Ответственная за работу по защите персональных данных МБОУ СОШ № 25
Кодякова О.А., заместитель директора по УВР
Муниципальное бюджетное общеобразовательное учреждение средняя общеобразовательная школа № 25 является оператором, осуществляющим обработку персональных данных работников МБОУ СОШ № 25, учащихся МБОУ СОШ № 25 и их родителей (законных представителей).
Для соблюдения требований закона «О персональных данных» (ПДн) школа должна получить от родителей (законных представителей) каждого ученика, согласие на обработку ПДн (на основании статьи 6, п. 1 ФЗ № 152- «О персональных данных)
МБОУ СОШ № 25 обрабатывает и защищает сведения о детях и их родителях (законных представителях) на правовом основании.
Документы определяющие политику обработки персональных данных
Приказ №166-об от 01.09.2020г. «О введении режима обработки персональных данных в МБОУ СОШ №25 в 2020-2021 уч.г."
Приказ №167-об от 01.09.2020г. «О назначении лиц, ответственных за обеспечение защиты персональных данных в МБОУ СОШ №25 в 2020-2021 уч. г.»
Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.);
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (с последними изменениями) (ст. 85-90);
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ;
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ;
Гражданский кодекс РФ;
Налоговый кодекс РФ;
Закон 273-ФЗ «Об образовании в РФ»;
Устав МБОУ СОШ № 25
Правовое основание защиты персональных данных:
- Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Приказ ФСТЭК от 11 февраля 20013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
- Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»
- Письмо Федерального агентства по образованию от 29.07.2009 г. № 17–110– «Об обеспечении защиты персональных данных»
Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей учащихся (законных представителей), сведения об учебном процессе и занятости обучающегося (перечень изученных, изучаемых предметов и факультативных курсов, успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной и итоговой аттестации, данные о посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения и др.).
Цель обработки персональных данных: осуществление образовательной деятельности (получение начального образования, основного общего образования, среднего общего образования, в т.ч. формирование базы данных в рамках проведения ГИА).
Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.
МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ, НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!
Муниципальное бюджетное общеобразовательное учреждение средняя общеобразовательная школа № 25 активно внедряет информационные технологии во все направления деятельности.
Электронные дневники есть у всех учащихся нашей школы. Кроме того, все учащиеся школы занесены в единую электронную базу данных АСИОУи базу данных ЕГЭ и ОГЭ, принимают участие в различных тестированиях.
ПРАВИЛА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СРЕДИ НЕСОВЕРШЕННОЛЕТНИХ
Сайт Персональные данные дети
Видео-материалы для проведения уроков по вопросам защиты персональных данных
Организационно-распорядительные и эксплуатационные документы по защите персональных данных МБОУ СОШ № 25
Политика МБОУ СОШ № 25 в отношении обработки персональных данных сотрудников учреждения, а также обучающихся и (или) родителей (законных представителей)
Положение «Об обработке и защите персональных данных работников МБОУ СОШ № 25»
Положение «О защите персональных данных обучающихся МБОУ СОШ № 25»
Сфера действия ФЗ №152
Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.
Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.
Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.
Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».
Обязательность выполнения требований законодательства
Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.
Статья 19 Закона № 152-ФЗ:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
3. Регуляторы в сфере защиты персональных данных
Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.
ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.
Сроки выполнения требований законодательства
Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».
Нормативная база по защите персональных данных
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»
Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ
Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»
Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»
Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»
Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
Конвенция о защите физических лиц при автоматизированной обработке персональных данных
Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
Конституция Рoссийской Фeдерации (cт. 23, ст. 24)
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации
Указ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена
Указ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характера
Согласие на обработку персональных данных (бланк)
Ответственность за неисполнение законодательства по защите персональных данных
Статья
|
Нарушение
|
Ответственность
|
|
КоАП
|
|
Статья 5.39.
Отказ в предоставлении гражданину информации.
|
Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.
|
Штраф:
на должностных лиц - 500 до 1.000руб.
|
|
Статья 13.11.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Штраф:
на должностных лиц - 500 до 1.000 руб.;
на юридических лиц - 5.000 до 10.000 руб.
|
|
Статья 13.12.
Нарушение правил защиты информации
|
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.
|
|
Статья 13.14.
Разглашение информации с ограниченным доступом
|
Разглашение персональных данных.
|
Штраф:
на граждан - от 500 до 1.000 руб.;
на должностных лиц - от 4.000 до 5.000 руб.
|
|
Статья 19.5.
Невыполнение в срок законного предписания
|
1. Невыполнение в установленный срок законного предписания Роскомнадзора.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.
|
|
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.
|
Штраф:
на должностных лиц - от 5.000 до 10.000 руб.;
на юридических лиц - от 200.000 до 500.000 руб.
|
|
Статья 19.7.
Непредставление сведений (информации)
|
Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.
|
Штраф:
на должностных лиц - от 300 до 500 руб.;
на юридических лиц - от 3.000 до 5.000 руб.
|
|
Уголовный Кодекс
|
|
Статья 137.
Нарушение неприкосновенности частной жизни
|
Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
|
Штраф до 300.000 руб. или в размере заработной платы или иного дохода
осужденного за период до 2 лет, либо лишение права занимать определенные
должности или заниматься определенной деятельностью на срок до 5 лет.
|
|
Статья 272.
Неправомерный доступ к компьютерной информации
|
Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).
|
Штраф до 200.000 руб.,
либо лишение свободы до 2-х лет.
|
|
Трудовой Кодекс
|
|
Статья 81.
Расторжение трудового договора по инициативе работодателя.
|
Разглашение персональных данных другого работника.
|
Расторжение трудового договора по инициативе работодателя.
|
|
Статья 90.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
|
Нарушение норм, регулирующих получение, обработку и защиту персональных данных.
|
Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.
|
