От Автора
Уважаемые, дорогие Учителя! Знаю, знаю я, что Вы очень-очень заняты. Но мы живем в век бурного развития информационных технологий и уже активно в нашу жизнь входят разные «гаджеты». С одной стороны это облегчает общение и повышает коммуникативность, а с другой – увеличивают те риски, о которых раньше мы и не подозревали. Я говорю об информации, вернее о тех проблемах, которые возникают при ее обработке и которые могут причинить вред. Информация всегда играла важную роль в жизни человеческого общества, являясь основой его духовного развития, и любая социальная деятельность связана с процессом сбора и обработки информации. Информация, представляя собой накопленные человечеством знания, является гуманитарной ценностью, которая служит формированию культуры и нравственности, образованию и воспитанию подрастающих поколений. Но многие ли задумываются при этом о том, на сколько безопасно использовать эти современные средства для передачи информации и можно ли им доверять свои тайны.
Живя в эпоху откровений Сноудена и бурного обсуждения проблем «электронного» беспардонного влезания в частную жизнь, в полный рост встает проблема защиты информации. Это та сфера, которая затрагивает практически каждого человека на каждом шагу. Но раскрыть все нюансы этой глобальной проблемы в этой книге не получится – слишком мало места и слишком мало времени, да и задача у нас иная. Поэтому остановимся только на одном, но довольно важном аспекте: защите персональных данных. Здесь Вы найдете и некоторые рекомендации как защищать персональные данные в школах, которые могут быть Вам полезны в практической деятельности.
Задача автора не рассказывать об ужасах, связанных с неправильной защитой персональных данных, а показать и убедить Вас в важности этой проблемы и необходимости совершения определенных действий. Я прекрасно понимаю, то что ясно и понятно специалисту, вызывает определенные трудности для тех, кто с этим не связан. Защита информации – сфера хитрая, здесь образовался конгломерат из технических и юридических знаний (и чего больше – трудно сказать) и, подчас, даже специалистам трудно найти общий язык. Все это так, но защищать персональные данные надо. В том числе и Вам, учителям. Поэтому, попробую вести простой разговор, стараясь объяснить трудные моменты.
Я надеюсь, что эта книга будет полезна не только тем, кому будет поручена задача защиты персональных данных в школе, но и просто неравнодушным учителям, которые любят и уважают своих подопечных и заботятся об их благополучии.
Глава I. Общеобразовательная
Самая высокая степень человеческой мудрости - это умение приспособиться к обстоятельствам и сохранять спокойствие вопреки внешним грозам.
Даниель Дефо
Проблема защиты персональных данных – это, наверное самая «вопросоемкая» сфера обеспечения безопасности информации на сегодня. С одной стороны это еще очень и очень молодая область деятельности – еще и десяти лет не насчитывает. А требования закона по защите персональных данных – жесткие. Но, для того чтобы говорить на одном языке надо вначале познакомиться с некоторыми категориями, которые используются в этой предметной области.
О чем пойдет речь
Уже из названия понятно, что речь пойдет о защите персональных данных. В рассматриваемой предметной области можно выделить две важнейшие категории: персональные данные и защита. Казалось бы, что на бытовом уровне здесь все ясно и понятно, однако, на самом деле мы затрагиваем некоторые юридические аспекты процесса обработки и оборота персональных данных, а в этой области должно быть все четко определено. Итак, без длинных предисловий начнем.
Что такое персональные данные?
Подсчитано, что в законах и подзаконных актах упоминается более 40 видов тайн1. Но есть группа тайн, которая касается всех и каждого. Неприкосновенность частной жизни – конституционное право каждого гражданина.
Признаки отнесения информации к персональным данным
Конституция декларирует недопустимость сбора, хранения, использования и распространения информации о частной жизни лица2. В содержание тайны частной жизни входят конфиденциальные сведения, составляющие личную, семейную тайну лица, тайну переписки, почтовых, телефонных переговоров и иных сообщений, тайну голосования, тайну усыновления, персональные данные. Особое место в этой когорте занимают персональные данные. Это не только фамилия, имя и отчество. Закон гласит: персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)3. Словосочетание «любая информация» ясно указывает на широкое определение этого понятия. На сколько это понятие может быть широким, иллюстрирует такой пример4: в ходе судебного процесса по вопросу об опеке над девочкой был произведен нейро-психиатрический анализ ее состояния, в ходе которого был представлен ее рисунок, характеризующий ее семью. Рисунок содержал информацию о ее состоянии (состояние здоровья с психиатрической точки зрения) и то, что она думала о поведении отца и матери. Суд признал, что рисунок содержит сведения, которые относятся к персональным данным. Не менее важную смысловую нагрузку в определении несет и слово «относящаяся». И этого следует важный вывод: составить исчерпывающий список сведений, которые составляют персональные данные – невозможно.
На первый взгляд сведения тогда относятся «к лицу», когда они «о лице». Но это не совсем так. К примеру, при приеме на работу учитель заполняет кадровую форму Т-2 в которой указываются сведения о родственниках. И эти персональные данные уже будут «относиться» не только учителю, но также и к его родственникам.
Персональные данные могут быть в любой форме – текстовой, цифровой, графической, видео или акустической. Сюда входит все: и информация, зафиксированная на бумаге, и информация, хранимая в памяти компьютера как в двоичной виде, так и в виде, например, звука и изображения.
Итак, определяющими признаками отнесения той или иной информации к персональным данным являются:
возможность прямо или косвенно определить на основании этой информации конкретное физическое лицо (субъекта), которому принадлежат эти данные;
возможность прямо или косвенно отнести эту информацию к уже определённому физическому лицу (субъекту).
Персональные данные – не однородны. Есть несколько особых категорий таких данных. В зависимости от категории накладываются разные ограничения на их обработку, а, следовательно, защищаются такие данные по-разному.
Идентификационные персональные данные
Для того, чтобы информация попала в разряд персональных данных, должно быть, чтобы либо уже кто-то ранее установил конкретное лицо к которому относится информация, либо по этой информации в данный момент можно установить какое-либо конкретное лицо. Но для этого надо иметь определенного рода информацию, которая, позволяет однозначно идентифицировать это лицо. Такую информацию называют идентификационной информацией. Это важная категория персональных данных, крайне необходимая для установления личности.
У каждого человека с момента его рождения появляются определенные права. И среди этих прав весьма достойное место занимает неотчуждаемое неотъемлемое личное право на имя5. Именно имя по закону является средством индивидуализации личности и гражданин приобретает и осуществляет свои права и обязанности под своим именем, включающим фамилию и собственно имя и отчество6. Каждый гражданин имеет паспорт – основной документ, удостоверяющий личность. В Положении о паспорте есть пункт, в котором сказано: «В паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата и место рождения7». Но, в жизни все проще. В классном журнале указаны только фамилия и имя учащегося, но этого достаточно учителю, чтобы общаться с ним. Таким образом, можно констатировать:
фамилия, имя, отчество, пол, дата и место рождения в совокупности являются полными идентификационными персональными данными;
даже по сокращенному (неполному) набору данных можно идентифицировать субъекта, но с вероятностью ошибки.
Биометрические персональные данные
Биометрические персональные данные – это физиологические особенности конкретного человека8. Эти особенности являются объективной реальностью и не зависят ни от субъективных факторов, ни от способа их обработки, ни от целей обработки.
Закон накладывает ограничения при обработке биометрических персональных данных для целей его идентификации (требуется письменное согласие субъекта). В остальных случаях ограничений нет. Если, например, где-то хранится фото, но не используется для идентификации субъекта, оно, не переставая быть биометрическими персональными данными, не требует получения письменного согласия субъекта для обработки.
Можно ли по отпечатку пальца идентифицировать субъекта? Если кто-то нашел на улице предмет с отпечатком пальца, единственное, что можно сказать, что этот предмет держал человек, а не примат. Но кто конкретно держал невозможно сказать до тех пор, пока найденный отпечаток не будет сверен с дактилоскопической базой данных, где имеются идентификационные данные субъекта. То есть в данном случае отпечаток пальца послужил дополнительным идентификатором субъекта, но сам по себе не определил субъекта.
Таким образом:
биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека;
биометрические персональные данные объективны, уникальны и присущи именно конкретному субъекту;
сами по себе биометрические персональные данные не являются идентифицирующими данными, а служат только идентификатором, но и на их основе можно установить личность;
ограничения в виде необходимости получения письменного согласия субъекта на обработку биометрических данных накладываются только в том случае, если они используются для установления личности.
Из этого, например, следует, что при размещении фотографии школьников или учителей на школьном сайте письменное согласие субъекта требуется только в том случае, если помимо фотографии указана дополнительная информация, позволяющая идентифицировать субъекта. Размещение общих фотографий или фотографий отдельных субъектов с недостаточным для идентификации набором персональных данных (например, только имя или класс учащегося) не требует обязательного согласия субъекта.
Специальные категории персональных данных
Специальные категории персональных данных – это данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни9. Эта категория охватывает наиболее чувствительную область частной жизни и, как правило, субъекты проявляют особую заботу о них. На их обработку накладываются самые жесткие ограничения. Так, общая норма закона гласит, что обработка специальных категорий персональных данных, не допускается. Хотя, как и всегда, есть и исключения. Например, субъект дал согласие в письменной форме на обработку специальных категорий персональных данных или добровольно сделал их общедоступными, а также когда законодательством предусмотрена (специально оговорена) необходимость обработки таких данных для целей:
переписи населения,
социальной помощи,
защиты жизни и здоровья,
усыновления,
пенсионного обеспечения,
медико-профилактических целей,
осуществления правосудия.
Действия с этими данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб.
Общедоступные персональные данные
Ещё одна, категория – общедоступные персональные данные. Это такие персональные данные, которые стали общедоступными по воле самого субъекта. И на обработку таких персональных данных никаких ограничений не накладывается и никакого согласия не требуется10. Правда, прежде чем их обрабатывать, необходимо доказать, что эти персональные данные сделаны общедоступными самим субъектом11. Эту категорию нельзя путать с понятием, «персональные данные, включённые в общедоступные источники». Это разные понятия. Общедоступные источники (источники, создаваемые в целях информационного обеспечения) формируются кем-то для каких-то целей (например, телефонный справочник) и здесь требуется письменное согласие субъекта12, а перевод персональных данных в категорию общедоступных (например, публикация на школьном сайте) – это либо право самого субъекта, либо требование закона13 (например, данные о кандидате в ходе избирательной компании). И при этом никакого согласия не требуется, ни письменного, ни устного.
Что такое защита персональных данных?
В современной литературе по проблемам защиты информации, иногда понятие объект защиты ассоциируется с информационной сетью, системой или отдельным компьютером. Это не верно. И сеть, и система, и отдельный компьютер всего лишь средства обработки информации. Злоумышленник проникает в компьютер не для того, чтобы нарушить его работу, а для того, чтобы завладеть информацией или затруднить возможность ее использования. То есть, главной целью злоумышленника является именно информация. Но, всякая сущность ценна не сама по себе, а потому, что она обладает полезными свойствами, которые и требуют защиты. Каковы же эти свойства?
Три кита защиты информации
Конфиденциальность. Накладывая ограничения на доступ к персональным данным, субъект защищает свои законные права и интересы. Здесь проявляется первое полезное свойство информации: конфиденциальность – неизвестность информации лицам, не имеющим право доступа к ней. Это свойство, очень специфическое: либо оно есть, либо его нет. Третьего не дано. Если конфиденциальность утрачена (информация стала известна), то это уже навсегда. Восстановлению она не подлежит. Именно поэтому всем операторам, обрабатывающим персональные данные законом вменена обязанность безусловного соблюдения их конфиденциальности14.
Целостность. Конечно же субъекту важна неискаженная информация. Любые изменения в персональных данных могут затронуть его интересы. Здесь проявилось второе полезное свойство информации: целостность – способность информации не подвергаться изменению. Целостность, в отличие от конфиденциальности, достаточно эластична. В одном случае даже малейшее изменение персональных данных (например, даты рождения) может привести к необратимым последствиям, а в другом – даже утрата некоторой части данных (например дневника) не влияет на интересы субъекта. При обработке персональных данных оператор должен оберегать их от неправомерного или случайного уничтожения или изменения15.
Доступность. Субъекту важно получать информацию именно тогда, когда она ему нужна, когда возникает необходимость. Здесь проявляется третье полезное свойство информации: доступность – свойство персональных данных быть доступными и использоваться по запросу со стороны субъекта. А оператор должен обеспечить доступность персональных данных (защитить от блокирования)16.
Эти свойства составляют каноническую триаду безопасности информации:
конфиденциальность,
целостность,
доступность.
Защита персональных данных как раз и нацелена на сохранение трех полезных свойств информации, в значительной степени влияющие на ее ценность.
Система защиты персональных данных
Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных17:
от неправомерного или случайного доступа к ним,
от уничтожения,
от изменения,
от блокирования,
от копирования,
от распространения,
Защита персональных данных это не только «техническая» проблема, заключающаяся в установке средств защиты. Это комплексная задача и решается она созданием целостной системы защиты в равной степени объединяющей:
набор правил (локальные документы, определяющие порядок защиты),
«человеческий фактор» (персонал, выполняющий эти правила),
«активную составляющую» (набор технических мер защиты)
«пассивную составляющую» (комплекс организационных мероприятий для поддержки исполнения установленных правил и реализации мер защиты).
Вся эта совокупность элементов в той или иной степени задействована в процессе обработки персональных данных и должна быть направлена на ликвидацию угроз безопасности персональным данным и достижение требуемого уровня их защищенности. Надежность любой сложной системы определяется надежностью ее самого слабого элемента. Поэтому при ее создании должна быть обеспечена одинаковая надежность всех ее элементов по отдельности. В результате вокруг персональных данных создается целостная и доверенная среда, исключающая возможность несанкционированных действий с ними (модификации, уничтожения, блокирования, копирования). И, если правила обработки разрабатываются непосредственно оператором и рассчитаны на его персонал («человеческий фактор»), то состав и содержание организационных и технических мер определяются уполномоченными федеральными органами власти (ФСТЭК России, ФСБ России), а оператор имеет право выбрать нужные ему меры.
Что такое «оператор персональных данных»?
Ранее уже встречалось понятие «оператор персональных данных» или просто, «оператор». Оператор – это государственный орган или юридическое лицо самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных18. То есть, школа (образовательное учреждение) как юридическое лицо, является оператором. В определении содержатся основные полномочия оператора. Это лицо, которое:
организует и (или) осуществляет обработку персональных данных;
определяет цели обработки персональных данных;
определяет состав персональных данных, подлежащих обработке;
определяет действия, совершаемые с персональными данными.
Самое главное полномочие оператора – это право определять цели обработки персональных данных. Из определения следует также, что оператор вправе поручить обработку персональных данных другому лицу. Это очень полезно.
Но, оператор несет и определенную ответственность. Именно он получает согласие субъекта на обработку персональных данных, в том числе письменное. Каждый субъект вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения, если информация является неполной, устаревшей, неточной, незаконно полученной, а оператор обязан принять необходимые меры. Ну, и наконец, оператор несет всю полноту ответственности, предусмотренную законодательством, если нарушены интересы субъекта.
В плане защиты информации, именно оператор обязан принимать меры, необходимые для обеспечения защиты персональных данных в том числе он19:
назначает ответственного за организацию обработки персональных данных;
издает документы, определяющие политику обработки персональных данных;
выбирает организационные и технические меры по защите персональных данных;
знакомит сотрудников, с положениями законодательства и требованиями к защите;
осуществляет внутренний контроль за обработкой персональных данных;
оценивает вред, который может быть причинен субъектам неправомочными действиями.
Из смысла понятия «оператор» следует еще одно важное наблюдение. Порядок обработки и защиты персональных данных, установленный законом, не распространяется на тех, кто не является юридическим лицом. Если персональные данные обрабатываются самим субъектом исключительно для личных и семейных нужд и если при этом не нарушаются права других субъектов, то каждый волен поступать как хочет. Можно спокойно использовать смартфон или планшетник, в котором есть адресная книга и ни у кого не спрашивать согласия.
О роли согласия
Одним из важнейших условий обработки персональных данных является наличие явного согласия субъекта персональных данных на их обработку. Без такого согласия любые действия с персональными данными – незаконны. Каждый из нас постоянно сталкивается в повседневной жизни с тем, что надо свои данные кому-то сообщить, что бы взамен что-то получить или сделать. Заходим в банк, сообщаем свою фамилию, номер счета и получаем доступ к своим денежным средствам, заходим в аптеку, показываем социальную карту и получаем скидку. Но есть и другие, более серьезные поводы сообщать свои персональные данные. И всегда мы должны давать свое согласие.
Что такое согласие субъекта?
Согласие – это свидетельство того, что субъект принял решение о предоставлении своих персональных данных для обработки в соответствии с целями, которые заявляет оператор. Субъект вправе отозвать свое согласие и тогда необходимо прекратить обработку его персональных данных. Закон определил пять случаев, когда требуется получение согласия в письменной форме:
если персональные данные будут размещаться в общедоступных источниках,
если будут обрабатываться специальные категории персональных данных,
если биометрические персональные данные используются для идентификации,
если персональные данные передаются заграницу в страну, где нет защиты,
если будет приниматься значимое решение на основе исключительно автоматизированной обработки персональных данных.
В остальных случаях форма, в которой должно быть получено согласие – не оговаривается. Но в любом случае бремя доказательства наличия согласия субъекта лежит на операторе20.
Конклюдентное действие, как вид согласия
Надо отметить, что субъект дает согласие на обработку персональных данных своей волей и в своем интересе. С точки зрения гражданского права такие действия односторонними сделками21. Сделки могут совершаться устно или письменно. При этом, устная сделка считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку (конклюдентные действия). То есть, не обязательно выражать свою волю словами, достаточно это сделать каким-то понятным действием, например, ответить на вопрос: «Вы согласны передать ваши персональные данные?» – просто кивнув головой. Согласие на обработку персональных данных может быть выражено конклюдентным действием. Можно, например, «кликнуть» мышкой в определенном месте сайта. И такое согласие не противоречит закону.
Некоторые исключения.
Существуют случаи, когда согласия субъекта не обработку персональных данных не требуется. Такие случаи обязательно должны быть оговорены законами. Например, согласия не требуется, если персональные данные обрабатываются для осуществления правосудия или исполнения судебного акта, предоставления государственных услуг, осуществления профессиональной деятельности журналиста. Не требует согласия и обработка общедоступных персональных данных и данных, подлежащих опубликованию или обязательному раскрытию по закону.
Но есть случай, который особо важен для школ (образовательных учреждений). Согласия не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого является сам субъект. Это исключение позволяет не требовать согласия при обработке персональных данных сотрудников школы, если эти данные обрабатываются в рамках трудового договора, например, при ведении кадрового и бухгалтерского делопроизводства.
От общего к частному.
Попробуем приложить основные понятия к практической области и посмотреть как это ложится на школьную жизнь.
Где и какие персональные данные есть в школе?
Деятельность любой школы связана с обработкой персональных данных различных категорий субъектов:
учащиеся (переменный состав),
родители и законные представители учащихся,
учителя и преподаватели (постоянный состав),
обеспечивающий персонал (бухгалтерия, делопроизводство и др.),
персонал взаимодействующих организаций (охрана, пищеблок и др.)
Каждая из этих категорий находится в разных правовых отношениях со школой как оператором персональных данных.
Главное в школе – учебный процесс. Он сопровождается целым рядом атрибутов, в которых могут содержаться персональные данные учащихся, их родителей, учителей. Это традиционные «бумажные» документы, такие, как:
классные журналы, ведомости,
тетради и дневники учащихся,
анкеты и характеристики учащихся,
личные дела учащихся.
Как правило, защита персональных данных в этом случае осуществляется традиционными методами: учетом документов и организацией их хранения. Этим ограничиваются. Однако, на самом деле здесь также необходим полный комплекс организационных мер защиты, но об этом чуть позже.
В учебный процесс все шире внедряются современные информационные технологии и появляются:
электронные дневники,
школьные сайты,
социальные электронные карты и электронные карты учащихся,
школьные информационные системы и форумы,
специальные системы (Школьный офис, Карта учащегося, База данных ЕГЭ),
системы дистанционного обучения и многое другое.
За порядком в школе тоже надо следить. Уже во многих школах активно применяются современные средства охраны и контроля, которые также могут обрабатывать персональные данные, в том числе, возможно, и биометрические:
системы видеонаблюдения,
системы контроля и управления доступом в помещения школы.
Зачастую внедряя современные технологии никто не задумывается о необходимости защиты информации в целом и персональных данных при их использовании. А именно обработка персональных данных с использованием этих технологий наиболее подвержена различным угрозам. Чаще всего школьные информационные системы являются собственной разработкой и служат для широкого спектра целей: ведения учебной статистики, составления расписаний, ведение электронного журнала. Основными особенностями данных систем является то, что обработка данных в них производится исключительно для внутренних целей школы в основном для упрощения учебного процесса. В таких системах, как правило, одновременно обрабатываются персональные данные учащихся и преподавателей.
Деятельность школы (образовательного учреждения) не ограничивается только самим учебным процессом. Это, хотя и важная, но не единственная составляющая школьной жизни. Не будем забывать и о тех, кто учит и обеспечивает процесс познания. Учителей и обеспечивающий персонал связывают со школой определенные трудовые отношения. И в ходе этих отношений возникают различные ситуации, когда необходима обработка всего спектра их персональных данных, в том числе и с применением компьютеров и информационных технологий:
кадровая работа (прием и увольнение, отпуска, аттестация и пр.)
бухгалтерия (начисление и выплата заработной платы, пособий и пр.),
отчетность перед государственными органами образования,
проведение служебных расследований и работа с жалобами.
Кроме того, школа, как самостоятельный хозяйствующий субъект находится в договорных отношениях с различными организациями:
охранные предприятия,
интернет провайдеры и провайдеры связи,
предприятия питания,
строительные и подрядные организации и пр.
Здесь, с одной стороны появляется возможность ознакомления сотрудников школы с персональными данными сотрудников других организаций, а с другой стороны не исключается возможность ознакомления этих «чужих» сотрудников с персональными данными постоянного и переменного состава школы. И эти вопросы тоже надо урегулировать и обеспечить защиту и тех и других.
Не будем забывать и о медицинских кабинетах и пунктах в которых обрабатываются особые (специальные) категории персональных данных, требующие особого внимания и защиты, например, медицинские карты.
Примерный перечень документов (ресурсов) обрабатываемых в школе (образовательном учреждении), в которых могут находиться персональные данные приведен в приложении к данной книге (Приложение № 9).
Особенности получения согласия от несовершеннолетних
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель22. Полной дееспособностью обладают лица, достигшие восемнадцатилетнего возраста и в некоторых случаях, оговоренных Гражданским кодексом23, приобретшие полную дееспособность несовершеннолетние в возрасте от 14 до 18 лет. Законными представителями своих детей являются их родители24. Именно они выступают в защиту прав и интересов ребенка в отношениях с любыми физическими и юридическими лицами без специальных полномочий. За несовершеннолетних, не достигших четырнадцатилетнего возраста могут совершаться только их родителями или законными представителями, а сделки в возрасте от четырнадцати до восемнадцати лет совершаются несовершеннолетним только с письменного согласия родителей25, иначе они признаются оспоримыми26 и могу быть признаны недействительными.
Таким образом, согласие на обработку персональных данных несовершеннолетних учащихся в возрасте до 14 лет могут дать только родители, а в возрасте старше 14 лет, такое согласие дают сами учащиеся, но с письменного согласия их родителей или законных представителей.
Кто есть кто
Организуя обработку персональных данных важно определить какой статус имеет школа по отношению к обрабатываемым персональным данным. От этого зависит кто имеет право устанавливать правила их обработки и требования по защите, а кто обязан выполнять эти правила и требования. В предыдущих разделах мы уже отмечали, что школа является оператором. Однако, это только общее заявление.
По отношению к тем или иным персональным данным школа может выступать как оператор или обработчик. И если, как было уже отмечено, оператор определяет цели обработки и выдвигает требования, то обработчик действует в интересах оператора и выполняет его поручение, в том числе и защищает персональные данные в соответствии с требованиями оператора. При этом, именно на операторе остается ответственность перед субъектом за все нарушения, а обработчик несет регрессную ответственность перед оператором. Именно оператор отвечает за получение согласия субъекта на обработку персональных данных и, если это требуется, уведомляет контролирующие органы (Роскомнадзор) об обработке персональных данных.
Статус школы (образовательного учреждения) по отношению к тем или иным персональным данным, которые могут обрабатываться в ее информационных системах, приведен в приложении к данной книге (Приложение № 3).
|
