Embed Size (px)
DESCRIPTION
Краткое описание задач с нормативным обеспечением защиты персональных данных при ведении электронных журналов успеваемости. Запись с голосом для курса по ИБ: https://www.youtube.com/watch?v=7WkRbvp8HXI
Citation preview
Организационные меры по минимизации затрат на защиту ПДн при ведении ЭЖ
Михаил Кушнирноябрь 2014
Целью ... закона является обеспечение защиты прав и свобод человека ...
Цели презентации
• Круг нормативных проблем ЭЖ / ПДн
• Варианты их решения
• Нормативная шпаргалка
ПДн – все данные
1) персональные данные (ПДн) - любая информация,
относящаяся к ... физическому лицу (субъекту ПДн);
Статья 3. Основные понятия
Закон «О персональных данных» №152-ФЗ
Автоматизировано все
4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
Статья 3. Основные понятия
Закон «О персональных данных» №152-ФЗ
Оператор ПДн
2) оператор - ... юр. или физическое лицо ... с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие
Статья 3. Основные понятия
- цели обработки ПДн, - состав ПДн, подлежащих обработке, - действия (операции), совершаемые с ПДн;
Закон «О персональных данных» №152-ФЗ
Школа как оператор• Копии документов обучающегося
(свидетельство о рождении)
• Копии документов родителей (паспорт)• Контактные данные (для информирования)• Медкарта (для медсестры из поликлиники)
Приказ Минобрнауки от 22.01.2014 №32
…может … в форме электронного документа с использованием информационно-телекоммуникационных сетей общего пользования
Организация учета
10) осуществление текущего контроля успеваемости и
промежуточной аттестации обучающихся …;
11) индивидуальный учет результатов …, а также хранение в
архивах … на бумажных и (или) электронных носителях;
13) проведение самообследования, обеспечение … внутренней
системы оценки качества образования;
Статья 28. Компетенция … обр. организации (п.3)
Закон «Об образовании в РФ» №273-ФЗ
Реализация компетенции
2. Образовательная организация принимает локальные
нормативные акты по основным вопросам организации и
осуществления образовательной деятельности, в том числе ...
формы, периодичность и порядок текущего контроля
успеваемости и промежуточной аттестации обучающихся...
Статья 30. Локальные нормативные акты, содержащие нормы, регулирующие образовательные отношения
Закон «Об образовании в РФ» №273-ФЗ
Журнал – учет
4) знакомиться с содержанием образования, используемыми
методами обучения и воспитания, образовательными
технологиями, а также с оценками успеваемости своих детей;
6) получать информацию о всех видах планируемых
обследований...
Статья 44. Права, обязанности … родителей …(п.3)
Закон «Об образовании в РФ» №273-ФЗ
Письмо Минобрнауки РФ... соблюдение прав ОУ и разработчиков на самостоятельный
выбор информационных систем и на свободу конкуренции ...
Недопустим неоправданный рост трудозатрат на ведение
двойного учета, рабочие места должны быть оборудованы ...
Выбор формы ведения учета ... отнесен к компетенции ОУ
... подготовить локальные нормативные акты.
№ АП-147/07 от 15.02.2012
Единые требования к ЭЖАдминистрация ОУ несет ответственность за бесперебойность
образовательного процесса с учетом рисков сбоев ЭЖ.
ЭЖ должен обеспечивать оперативный отклик (5 секунд)
В случае несоответствия выбранной реализации ЭЖ
требованиям настоящего документа ... Администрация ОУ
должна выбрать другую реализацию ЭЖ.
№ АП-147/07 от 15.02.2012
Письмо Минобрнауки РФ
Если обработка персональных данных субъекта диктуется
интересами организации, а не интересами субъекта, его
согласие может быть признано ничтожным…
… необходимо обратить внимание на особенности
мероприятий по защите персональных данных в
различных вариантах использования ЭЖ.
№ АК-3358/08 от 21.10.2014
Часть 1. Методические рекомендации (стр.9, п.4)
ЭЖ вне школы:
• «уведомить уполномоченный орган» …(п.1 статьи 22) и
декларировать изменения (п.7 статьи 22), включая ЭЖ
• контролировать возможность трансграничной передачи…• хранить письменные согласия…на передачу во внешний ЭЖ• соответствие целей обработки: согласия и внешней орг-ии• заключить договор с ЭЖ на обработку ПДн
№ АК-3358/08 от 21.10.2014
ЭЖ в школе:
• ряд перечисленных выше мероприятий может быть
сокращен и/или облегчен
при соответствующей … локальной нормативной базе
• организационно-технические меры по защите ПДн
№ АК-3358/08 от 21.10.2014
Центральные реестры
2. ... Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Статья 5. Принципы обработки ПДн
Вопрос 152-ФЗ: «С какой целью сдавали данные?»
Регистрация оператора
2. Оператор вправе осуществлять без уведомления ... :
2) полученных оператором в связи с заключением договора...,
если ПДн не распространяются, а также не предоставляются
третьим лицам без согласия субъекта ПДн и используются
оператором исключительно для исполнения указанного договора
и заключения договоров с субъектом ПДн;
Статья 22. Уведомление об обработке ПДн
Какое согласие?
1. ... в своем интересе ... в любой позволяющей подтвердить
факт его получения форме ...
4. В случаях, предусмотренных федеральным законом, ... только
с согласия в письменной форме ...
... Равнозначным ... письменной форме ... признается согласие в
форме электронного документа, подписанного ... электронной
подписью
Статья 9. Согласие субъекта ПДн на обработку его ПДн
Доказательство
3. Обязанность предоставить доказательство
получения согласия субъекта ... или наличия оснований ...
возлагается на оператора
Статья 9. Согласие субъекта ...
Согласие не нужно
2) ... для осуществления и выполнения возложенных
законодательством РФ на оператора функций...
4) ... для исполнения … государственных или
муниципальных услуг, предусмотренных … 210-ФЗ
Статья 6. Условия обработки ПДн (п.1)
Заказана ли услуга, чтобы слать ПДн для госуслуг?
Согласие нужно
3. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн ...
Статья 6. Условия обработки ПДн
5. В случае, если оператор поручает обработку ПДн другому
лицу, ответственность ... несет оператор
Так, нужно или нет?
Обработка ПДн Закон. функции Доп. функции
В школебез согласиябез уведомления
согласиебез уведомления
Вне школысогласиеуведомление
согласиеуведомление
(школа - оператор)
Так, нужно или нет?
Обработка ПДн Закон. функции Доп. функции
В школебез согласиябез уведомления
согласиебез уведомления
Вне школысогласиеуведомление
согласиеуведомление
(школа - оператор)
ИСПДн
2-4 УЗ
1-3 УЗ
ЭЖ в центре
Школа-оператор
Родитель
Данные
Школа -оператор
Данные
ЭЖ в центре
Школа-оператор
Родитель
Данные
Школа -оператор
Данные
Вопрос 273-ФЗ: «Школа этого хочет?»
ЭЖ в центре
Школа-оператор
Родитель
Договор?Согласия?Уведомление?
Данные
Школа -оператор
Данные
Вопрос 273-ФЗ: «Школа этого хочет?»
ЭЖ в центре
Школа-оператор
Родитель
Данные
Данные
Школа -оператор
Данные
Достоинства Недостатки
Перспективы Риски
ЭЖ в центре
Минимум тех. забот
• Максимум бумаг• Проверки• Полная зависимость• Отсутствие контроля над данными
Развитие ЭЖ партнером • Отказ родителей• Тех/орг риски• Новый ЭЖ с нуля
Тех/орг риски ЭЖ в центре• Качество школьного канала связи• Качество центрального узла (сервер, связь, кадры)
• Издержки в случае сбоев• Ущерб при утечке данных• Раздвоение ответственности• Психологические барьеры• Унификация и права школ на автономию• Соблюдение формальностей и законов
ЭЖ в школе
Школа
Родитель
Данные
Достоинства Недостатки
Перспективы Риски
ЭЖ в школе
• Без проверок• Минимум бумаг• Независимость• Полный контроль над данными
Развитие ЭЖ партнером или самостоятельно
• Тех. сбои• Потеря кадров• Давление «сверху»• Смена ЭЖ
Технические издержки:• оборудование / ПО• кадры• защита• техподдержка
ЭЖ в школе
Родитель
Информационная система:• ЭЖ• списки• кадры• метод. разработки• коммуникации• и др.
Школа
ЭЖ в школе
Родитель
Информационная система:• ЭЖ (с минимальными ПДн, обезличенными или общедоступными)
• и др. общие и обезличенные
Информационная система:• списки• кадры• и др. с ПДн
Школа
ЭЖ в школе
Родитель
Информационная система:• ЭЖ (с минимальными ПДн, обезличенными или общедоступными)
• и др. общие и обезличенные
Информационная система:• списки• кадры• и др. с ПДн
Локальный акт об открытой ИСПДн
Локальный акт об изолированной ИСПДн
Школа
ЭЖ в школе
Родитель
Локальный акт об открытой ИСПДн
Локальный акт об изолированной ИСПДн
Школа
ПАК
Данные
« Л и г а о б р а з о в а н и я »М и х а и л К у ш н и р
m . k u s h n i r . p w
«Выбирайтесь своей колеей»
www.s l i deshare .ne t /M ichae lKushn i r
З а п р о с ц и в и л ь н о г о з а п р о с а н а ПД н
w w w . r u j e l . n e t
