|
от 01.01.2001 №
|
В министерство экономического развития края поступило письмо управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Хабаровскому краю о предоставлении рядом образовательных учреждений и органов управления образованием некачественно оформленных уведомлений о намерении осуществлять обработку персональных данных.
В дополнение к письму от 01.01.2001 № «О мероприятиях по защите персональных данных, обрабатываемых в органах управления образованием и образовательных учреждениях с применением средств автоматизации» сообщаем следующее.
Все обязательные поля уведомления должны заполняться в строгом соответствии с рекомендациями по заполнению уведомления об обработке персональных данных (письмо министерства образования края от 01.01.2001 № ) в формате, заданном управлением Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Хабаровскому краю (образец с комментариями прилагается).
Наиболее частые ошибки в оформлении уведомлений – не полностью указаны цели и правовые основания обработки персональных данных, не указаны дата начала и условия прекращения обработки персональных данных, не указаны категории и способы обработки данных.
Перед принятием решения о направлении уведомления об обработке персональных данных с помощью компьютерной техники необходимо на уровне каждого учреждения определиться, оператором обработки каких персональных данных является учреждение и имеется ли необходимость направлять уведомление в управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Хабаровскому краю (см. ч.2 ст. 22 Федерального закона от 01.01.01 г. «О персональных данных»).
Напоминаем, что действие ст. 22 Федерального закона от 01.01.01 г. «О персональных данных» распространяется на обработку персональных данных с использованием информационных систем, в том числе средств вычислительной техники и связи, реализующих информационные процессы.
Если обработка персональных данных попадает под действие ч.2 ст.22 Федерального закона от 01.01.01 г. «О персональных данных», то оператор вправе осуществлять обработку без уведомления уполномоченного органа по защите прав субъектов персональных данных (при этом в любом случае средства защиты информационных систем подлежат обязательной сертификации, а объект информатизации подлежит аттестации в соответствии со специальными требованиями (см. письмо министерства образования края от 01.01.2001 № «О мероприятиях по защите персональных данных, обрабатываемых в органах управления образованием и образовательных учреждениях с применением средств автоматизации»). В феврале ожидается принятие постановления Правительства Российской Федерации, определяющего порядок и требования защиты персональных данных.
Например, на школьном компьютере, установленном в бухгалтерии, осуществляется обработка персональных данных сотрудников, которые состоят с образовательным учреждением в трудовых отношениях (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация). Данные персональные данные попадают по действие п.1 ч.2 ст.22 Федерального закона от 01.01.01 г. и уведомлять при этом управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Хабаровскому краю не обязательно. Однако персональный компьютер бухгалтерии подлежит аттестации и администрация образовательного учреждения должна принять весь комплекс необходимых мер по предупреждению несанкционированного доступа к обрабатываемой информации.
Другой случай, когда на компьютере, установленном в детском саду, обрабатываются персональные данные о воспитанниках и их родителях для обеспечения выполнения обязательств учреждения об оказании образовательных услуг в рамках договора с родителями, попадает под действие п.2 ч.2 ст.22 Федерального закона от 01.01.01 г. . При этом также уведомлять уполномоченный орган не обязательно, но комплекс мер по защите персональных данных необходимо выполнять в полном объеме.
В качестве примера необходимости предоставлять уведомление можно привести случай использования общеобразовательным учреждением программы «1С:Хронограф. Школа 2.5» (в части заполнения полных персональных данных по учащимся в разделе электронной алфавитной книги). Вместе с тем, если в данном разделе заполнять только фамилии, имена и отчества школьников (без указания точной даты рождения и домашнего адреса), то данные перестают относиться к категории персональных и не только уведомление, но и принятие специальных мер защиты информации не требуется.
На уровне края не представляется возможным централизованно для всех учреждений определить категории информации, относящиеся к персональным данным и персональным данным, попадающим под действие ч.2 ст.22 Федерального закона от 01.01.01 г. . Данная работа должна быть проведена на уровне образовательных учреждений, муниципальных органов управления образованием. В связи с тем, что по федеральному закону от 01.01.01 г. судебная практика не наработана и практически отсутствуют методические рекомендации и подзаконные акты, вопрос о персональных данных, обрабатываемых в муниципальных образовательных учреждениях, необходимо тщательно проработать с юридическими службами учредителя.
Рекомендуем провести обучающий семинар для руководителей подведомственных учреждений с участием специалистов юридических служб администраций муниципальных образований и специалистов администраций, отвечающих за информационную безопасность.
Министерство образования края не уполномочено давать разъяснения по применению в муниципальных образовательных учреждениях и муниципальных органах управления образованием Федерального закона от 01.01.01 г. .
Вопрос об обработке персональных данных будет обсужден на информационной встрече с руководителями муниципальных органов управления образованием 29.01.2008.
Приложение: на 1 л. в 1 экз.
Министр
32 60 76
Руководителю территориального Управления
Федеральной службы по надзору в сфере
массовых коммуникаций, связи и охраны
культурного наследия
Уведомление
об обработке персональных данных
(указывается тип оператора)
Муниципальное общеобразовательное учреждение средняя общеобразовательная школа № 000 г. Хабаровска (МОУ СОШ № 000 г. Хабаровска),
Ленина ул., г. Хабаровск (юридический адрес), Ленина ул., г. Хабаровск (почтовый адрес), ОГРН (указать), ИНН (указать)_______________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь: Федеральный закон от 01.01.2001 г. «О персональных данных»,
Устав № от 01.01.2001г. (Положение и т. п.)_________
Лицензия от 01.01.2001г.________________________
Закон Российской Федерации -1 «Об образовании»________
(правовое основание обработки персональных данных)
с целью: Выполнение требований законодательства Российской Федерации в__________
установленной сфере деятельности____________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных: Год рождения, месяц рождения, дата рождения, место рождения, адрес______________________________
принадлежащих: учащимся__________________________________________________
(категория субъектов, персональные данные которых обрабатываются)
правовое основание обработки персональных данных: обеспечение проведения итоговой государственной аттестации в форме и по результатам единого государственного экзамена__________________________________________________________________________
Обработка вышеуказанных персональных данных будет осуществляться путем: ______
Смешанная обработка персональных данных. Отсутствует внутренняя сеть и сеть общего пользования Интернет. Информация доступна лишь для строго определенных сотрудников_____________________________________________________________________
(описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке)
на территории г. Хабаровск______________________________________________________
(указывается территория субъекта (ов), на которой (ых) осуществляется обработка персональных данных)
Дата начала обработки персональных данных 01.01.2008г_______________________
Срок или условие прекращения обработки персональных данных
Подчеркиваем слова срок (или условие) прекращение деятельности учреждения.
_________________________ (должность) (подпись) (Ф. И.О.)
“___” _____________ 200_ г.
