Методические рекомендации для ОО по обеспечению информационной безопасности
Обеспечение информационной безопасности в общеобразовательной организации
Вопросы обеспечения информационной безопасности включают вопросы обеспечения защиты детей от информации, причиняющей вред их здоровью и развитию, и обеспечению безопасности персональных данных.
Вопросы обеспечения защиты детей от информации, причиняющей вред их здоровью и развитию, регулируются Федеральным законом от 29.12.2010 N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" и приказом Минкомсвязи России от 16.06.2014 №161 «Об утверждении требований к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию».
Данная сфера также нашла свое отражение методических рекомендациях по ограничению в общеобразовательных организациях доступа обучающихся к видам
информации, распространяемой посредством сети "Интернет", причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования, которые содержат комплекс мер, направленных на защиту детей от негативной информации при осуществлении ими использования сети «Интернет» из общеобразовательной организации (разработаны Временной комиссией Совета Федерации по развитию информационного общества, Минпросвещения России, Минкомсвязи России и Роскомнадзором в рамках реализации пункта 7 приказа № 88 Минкомсвязи России февраля 2018 года «Об утверждении плана мероприятий по реализации Концепции информационной безопасности детей на 2018-2020 годы»).
Отношения, связанные c обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
Согласно Закону о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, образовательные организации, осуществляющие обработку персональных данных, являются операторами. В связи с чем, на образовательные
организации возлагается исполнение следующих обязанностей оператора, предусмотренных Законом о персональных данных.
Правовые основания обработки персональных данных установлены частью 1 статьи 6 Закона о персональных данных. Одним из указанных случаев является наличие согласия субъекта персональных данных на обработку его персональных данных. Положениями 2-11 ч. 1 ст. 6 Закона о персональных данных предусмотрены 10 случаев, при наступлении которых обработка персональных данных допускается без согласия субъекта персональных данных. Согласно п. 2 ч. 1 ст. 6 Закона о персональных данных обработка персональных данных допускается без согласия субъекта, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Таким образом, в случае, если участники образовательного процесса (директор, учителя и др.) осуществляют деятельность в рамках Закона об образовании и иных нормативных правовых актов, принятых в реализацию Закона об образовании, согласие на обработку персональных данных учащихся не требуется.
Кроме того, следует обратить внимание, что предоставление информации о текущей успеваемости учащегося, ведение электронного дневника и электронного журнала успеваемости является государственной услугой в соответствии с п. 8 Сводного перечня первоочередных государственных и муниципальных услуг, предоставляемых органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления в электронном виде, виде, а также услуг, предоставляемых в электронном виде учреждениями и организациями субъектов Российской Федерации и муниципальными учреждениями и организациями, являющегося Приложением № 1 к распоряжению Правительства Российской Федерации от 17 декабря 2009 г. № 1993-р.
B связи c чем, предоставление образовательным учреждением указанной государственной услуги подпадает под правовое основание обработки персональных
данных, предусмотренное п. 4 ч. 1 ст. 6 Закона о персональных данных и не требует получение согласия учащихся на обработку их персональных данных. При этом, следует обратить внимание, что в случае, если ранее образовательному учреждению предоставлялось подписанное согласие законных представителей учащихся на обработку их персональных данных в рамках оказания государственной услуги по ведению электронного дневника требуется.
B случае, если законные представители учащихся отозвали ранее данное образовательной организации согласие на обработку персональных данных учащихся в
рамках оказания данной государственной услуги, то образовательная организация может продолжить обработку персональных данных учащихся в случаях, предусмотренных Законом об образовании.
Образовательная организация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные учащихся, законных представителей без их согласия, если иное не предусмотрено федеральным законом.
Следует обратить внимание, что размещение персональных данных несовершеннолетних (ФИО, фото-/видео- изображение, дата и место рождения, паспортные данные и др. ) на официальном сайте образовательной организации не допускается, за исключением случаев, предусмотренных федеральным законом или иными нормативными правовыми актами, принятыми во исполнение федеральных законов.
Необходимо отметить, что целью сбора персональных данных несовершеннолетних (о результатах олимпиад, конкурсов, о зачислении в образовательные учреждения) является информирование участников образовательных отношений (обучающихся, родителей, законных представителей учителей и иных лиц, ответственные за образование).
Учитывая, что цели сбора персональных данных предусматривают возможность получения личной информации и её использование ограниченным кругом лиц
(участниками образовательных отношений), образовательной организацией персональных данных должна быть обеспечена возможность доступа к собранным данным только рассматриваемой группе лиц. Так, доступ к обезличенным сведениям о результатах олимпиад, конкурсов, а также о зачислении в образовательные учреждения может быть предоставлен неограниченному кругу лиц.
При этом доступ к сведениям, содержащим персональные данные, может быть обеспечен через личные кабинеты участников образовательных отношений - пользователей сайтов образовательных учреждений в сети Интернет. Таким образом, в случае, когда данные собираются для информирования родителей, выкладывание данных о несовершеннолетних в сети «Интернет» будет превышать цель обработки, ради которой эти данные были собраны.
Образовательная организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1. Назначение образовательной организацией из числа сотрудников или привлеченной организации лица, ответственного за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно исполнительного органа образовательной организации, являющейся оператором, и подотчетно ему. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
а) осуществлять внутренний контроль за соблюдением образовательной организацией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
б) доводить до сведения работников образовательной организация положения законодательства Российской Федерации о персональных данных. локальных
актов по вопросам обработки персональных данных, требований к защите персональных данных;
в) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2. Издание образовательной организацией документов, определяющих политику образовательной организации в отношении обработки персональных данных,
локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Образовательная организация обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
3. Соблюдение условий обработки персональных данных, осуществляемой без использования средств автоматизации. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
4. Ознакомление работников образовательной организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5. Уведомление об обработке персональных данных. Образовательная организация до начала обработки персональных данных обязана уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Обработка персональных данных работников образовательной организации не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством об образовании.
