Вопрос: Как определить, что относится к персональным данным?
Ответ: Если информация позволяет однозначно идентифицировать субъекта, то такая информация относится к персональным данным указанного субъекта.
Вопрос: Являются ли сведения об инвалидности, о болезни, о группе здоровья персональными данными? Сведениями о здоровье?
Ответ: Да, они являются персональными данными. Сведениями о здоровье субъекта они являются только в том случае, когда указана причина недееспособности или ограничения по здоровью. Группа здоровья сведениями о здоровье не является.
Вопрос: Можно ли размещать на сайте Учреждения персональные данные учащихся?
Ответ: В случае, если на сайте Учреждения размещаются персональные данные, позволяющие идентифицировать субъекта, то необходимо взять согласие субъекта на размещение его персональных данных. Например, для размещения фотографии в совокупности с ФИО субъекта требуется согласие. Для размещения обезличенных персональных данных (например, имя учащегося и класс) согласие не требуется. Размещение общих фотографий также не требует согласия.
При размещении фотографии субъекта на сайте его согласие не требуется в случае, если ее совокупность с другими указанными данными не позволяет идентифицировать субъекта персональных данных (например, фотография субъекта, имя, класс). Согласие также не требуется, если данные субъекта являются общедоступными (например, если учитель дал подписку о том, что его персональные данные являются общедоступными и их можно размещать на сайте).
Вопрос: Какие персональные данные можно заносить в классный журнал?
Ответ: В классный журнал можно заносить следующие персональные данные: ФИО учащегося, номер его личного дела, ФИО родителей (законных представителей), их контактный номер телефона.
Вопрос: В каком случае требуется получать согласие субъекта на обработку его персональных данных?
Ответ: Согласие требуется брать в тех случаях, когда осуществляется обработка персональных данных, позволяющих идентифицировать субъекта. От сотрудников согласие берѐтся при устройстве на работу. Согласие за несовершеннолетних учащихся дают их родители (законные представители).
Вопрос: С кого необходимо брать соглашение о неразглашении персональных данных?
Ответ: Соглашение должны давать те сотрудники, которые в ходе выполнения своих должностных обязанностей получают доступ к персональным данным субъектов.
Вопрос: Что делать с данными субъекта, обрабатывать которые уже нет необходимости?
Ответ: В случае достижении целей обработки, утраты необходимости в достижении целей, по письменному заявлению субъекта персональных данных или по истечению срока обработки персональных данных персональные данные субъекта уничтожаются. Персональные данные должны быть удалены из ИСПДн, однако могут быть занесены в архив. Об уничтожении персональных данных необходимо уведомить субъекта персональных данных (Бланк уведомления о завершении обработки персональных данных 12.1.1.13).
Вопрос: Кто несѐт ответственность за защиту ПДн?
Ответ: Согласно законодательству, ответственность за обеспечение защиты ПДн несѐт оператор ПДн. Соответственно школа как оператор персональных данных должна назначать ответственного за обеспечение безопасности (например, администратор безопасности). Таким образом, ответственность перед законом несѐт школа как оператор, а перед школой – назначенное ответственное лицо.
Вопрос: Почему наша ИСПДн является специальной?
Ответ: Все ИСПДн Учреждений являются специальными, поскольку содержащимся в информационной системе персональных данных персональным данным необходимо кроме конфиденциальности обеспечить целостность и доступность.
Вопрос: Кто и как может проверить соблюдение закона о персональных данных?
Ответ: Контроль за соблюдением закона о персональных данных осуществляет Роскомнадзор. Аттестацию средств защиты и ИСПДн проводит ФСТЭК России. Контроль за применением криптографических средств осуществляет ФСБ России.
Вопрос: Какая ответственность предусмотрена за нарушение закона о персональных данных?
Ответ: В соответствии со ст. 24 152-ФЗ «О персональных данных» «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Уголовная ответственность (штрафы, запрет на занятие определѐнных должностей, исправительные работы, лишение свободы) может наступить по следующим статьям: Статья 137 УК РФ «Нарушение неприкосновенности частной жизни»; Статья 140 УК РФ «Отказ в предоставлении гражданину информации»; Статья 272 УК РФ «Неправомерный доступ к компьютерной информации»; Статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»; Статья 274 УК РФ «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети»; Статья 292 УК РФ «Служебный подлог»; Статья 293 УК РФ «Халатность».
Административная ответственность (предупреждения, штрафы для граждан, должностных лиц и юридических лиц, конфискация средств защиты информации, административное приостановление деятельности) может наступить по следующим статьям: Статья 5.39 КОАП РФ «Отказ в предоставлении гражданину информации»; Статья 13.11 КОАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»; Статья 13.14 КОАП РФ «Разглашение информации с ограниченным доступом»;
Ответственность за нарушение Трудового кодекса (прекращение действия трудового договора, компенсация ущерба сотрудником) может наступить по следующим статьям: Статья 90. «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника»;
Статья 195. «Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников»; Статья 237. «Возмещение морального вреда, причиненного работнику»;
Вопрос: Какими законодательными актами регулируются вопросы персональных данных?
Ответ: Законом; Постановлением Правительства Российской Федерации № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 «Порядок проведения классификации информационных систем персональных данных»; ПП №687 от 15.09.08 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Приказ ФСТЭК России №58 от 05.02.10 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»; руководящими документами ФСТЭК России и ФСБ России. |