Алгоритм выполнения защиты персональных данных в общеобразовательных организациях
Шайхутдинова Ильсеяр Равхатовна, методист по ИКТ УМС
ИМО Управления образования г.Казани по Авиастроительному и Ново-Савиновскому районам
Сегодня, когда в образовательных организациях широко используются автоматизированные информационные системы и их технологии, информация о любом педагоге, ученике, а также о родителе, может стать в той или иной мере открытой и привести к ущемлению прав и законных интересов их, причинить им материальный ущерб или моральный вред. Это и другие возможные обстоятельства предопределили необходимость правового закрепления принципов, касающихся обработки персональных данных, положений о порядке их хранения и использования, о передаче персональных данных, о правах работников по их защите, об ответственности лиц за выполнение требований правовых норм, регулирующих указанные вопросы.
Образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных педагогов, учащихся и родителей.
В целях обеспечения защиты персональных данных учащихся, педагогов, работников в соответствии с федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты).
В соответствии со ст. 3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация.
Закон № 152-ФЗ определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в т. ч. в сфере трудовых правоотношений.
Требования закона распространяются на все организации (независимо от формы собственности), в т. ч. на образовательные организации, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).
В соответствии с ч. 1 ст. 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Обязанность по защите и ответственность за нарушения в сфере защиты персональных данных определены федеральными законами Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России и ФСБ России.
Федеральные законы определяют как персональную ответственность руководителя организации, так и ответственность юридического лица за допущенные нарушения. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. А также возможно вменение нарушителю ответственности не только за нарушения в сфере защиты персональных данных, но и за последствия и потери потерпевшего, которые могут измеряться миллионами рублей.
Положения о защите персональных данных учащихся, педагогов, работников регламентируются:
· Конституцией Российской Федерации;
· Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
· Трудовым кодексом РФ.
При планировании мероприятий в общеобразовательных организациях Авиастроительного и Ново-Савиновского районов, связанных с защитой персональных данных, привлекаются юристы, специалисты отдела кадров и методист учебно-методического сектора ИМО по информационной работе (компьютерным технологиям).
В районе работают школы центры-компетенций в электронном образовании (гимназии №7, 37, лицей №177) на базе которых проходят обучающие семинары и семинары-практикумы по данному направлению.
Кроме того, в общеобразовательных организациях разработаны локальные акты (нормативные и правовые), связанные не только с организационной и правовой, но и с технической защитой персональных данных учащихся; сформированы механизмы взаимоотношений с органами, осуществляющими управление в сфере образования, профсоюзными организациями, органами контроля и надзора и т. д.
Главным условием защиты персональных данных в общеобразовательных организациях является четкая регламентация функций работников, а также принадлежности работникам документов, личных дел, журналов персонального учета и баз данных.
Ключевым вопросом становится оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях, когда они отсутствуют, – получение согласия субъекта персональных данных на их обработку. При этом согласно Закону № 152-ФЗ обязанность доказательства согласия субъекта персональных данных на их обработку возлагается на оператора, т. е. на работодателя общеобразовательной организации.
Так как в общеобразовательных организациях обрабатываются персональные данные обучающихся и их родителей, поэтому предварительно школы, ДОУ, УДО получают согласие родителей на обработку персональных данных их самих и их детей.
При передаче персональных данных третьим лицам общеобразовательные организации должны иметь:
· основание для такой передачи, предусмотренного федеральными законами или согласия субъекта персональных данных, закрепленного, например, в договоре на оказание услуг;
· договор с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
Все эти процедуры в районе выполняются на основе приказов отдела образования.
Очень серьезно относимся мы и к вопросу размещения информации содержащей персональные данные на интернет-сайте общеобразовательных организаций. Для отслеживания этого процесса в общеобразовательных организациях назначены ответственные педагоги.
С учетом выше изложенного можно выделить следующие обязательные этапы работы общеобразовательных организаций по защите персональных данных учащихся, педагогов, работников, родителей:
1) определение всех ситуаций, когда требуется проводить обработку персональных данных;
2) выделение процессов, в которых обрабатываются персональные данные;
3) выбор ограниченного числа процессов для проведения аналитики (на этом этапе формируется перечень подразделений и работников, участвующих в обработке персональных данных в рамках своей служебной деятельности);
4) определение круга информационных систем и совокупности обрабатываемых персональных данных;
5) разработка пакета организационно-распорядительных документов для обеспечения защиты персональных данных (положения, приказы, акты, инструкции и т. п.);
6) внедрение системы обеспечения безопасности информации.
Следовательно, защита персональных данных учащихся, педагогов, работников, родителей в общеобразовательных организациях сводится к созданию режима обработки персональных данных, включающего:
· создание внутренней документации по работе с персональными данными;
· организацию системы защиты персональных данных;
· внедрение технических мер защиты персональных данных.
Таким образом, для общеобразовательных организаций обеспечение соответствия законодательству является весьма непростой задачей. Но рекомендации органа власти и имеющиеся на рынке сертифицированные информационные базовые продукты дают возможность решить ее с разумными затратами, не прибегая к излишним дорогостоящим и сложным мерам.
В номере
