн. 

    В качестве уполномоченного органа законодательство РФ определяет Россвязькомнадзор, который в 2008 году разработал и заверил соответствующие образцы Уведомления о начале обработки ПДн и Рекомендации по их оформлению. Оператор может не уведомлять Россвязькомнадзор, если граждане, предоставляющие свои персональные данные оператору, находятся с ним в трудовых отношениях. Университет, колледж, иное образовательное учреждение могут осуществлять такую деятельность относительно преподавателей без создания Уведомления.

    Действия по защите персональных данных

    Образовательные учреждения при разработке мероприятий по защите ПДн привлекают к обработке персональных данных юристов, кадровиков, создают отделы компьютерных технологий.

    Юридическую часть и направления работы в этой сфере составляют операции по:

    • разработке локальных актов, которые будут регламентировать организацию, юридическую, техническую часть деятельности с ПДн;

    • определению процедуры взаимодействия со всеми надзорными органами;

    • распределению функций между сотрудниками, закреплению между ними задач по ведению документооборота, обработке, хранению персональных данных.

    Специфика учебных заведений требует обрабатывать личные данные не только учащихся, но и их родителей, если речь идет о первичных уровнях российских учебных заведений.

    Процедура передачи конфиденциальных данных третьим лицам нуждается в особом подходе:

    • основаниями для подобных действий могут быть требования федерального законодательства, органов правосудия;

    • получение письменного согласия субъекта ПДн;

    • заключение договора с третьими лицами, в котором должны содержаться их заверения в обеспечении полной конфиденциальности и сохранности данных в процессе обработки.

    Такие же требования должны соблюдаться при работе с ПДн при обработке с помощью компьютерной техники, интернет-ресурсов общеобразовательных учреждений.

    Обязанности работодателей в вопросах защиты ПДн

    Работодатель, в соответствии со статьей 21 ФЗ № 152, должен:

    • заблокировать ПДн работника образовательного учреждения по его требованию или требованию его законных представителей, если такая информация не является достоверной, с ней проводились незаконные действия, оператор должен уточнить или изменить такие данные на основании предоставленной субъектом информации;

    • исправить нарушения, если они были найдены в течение не более 3 рабочих дней, начиная со дня их выявления. Если устранить их в течение этого периода времени нет возможности, оператор должен уничтожить эти сведения. Информацию об устранении нарушений, выполнении процедуры уничтожения ПДн работодатель должен направить субъекту, его представителям или уполномоченному органу; 

    • незамедлительно остановить обработку ПДн, уничтожить их, если субъект отозвал свое согласие на эти действия на протяжении 3 рабочих дней после получения уведомления, если другое не предусматривается законодательством.


    Этапы защиты персональных данных

    1. Анализ необходимости и объемов обработки ПДн.

    2. Анализ и определение информационных процессов обработки конфиденциальной информации.

    3. Создание перечня отделов и штатных единиц, задействованных в обработке персональных сведений.

    4. Суммирование информсистем и анализируемых вводных.

    5. Определение категорий собираемой в будущем информации.

    6. Издание пакета распорядительных документов по обработке ПДн.

    7. Разработка эффективной системы безопасности.

    Локальная защита ПДн работников общеобразовательных учреждений ст. 85 ТК РФ трактует конфиденциальной информацией данные о штатных единицах и все запрашиваемые сведения по штатным сотрудникам образовательного учреждения, необходимые оператору для совершения действий, прописанных в трудовых договорах. Какие конкретно сведения подлежат защите и относятся к категории конфиденциальных, должен решать сам работодатель, учитывая текущее законодательство. Статья 87 ТК РФ требует разработки, внедрения и поддержания работодателем процедуры архивирования, сохранности и обработки ПД сотрудников.

    Первичным документом выступает Положение о сборе и защите ПДн сотрудников, в ходе имплементации которого обязательно учитывается мнение уполномоченных профсоюзных ячеек в соответствии с требованиями статьи 372 ТК РФ. В этом законодательном акте регламентирован порядок оперирования персональными данными, содержатся методики и принципы обеспечения базовых информационных прав штатных сотрудников, определение ответственных лиц и рангов доступности ПДн по разным категориям штатных сотрудников, определение санкций за нарушения, допущенные в работе с ПДн сотрудников.

    Составление Положения – обязанность, которую необходимо выполнить оператору ПДн, отсутствие этого документа квалифицируется как прямое нарушение оператором федеральных законов. 

    Защита персональных данных в образовательном учреждении состоит из следующих мероприятий:

    • при получении конфиденциальной информации необходимо письменное согласие от собственника ПДн на их обработку, а также на возможность передачи этих данных третьим лицам в рамках действующего законодательства и в объемах, необходимых для выполнения его требований и реализации рабочего процесса в образовательном учреждении;

    • во время хранения ПДн требуется издать приказ об ответственных лицах из числа персонала, которые будут иметь доступ к этим документам, включая приватные данные, не подлежащие разглашению.

    Работодатель (руководитель образовательного учреждения) – юридический объект, который отвечает за конфиденциальность данных, полученных для обработки в рамках трудовых взаимоотношений. В его ведении должны находиться соответствующие журналы контрольного внутреннего и исходящего учета персональных данных, содержащие, помимо описи конфиденциальных документов, порядок их изъятия из хранилища и передачи в третьи руки. В число этих лиц входят как представители различных юрлиц, так и государственные контрольно-надзорные органы, инстанции правопорядка, представители судебной системы.

    Непосредственно сам Журнал учета внутреннего доступа к персональным данным (наименование условно и регламентации отдельно не подлежит, главное, чтобы оно точно указывалось в отчетной документации) должен содержать:

    • даты документооборота личных дел (выдача-возврат);

    • срок пользования;

    • цели, с которыми документ выдавался;

    • сам перечень выдаваемых документов.

    Сотрудник, который работает с личным делом другого сотрудника, ни в коем случае не имеет права вносить в документ какие-либо правки.

    Образовательное учреждение должно вести Журнал учета наружного оборота персональных данных работников, содержащий все поступающие запросы, информацию о том, кто этот запрос направил в учреждение, дату начала документооборота по делу либо пометку об отказе выдать интересующие сведения, также указывать конкретную переданную информацию.

    Качественная система учета персональных данных требует проведения периодических проверок наличия личных дел и иных носителей конфиденциальной персональной информации, установления четкого порядка документооборота.

    написать администратору сайта