Рекомендации по защите персональных данных
Правовая основа работы с персональными данными
Школы, университеты, средне специальные учебные заведения логично стали основной базой для внедрения новейших систем обработки персональных данных. Образовательные учреждения предназначены для подготовки кадров, адаптированных к электронному делопроизводству и в качестве преподавателей, и в роли рядовых пользователей. Общая культура безопасности данных должна прививаться гражданам в любом возрасте без исключения, а общеобразовательные учреждения – первое место, где может культивироваться уважение к закону в общем, и к конфиденциальности приватной информации в частности. Именно в сфере образования лучше всего внедряется понимание законности или незаконности оперирования данными о гражданине.
Защита персональных данных включает как юридический, так и технический аспекты правового регламентирования. Электронное обеспечение сбора информации – технический вопрос, а сама организация процесса относится в большей степени к вопросам делопроизводства, чем к актуальной юридической практике.
Защита ПДн работников (учителей, научных сотрудников, административных штатных единиц, системных администраторов и иного техперсонала) подпадает под действие следующих законодательных актов:
- — Конституции РФ;
- — Закона № 149-ФЗ, описывающего защиту данных в аспекте информтехнологий и сами информационные технологии;
- — Закона № 152-ФЗ, регламентирующего правовое положение персональных данных;
- — ТК РФ;
- — многочисленных ведомственных и подзаконных правовых актов.
Третья статья закона № 152-ФЗ подразумевает под «персональными данными» любые биографические данные по субъекту – физическому лицу:
- — его полное имя;
- — год и число рождения;
- — фактический адрес и место регистрации;
- — профессию и квалификационные навыки гражданина;
- — уровень и время получения образования;
- — размеры доходов и объем уплаченного налога;
- — социальное положение;
- — недвижимые и иные активы;
- — семейный статус и прочие социальные, финансовые, юридические факты о гражданине.
Вторая статья этого же закона допускает обработку персональных данных исключительно в объемах, необходимых для обеспечения рабочего процесса, с гарантией неприкосновенности приватной жизни. Этот же закон регламентирует все требования по обращению с конфиденциальной информацией. Распространяется ФЗ № 152 на все организации на территории РФ, включая учебные учреждения, которые являются операторами по обработке персональных данных. 19-я статья этого документа определяет, что именно на оператора возлагаются все организационные и технические вопросы как по сбору, так и по защите потенциально уязвимого приватного материала.
17.11.2007 № 781 исполнительная власть одобрила Положение, касающееся безопасности ПД в условиях применения электронных систем. В этом нормативном акте описан полный комплекс необходимой материальной части, к которой непосредственно относятся:
- — записывающая аппаратура;
- — принимающие персональную информацию терминалы;
- — элементы используемых сетей и все сопутствующее этой работе ПО.
Конкретные версии программ и модели оборудования оговариваются особо в профильных документах, составленных Минобразования и специальными уполномоченными органами.
Статья 22 Закона № 152-ФЗ требует от оператора обязательного уведомления компетентных органов непосредственно перед началом обработки персональных данных. Процедура необходима для предотвращения потенциальных злоупотреблений, нарушений и контроля над выполнением образовательными учреждениями требований законодательства в сфере обработки ПДн.
В качестве уполномоченного органа законодательство РФ определяет Россвязькомнадзор, который в 2008 году разработал и заверил соответствующие образцы Уведомления о начале обработки ПДн и Рекомендации по их оформлению. Оператор может не уведомлять Россвязькомнадзор, если граждане, предоставляющие свои персональные данные оператору, находятся с ним в трудовых отношениях. Университет, колледж, иное образовательное учреждение могут осуществлять такую деятельность относительно преподавателей без создания Уведомления.
Действия по защите персональных данных
Образовательные учреждения при разработке мероприятий по защите ПДн привлекают к обработке персональных данных юристов, кадровиков, создают отделы компьютерных технологий.
Юридическую часть и направления работы в этой сфере составляют операции по:
- — разработке локальных актов, которые будут регламентировать организацию, юридическую, техническую часть деятельности с ПДн;
- — определению процедуры взаимодействия со всеми надзорными органами;
- — распределению функций между сотрудниками, закреплению между ними задач по ведению документооборота, обработке, хранению персональных данных.
Специфика учебных заведений требует обрабатывать личные данные не только учащихся, но и их родителей, если речь идет о первичных уровнях российских учебных заведений.
Процедура передачи конфиденциальных данных третьим лицам нуждается в особом подходе:
- — основаниями для подобных действий могут быть требования федерального законодательства, органов правосудия;
- — получение письменного согласия субъекта ПДн;
- — заключение договора с третьими лицами, в котором должны содержаться их заверения в обеспечении полной конфиденциальности и сохранности данных в процессе обработки.
Такие же требования должны соблюдаться при работе с ПДн при обработке с помощью компьютерной техники, интернет-ресурсов общеобразовательных учреждений.
Обязанности работодателей в вопросах защиты ПДн
Работодатель, в соответствии со статьей 21 ФЗ № 152, должен:
- — заблокировать ПДн работника образовательного учреждения по его требованию или требованию его законных представителей, если такая информация не является достоверной, с ней проводились незаконные действия, оператор должен уточнить или изменить такие данные на основании предоставленной субъектом информации;
- — исправить нарушения, если они были найдены в течение не более 3 рабочих дней, начиная со дня их выявления. Если устранить их в течение этого периода времени нет возможности, оператор должен уничтожить эти сведения. Информацию об устранении нарушений, выполнении процедуры уничтожения ПДн работодатель должен направить субъекту, его представителям или уполномоченному органу;
- — незамедлительно остановить обработку ПДн, уничтожить их, если субъект отозвал свое согласие на эти действия на протяжении 3 рабочих дней после получения уведомления, если другое не предусматривается законодательством.
Этапы защиты персональных данных
- 1. Анализ необходимости и объемов обработки ПДн.
- 2. Анализ и определение информационных процессов обработки конфиденциальной информации.
- 3. Создание перечня отделов и штатных единиц, задействованных в обработке персональных сведений.
- 4. Суммирование информсистем и анализируемых вводных.
- 5. Определение категорий собираемой в будущем информации.
- 6. Издание пакета распорядительных документов по обработке ПДн.
- 7. Разработка эффективной системы безопасности.
Локальная защита ПДн работников общеобразовательных учреждений
Ст. 85 ТК РФ трактует конфиденциальной информацией данные о штатных единицах и все запрашиваемые сведения по штатным сотрудникам образовательного учреждения, необходимые оператору для совершения действий, прописанных в трудовых договорах. Какие конкретно сведения подлежат защите и относятся к категории конфиденциальных, должен решать сам работодатель, учитывая текущее законодательство. Статья 87 ТК РФ требует разработки, внедрения и поддержания работодателем процедуры архивирования, сохранности и обработки ПД сотрудников.
Первичным документом выступает Положение о сборе и защите ПДн сотрудников, в ходе имплементации которого обязательно учитывается мнение уполномоченных профсоюзных ячеек в соответствии с требованиями статьи 372 ТК РФ. В этом законодательном акте регламентирован порядок оперирования персональными данными, содержатся методики и принципы обеспечения базовых информационных прав штатных сотрудников, определение ответственных лиц и рангов доступности ПДн по разным категориям штатных сотрудников, определение санкций за нарушения, допущенные в работе с ПДн сотрудников.
Составление Положения – обязанность, которую необходимо выполнить оператору ПДн, отсутствие этого документа квалифицируется как прямое нарушение оператором федеральных законов.
Защита персональных данных в образовательном учреждении состоит из следующих мероприятий:
- — при получении конфиденциальной информации необходимо письменное согласие от собственника ПДн на их обработку, а также на возможность передачи этих данных третьим лицам в рамках действующего законодательства и в объемах, необходимых для выполнения его требований и реализации рабочего процесса в образовательном учреждении;
- — во время хранения ПДн требуется издать приказ об ответственных лицах из числа персонала, которые будут иметь доступ к этим документам, включая приватные данные, не подлежащие разглашению.
Работодатель (руководитель образовательного учреждения) – юридический объект, который отвечает за конфиденциальность данных, полученных для обработки в рамках трудовых взаимоотношений. В его ведении должны находиться соответствующие журналы контрольного внутреннего и исходящего учета персональных данных, содержащие, помимо описи конфиденциальных документов, порядок их изъятия из хранилища и передачи в третьи руки. В число этих лиц входят как представители различных юрлиц, так и государственные контрольно-надзорные органы, инстанции правопорядка, представители судебной системы.
Непосредственно сам Журнал учета внутреннего доступа к персональным данным (наименование условно и регламентации отдельно не подлежит, главное, чтобы оно точно указывалось в отчетной документации) должен содержать:
- — даты документооборота личных дел (выдача-возврат);
- — срок пользования;
- — цели, с которыми документ выдавался;
- — сам перечень выдаваемых документов.
Сотрудник, который работает с личным делом другого сотрудника, ни в коем случае не имеет права вносить в документ какие-либо правки.
Образовательное учреждение должно вести Журнал учета наружного оборота персональных данных работников, содержащий все поступающие запросы, информацию о том, кто этот запрос направил в учреждение, дату начала документооборота по делу либо пометку об отказе выдать интересующие сведения, также указывать конкретную переданную информацию.
Качественная система учета персональных данных требует проведения периодических проверок наличия личных дел и иных носителей конфиденциальной персональной информации, установления четкого порядка документооборота.