Защита Персональных данных Ретова Елена Александровна

Содержание 1.Анализ изменений, внесенных в 152-ФЗ поправками от 25 июля 2011 года 2.Выполнение требований закона «О персональных данных» в образовательных учреждениях 3.Ответственность сотрудников за нарушение закона 152-ФЗ 2

Анализ изменений, внесенных в 152-ФЗ поправками от 25 июля 2011 года от 25 июля 2011 года 3

Закон о персональных данных в РФ Закон о персональных данных в РФ o была принята Советом Европы 28 января 1981 года o подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года o ратифицирована Федеральным законом 160 от 19 декабря 2005 года 4 Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» Федеральный закон 152 «О персональных данных» от 27 июля 2006 года Федеральный закон «261 от года «О внесении изменений в федеральный закон «О персональных данных»

Уточнен ряд базовых определений 152-ФЗ Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действий (операции), совершаемые с персональными данными. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 5

Основание обработки ПДн согласие субъекта ПДн достижение целей, предусмотренных международным законом или законом РФ для достижения правосудия для предоставления гос. и муниципальной услуги в соответствии с 210-ФЗ для исполнения заключения договора для осуществления прав и законных интересов оператора обработка общедоступных средств Согласие субъекта ПДн Может быть дано субъектом ПДн или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено федеральным законом Письменное согласие субъекта ПДн (подписанное ЭП) обработка специальных категорий ПДн (кроме исключений, определенных ФЗ) обработка биометрических ПДн (кроме исключений) трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн принятие решений, порождающих юридические последствия в отношении субъектов ПДн на основании исключительно автоматизированной обработки его ПДн включение ПДн субъекта в общедоступные источники 6

Меры по обеспечению безопасности, закрепленные в 152-ФЗ определение угроз безопасности применение организационных и технических мер в соответствии с установленными Правительством РФ уровнями защищенности назначение лица, ответственного за организацию обработки ПДн применение СЗИ, прошедших процедуру оценки соответствия оценка эффективности мер защиты до ввода ИСПДн в эксплуатацию учет машинных носителей ПДн обнаружение фактов НСД и принятие мер восстановление ПДн установление правил доступа к ПДн контроль за принимаемыми мерами и уровнем защищенности ПДн 7

Выполнение требований закона «О персональных данных» в образовательных учреждениях 8

9 Образовательное учреждение как оператор персональных данных Статья 3. Основные понятия, используемые в настоящем Федеральном законе Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действий (операции), совершаемые с персональными данными.

Глубинные проблемы соответствия законодательству о персональных данных отсутствие финансовых средств специфика построения информационных систем большое количество компьютеров отсутствие штатных специалистов по информационной безопасности сложность детерминации отношений между образовательным учреждением, обучаемыми, их законными представителями и иными лицами (родителями, опекунами, работодателями обучающихся, организациями, выделяющими гранты, стипендии и т.п.) 10

11 Президент требует реальной виртуальности Внедрение электронных образовательных ресурсов идет еще достаточно медленно Электронный журнал оценок с доступом родителей к оценкам через интернет и получение в ряде случаев SMS-оповещений используется только в школах в крупных городах Всегда приятно заглянуть, посмотреть на успехи своего ребенка или, наоборот, на двойку. (из выступления на выездном заседании Совета при Президенте по развитию информационного общества. Тверь, июль 2010г.)

12 О проблемах известно Главная проблема здесь – соответствие закону о персональных данных Должно быть прописано, какая информация доступна учителю, родителям или ребенку Электронные дневники реально ввести в школах уже к 2012 году, если на это будут выделены средства Сейчас существует реальная возможность передачи закрытой информации через интернет. Но для этого требуются определенные технические решения. В Минкомсвязи и Рособрнадзоре работают над этим (из интервью министра науки и образования А.Фурсенко газете «Коммерсант» по поводу требования Президента России)

Основные документы Рособразования по обработке персональных данных Письмо руководителя Рособразования от «Об обеспечении защиты персональных данных» Письмо руководителя Рособразования от «Об обеспечении защиты персональных данных» Рекомендации по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты ИСПДн Рекомендации по подготовке документов, регламентирующих обработку персональных данных в подведомственных Рособразованию учреждениях Сведения о характеристиках ИСПДн (примеры заполнения) Письмо руководителя Рособразования от «Об обеспечении защиты персональных данных» 13

14 И что же делать? Выполнять закон! Dura lex, sed lex И другого пока нет!

Ответственность сотрудников за нарушение закона 152-ФЗ 15

Ответственность за нарушение требований по обращению с персональными данными Лица, виновные в нарушении требований закона «О персональных данных», несут ответственность: гражданскую административную Дисциплинарную Уголовную иную, предусмотренную законом РФ 16

Спасибо за внимание! Вопросы? Ретова Елена Александровна 17