Персональные данные

Обработка персональных данных в образовательном учреждении производится в соответствии с 152-ФЗ «О персональных данных» Уважаемые родители и педагоги! С 1 января 2009 года все организации, осуществляющие обработку персональных данных, должны соответствовать требованиям Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

 Всю необходимую информацию по ПДн вы можете найти на сайте "ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ ТЕЛЕКОМУНИКАЦИЙ (РОСКОМНАДЗОР)"

Перечень документов, регламентирующих обработку персональных данных:

• Федеральный закон Российской Федерации от 27 июля 2006г. №152-ФЗ "О персональных данных"

Персональные данные – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект.

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными.

 К персональным данным относятся:

 ·         ФИО;

·         дата рождения;

·         место рождения;

·         адрес прописки;

·         адрес фактического проживания;

·         паспортные данные;

·         информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

·         телефонный номер (домашний, рабочий, мобильный);

·         семейное положение и состав семьи (муж/жена, дети);

·            другие данные.

Также персональными данными считаются биометрические персональные данные, т.е. сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Например, в биометрическим персональным данным относятся фото, видеонаблюдение и т.п.

 Не все данные являются персональными сами по себе, но их совокупности могут быть ПДн.

 Под действиями с персональными данными понимается следующее:

 ·         сбор – взятие у субъектов ПДн их данных;

·         систематизация – произведение действий по сортировке ПДн для выполнения целей обработки;

·         накопление – произведение действий по хранению ПДн после их сбора;

·         хранение – длительное хранение ПДн в базе данных ИСПДн для выполнения целей обработки;

·         уточнение (обновление, изменение) – внесение изменений в базу данных ИСПДн о субъекте ПДн;

·         использование – осуществление с помощью ПДн основной (производственной) и сопутствующей деятельности;

·         распространение – передача ПДн в другие организации и ИСПДн;

·         обезличивание – процесс деперсонализации ПДн;

·         блокирование – действие по приостановке процесса обработки ПДн;

·         уничтожение – изъятие ПДн из ИСПДн.

Уничтожение персональных данных, позволяющих определить субъекта персональных данных, производится по достижении целей обработки, в случае утраты необходимости в достижении целей, по письменному заявлению субъекта персональных данных или по истечению срока обработки персональных данных.

Персональные данные должны быть удалены из ИСПДн, однако могут быть занесены в архив.

Автоматизированная обработка (обработка с помощью средств автоматизации) осуществляется в информационных системах персональных данных (ИСПДн). ИСПДн представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Автоматизированная обработка регулируется Постановлением  «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Неавтоматизированная обработка (без использования средств автоматизации), регулируется Постановлением  «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Будем понимать под неавтоматизированной обработкой – обработку, производящуюся на неэлектронных носителях (бумаге).

К неавтоматизированной обработке относятся:

·         различные виды бумажных журналов (школьный журнал, учет прохода посетителей и т.п.);

·         личные дела сотрудников;

·         личные дела учащихся;

·         другие виды обработки, производящиеся исключительно на бумаге.

Законы

• Конституция Рoссийской Фeдерации Статья 23, Статья 24
• Федеральный закон от 27 июля 2006г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
• Федеральный закон от 27 июля 2006г. № 152-ФЗ "О персональных данных"
• Федеральный закон от 19 декабря 2005 г. № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
• Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации (Страсбург, 8 ноября 2001 г.)
• Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.)

Приказы

• Приказ федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 153 "Об утверждении формы уведомления об обработке персональных данных"
• Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Указы, постановления, распоряжения

• Указ Президента РФ от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"
• Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
• Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Рекомендации

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных