Приложения.
Приложение 1. Основные нормативные правовые акты, по обеспечению безопасности персональных данных в школе
Перечень основных нормативных правовых актов
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. ETS № 108. Страсбург, 1981 г.
Конституция Российской Федерации
Федеральный закон № 223-ФЗ, 1995 г. «Семейный кодекс РФ (СК РФ)» (ст. ст. 15, 139)
Федеральный закон № 197-ФЗ, 2001 г. «Трудовой кодекс РФ (ТК РФ)» (гл. 14)
Федеральный закон № 195-ФЗ, 2001 г. «Кодекс РФ об административных правонарушениях (КоАП)»
Федеральный закон № 152-ФЗ, 2006 г. «О персональных данных» (в ред. № 261-ФЗ, 2011 г.)
Федеральный Закон № 149-ФЗ, 2006 г. «Об информации, информационных технологиях и защите информации»
Федеральный закон № 27-ФЗ, 1996 г. «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования» (ст. ст. 2, 6)
Федеральный закон № 326-ФЗ, 2010 г. «Об обязательном медицинском страховании в РФ» (ст. 47)
Федеральный закон № 323-ФЗ, 2011 г. «Об основах охраны здоровья граждан в РФ» (ст. ст. 13, 92)
Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ Роскомнадзора от 05.09.2013 г. № 996 «Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе функционирующих в рамках федеральных целевых программ»
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 2008 г.
Краткий анализ Федерального закона № 152-ФЗ «О персональных данных»
Закон «О персональных данных51» находится на перепутье между публичными и частными федеральными законами. С одной стороны он регулирует весьма узкую и специфическую область отношений – обработку и защиту персональных данных и поэтому может считаться частным, а с другой стороны, эта узкая область затрагивает интересы каждого гражданина и поэтому его можно отнести к публичным.
Защита конституционных прав и свобод гражданина – одна из важнейших функций государства. Обеспечивая защиту персональных данных, государство тем самым создает благоприятную обстановку для всестороннего развития граждан и общества в целом. Этот закон является базовым, устанавливающим критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных.
Надо сказать, что это уже вторая редакция закона. Новая редакция максимально приближена по своим положениям к нормам международного права52. В новой редакции закона уточнена сфера его действия используемые в нём основные понятия. Существенно уточнены принципы и условия обработки персональных данных. Переработаны нормы, регламентирующие права и обязанности оператора, взаимоотношения оператора и субъекта, вопросы трансграничной передачи данных, меры по обеспечению безопасности персональных данных. Хотя концепция закона не изменилась, он получил существенно новое наполнение.
Закон основан на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну53, запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия54, возможность ознакомления с документами и материалами, непосредственно затрагивающими права и свободы человека55, право свободно искать, получать, передавать, производить и распространять информацию любым законным способом56.
Закон устанавливает унифицированные правила сбора и обработки персональных данных, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных. Сферой действия закона являются отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таковых57.
В новой редакции закона изменен статус принципов обработки персональных данных, каждый принцип уточнен и выведен в самостоятельную часть статьи58. Акцент сделан на законность обработки персональных данных и соответствие содержания и объема персональных данных целям обработки. Хотя в Законе в прямую не сказано, но, по смыслу, введено понятие «обработчик»: оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта на основании поручения оператора. Такое лицо обязано соблюдать принципы и правила обработки персональных данных, но не обязано получать согласие субъекта. Ответственность перед субъектом за действия указанного лица несет оператор59. В законе даны существенные условия договора с «обработчиком».
Главным условием обработки персональных данных является то, что субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных (наличие согласия субъекта) и, вместе с тем, в новой редакции существенно расширен перечень случаев, когда не требуется согласие субъекта на обработку персональных данных, в частности, согласия не требуется, если обработка осуществляется60:
для исполнения судебного акта,
для предоставления государственной или муниципальной услуги,
для регистрации субъекта на портале государственных услуг,
для заключения договора по инициативе субъекта,
для реализации прав и законных интересов оператора и третьих лиц,
для достижения общественно значимых целей,
для законной деятельности средства массовой информации.
Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных или доказательство того, что имеется случай, когда согласия субъекта не требуется, возлагается на оператора.
Закон дополнил содержание и самого понятия «согласие субъекта на обработку персональных данных». Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом61. Эти изменения позволяют применить для выражения согласия конклюдентные действия.
Всем операторам, обрабатывающим персональные данные вменена законом обязанность соблюдения их конфиденциальности. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом62. При этом, раскрытие персональных данных определенному лицу или определенному кругу лиц в обеспечение конфиденциальности не входит.
Кроме того, рядом положений настоящего Закона установлен особый правовой режим защиты специальных категорий персональных данных, в числе которых называются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни63. Действия с этими персональными данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб.
При обработке биометрических персональных данных акцент перенесен на факте использования данных для установления личности субъекта. Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта64. Биометрические персональные данные это объективное понятие, не зависящие ни от субъективных факторов, ни от способа их обработки, ни от целей их обработки. Они могут обрабатываться только при наличии письменного согласия субъекта. Но, если, например, в информационной хранится фото, но не используется для идентификации субъекта, оно не переставая быть биометрическими персональными данными, не требует получения письменного согласия субъекта для обработки.
Законом также закреплены права субъекта персональных данных65. Субъект вправе требовать от оператора уточнения персональных данных, их блокирования или уничтожения, если информация является неполной, устаревшей, неточной, незаконно полученной или не требуется для заявленной цели обработки. Хотя , в некоторых случаях. Права субъекта могут быть и ограничены. Между тем, субъект вправе принимать законные меры по защите своих прав.
Впервые в российской практике, для обеспечения защиты прав субъектов, закон вводит специальный институт уполномоченных по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона66.
Для нашей предметной области (защиты персональных данных) наиболее интересны положения главы 4 данного закона, которые определяют обязанности оператора, в том числе и по организации защиты персональных данных при их обработке. Закон содержит императивную норму, обязывающую оператора применять правовые, организационные и технические мер по обеспечению безопасности персональных данных67. При этом, государство, пользуясь своим конституционным правом68, определяет, что уровни защищенности и требования по защите персональных данных устанавливает Правительство РФ с учетом возможного вреда субъекту, объема и содержания обрабатываемой информации и актуальности угроз, а состав и содержание требований к защите персональных данных устанавливаются уполномоченными федеральными органами исполнительной власти69. В отличие от предыдущей редакции, в этом законе некоторые положения, касающиеся обеспечения безопасности персональных данных, были подняты с уровня подзаконных актов на уровень закона, в частности, необходимость моделирования угроз безопасности, обязательность применения организационных и технических мер защиты персональных данных, обязательность применения средств защиты, которые прошли процедуру оценки соответствия установленным требованиям.
Надо так же отметить, что впервые на законодательном уровне определено, что такое угроза безопасности персональных данных и уровень защищенности персональных данных70.
Определив, что моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законом, а также требований к защите персональных данных, установленных в соответствии с законом, подлежит возмещению в соответствии с законодательством Российской Федерации, закон позволяет применить для возмещения вреда положения Гражданского кодекса РФ71. При этом, возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Приложение 2. Примерный перечень документов (ресурсов) обрабатываемых в школе, где могут находиться персональные данные
Документы, в которых могут находится персональные данные постоянного состава школы (персонал):
Копия паспортных данных работника
Копия свидетельства о присвоении индивидуального номера налогоплательщика (ИНН)
Копия страхового свидетельства государственного пенсионного страхования (СНИЛС)
Копия свидетельства об обязательном медицинском страховании (ОМС)
Копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву)
Копия документа об образовании
Копия документа о квалификации
Копия документа о наличии специальных знаний
Копия свидетельства о присвоении ученой степени
Документы, заполненные и представленные работником при поступлении на работу или в процессе работы:
Анкеты
Автобиография
Личная карточка (форма Т-2)
Документы о семейном положении работника
Документы о перемене фамилии
Документы о наличии детей и иждивенцев
Справки с прежнего места работы
Заявления о приеме на работу, об отпуске, о получении льгот
Справки о судимости или ее отсутствии, копии приговоров суда
Документы о возрасте малолетних детей и мете их обучения,
Документы о состоянии здоровья детей и родственников:
Справки об инвалидности
Справки о наличии хронических заболеваний и др.
Документы о состоянии здоровья работника:
Листки временной нетрудоспособности
Документы об инвалидности
Документы о беременности и др.
Медицинские заключения о результатах обязательных и периодических медосмотрах
Документы добровольного медицинского страхования (ДМС)
Трудовой договор
Трудовая книжка
Документы бухгалтерского делопроизводства:
Ведомости начисления и выплаты заработной платы
Табели учета рабочего времени
Распоряжения и договоры о перечислении заработной платы на счета и карты
Исполнительные листы
Командировочные предписания
Заключение по данным психологического исследования
Приказы о приеме, переводах, увольнении, повышении заработной платы,
Приказы о премировании, поощрении и взыскании
Объяснительные записки, служебные записки работника
Документы о прохождении аттестации
Документы по повышении квалификации
Служебные записки и документы о результатах служебных расследований
Общие списки сотрудников
Расписания занятий
Учетные карточки школьных библиотек
Видеозаписи программ школьного телевидения
Фотографии
Документы, в которых могут находится персональные данные переменного состава школы (учащихся):
Копии документов, удостоверяющих личность учащегося:
Копии свидетельства о рождении
Копии паспортных данных
Копии документов о семье обучающегося:
Копии документов о месте проживания
Копии документов о составе семьи
Копии паспортных данных родителей (законных представителей)
Документы о месте работы членов семьи
Документы о способах связи с родителями (законными представителями) в критических ситуациях
Документы, подтверждающие права на дополнительные гарантии и компенсации
Документы о наличии родителей-инвалидов
Документы о наличии неполной семьи
Документы подтверждающие сиротство
Документы о получении образования, необходимого для поступления в соответствующий класс:
Личное дело учащегося с предыдущего места обучения
Справки с предыдущего места обучения
Характеристики
Оценочные ведомости
Заключения по результатам собеседования и тестирования
Копия страхового свидетельства государственного пенсионного страхования (СНИЛС)
Копия свидетельства об обязательном медицинском страховании (ОМС)
Документы о состоянии здоровья учащегося:
Документы об инвалидности
Документы о наличии хронических заболеваний
Журналы обращений за медицинской помощью
Документы о сделанных прививках и профилактических мероприятиях
Медицинские заключения по результатам обследований и медицинских осмотрах
Медицинские заключения об отсутствии противопоказаний для обучения
Документы добровольного медицинского страхования (ДМС)
Приказы о зачислении и исключении из образовательного учреждения
Общие списки учащихся
Учетные карточки школьных библиотек
Видеозаписи программ школьного телевидения
Фотографии
Документы, формируемые в ходе учебного процесса
Классные журналы, в том числе электронные
Дневники учащегося, в том числе электронные
Зачетные ведомости, табели
Унифицированные списки сдавших или сдающих единый государственный экзамен
Документы, содержащие результаты единого государственного экзамена
Сочинения на личные и семейные темы
Документы, в которых могут находится персональные данные субъектов, не относящихся к школе:
Списки попечительского совета
Списки ветеранов
Архивные документы школьных музеев
Договоры с подрядными организациями
….
|
