Обучение по обработке персональных данных: последняя информация, советы

Содержание

Обработка персональных данных

Дополнительная профессиональная программа повышения квалификации разработана в соответствии с письмом Минкомсвязи России от 28.08.2022 N ЛБ-С-074-24059 «О методических рекомендаций» на основе методических рекомендаций общеобразовательных организаций по вопросам обработки персональных данных, подготовленных в соответствии с пунктом 6 протокола заседания рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве Российской Федерации по проведению в Российской Федерации Десятилетия детства от 22 июля 2022 года рабочей группой по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству, Минкомсвязью России, Минпросвещения России и Роскомнадзором.

Программа разработана в целях реализации пункта 6 части 1 статьи 18.1 и пункта 2 части 1 статьи 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» для повышения уровня информированности работников организаций о законодательстве Российской Федерации о персональных данных.

Курс «Обеспечение безопасности персональных данных в учреждениях и на предприятиях»

Для аттестации по программе повышения квалификации необходимо пройти Тестовое Задание. Данный тест является формой итогового контроля (аттестации) обучающихся по освоению программы повышения квалификации. Для успешного прохождения теста слушатели должны владеть знаниями по основным темам программы. Успешное прохождение тестирования — от 60 баллов (%).

Центр «Экстерн» предлагает услуги по организации курсов повышения квалификации для учителей начальной и других категорий педагогических работников. Содержание и учебно-методическое обеспечение дистанционных курсов повышения квалификации учителей разрабатывают ведущие ученые и заслуженные специалисты в области психологии, педагогики и методики Петербурга. Поэтому обучающимся курсов повышения квалификации 2022/2022 для учителей предлагаются только новейшие результаты психолого-педагогических исследований, инновационные психологические методики и научно-практические разработки профессорско-преподавательского состава центральных вузов, авторов современных программ и учебников, экспертов в области образования.

Профессия педагога – одна из самых массовых и самых ответственных. В его руках – ответственность за формирование личностных и метапредметных результатов образования в соответствии с требованиями федеральных государственных образовательных стандартов. В обществе с динамично меняющимися социально-экономическими отношениями, всеобщей информатизацией и компьютеризацией учителям необходимо постоянно учиться, развиваться, самосовершенствоваться. Профессиональный стандарт требует через каждые три года проходить курсы повышения квалификации для учителей. Система непрерывного образования является условием совершенствование общих и профессиональных компетенций педагога, обеспечивающих качество подготовки учеников.

инклюзивные технологии;
проектирование здоровьесохраняющего образовательного пространства;
исследовательская и проектная деятельность учеников;
использование активных методов обучения;
технологии подготовки к ОГЭ и ЕГЭ;
реализация межпредметных связей;
мониторинг предметных, метапредметных и личностных достижений обучающихся;
профориентация;
оказание первой помощи
проблемы социализации и др.

содержание и темы курсов повышения квалификации для учителей ежегодно обновляется в соответствии с новыми трендами современного образования, специалисты Центра корректируют и разрабатывают программы по актуальной тематике;
тематические направления и материалы дистанционных курсов повышения квалификации для учителей соответствуют обновляющейся нормативно-правовой базе дошкольного, начального, среднего, дополнительного образования, СПО;
в случае появления у педагогического работника новых обязанностей в нашей компании есть возможность срочно окончить курсы повышения квалификации учителей и привести уровень своих знаний, умений и навыков в соответствие с выполняемыми им трудовыми функциями;
мы предлагаем гибкий график образовательного процесса, позволяющий повышать профессиональный уровень в заочной форме, без отрыва от трудовой деятельности;
курсы повышения квалификации учителей организуются, кроме этого, не требуют тратить средства и долгие часы на проезд к месту обучения и обратно, сберегают здоровье педагогов;
технические возможности позволяют пройти курсы повышения квалификации для учителей педагогам любого региона Российской Федерации на основе организации индивидуального образовательного маршрута;
материалы курсов предоставляются в режиме круглосуточного доступа и др.

Перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с Федеральной службой по техническому и экспортному контролю

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Национальный исследовательский университет «Московский энергетический институт (технический университет)» Центр подготовки «Институт безопасности бизнеса»

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Форма обучения по данной программе — заочная, с применением дистанционных образовательных технологий. Вам будут предоставлены для изучения текстовые лекции и дополнительные материалы. Вы всегда сможете обсудить появившиеся вопросы с Вашим куратором и преподавателем.

Программа разработана в целях реализации пункта 6 часть 1 статьи 18.1 и пункта 2 части 1 статьи 22.1 Федерального закона от 27.07.2006г №152-ФЗ «о персональных данных» для повышения уровня информированности работников образовательных организаций о законодательства РФ о персональных данных.

Основные законодательства РФ в области персональных данных
Основы правового регулирования в сфере персональных данных
Обработка персональных данных
Оператор персональных данных
Обработка персональных данных работников
Система государственного контроля и надзора за обработкой персональных данных. Ответственность за нарушение требований Закона о персональных данных
Обзор типичных нарушений законодательства РФ в сфере персональных данных
Организация организационно-административных мероприятий по реализации методических рекомендаций
Примеры положений, приказов о защите персональных данных
Памятки по актуальным проблемам обработки персональных данных

Оценка качества обучения:

Программа повышения квалификации разработана в соответствии с письмом Минкомсвязи России от 28.08.2022г. № ЛБ-С-074-2459 «О методических рекомендациях для общеобразовательных организаций по вопросам обработки персональных данных», подготовленных в соответствии с пунктом 6 протокола заседания рабочей группы «безопасное информационное пространство для детей при Координационном совете при Правительстве РФ по проведению в РФ Десятилетия детства от 22 июля 2022 года рабочей группой по вопросам совершенствования государственной политики в сфере развития информационного общества комитета Совета федерации по конституционному законодательству, Минкомсвязью России, Миенпросвещения России и Роскомнадзором.

Заочная форма с применением дистанционных
технологий — это обучение из любого города России и мира.
Нужен только доступ в интернет. При этом не нужно никуда
ехать и откладывать повседневные задачи. Вы выбираете подходящее время для занятий. Вы убедитесь, что дистанционное обучение — это не только удобно, но и ни чем не уступает по качеству традиционному очному обучению.

Обучение по обработке персональных данных

дополнительное профессиональное образование;
семинары, тренинги, мастер-классы, иные мероприятия для приобретения гражданскими служащими новых знаний и умений;
конференции, круглые столы, служебные стажировки, иные мероприятия для изучения передового опыта, технологий государственного управления, обмен опытом;
самостоятельное изучение образовательных материалов направлению профессиональной служебной деятельности;
образовательные курсы в дистанционной форме.

Для содействия профессиональному развитию гражданских служащих, формирования знаний и умений, необходимых для обеспечения служебной деятельности на высоком профессиональном уровне, и воспитания добросовестного отношения к исполнению должностных обязанностей в Роскомнадзоре существует система наставничества.

замещающий должности не ниже служащего, за которым закрепляется наставник;
имеющий практические навыки по должности служащего, за которым закрепляется наставник;
имеющий высшее образование и стаж в должности не менее двух лет или стаж службы не менее двух лет и стаж по должности не менее одного года.

ПОДГОТОВКА КОМПАНИИ В РАМКАХ 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Закон разрабатывался для организаций всех форм собственности и отраслей России, и поэтому формулировки в законе достаточно общие. Закон не устанавливает точный перечень документов, которые должны быть разработаны у каждого оператора, а также перечень документов, запрашиваемый на проверке уполномоченного органа (Роскомнадзора). Все это означает, что осуществить подготовку самостоятельно и сразу правильно, с гарантией прохождения проверки Роскомнадзора, — невозможно. А ответственность за несоблюдение требований закона — вплоть до приостановки деятельности организации.

Это интересно: Штраф по сзвм кбк 2022

Закон предъявляет требования к оператору персональных данных, а в частности к правовой подготовке организации и технической подготовке информационных (компьютерных) систем организации, но не описывает порядок проверки уполномоченным органом (Роскомнадзор) и тем более, не устанавливает точный перечень запрашиваемых Роскомнадзор документов.

Или можно обратиться к компетентной организации как за помощью в реализации правовой подготовки (разработка всей необходимой организационно-распорядительной документации), так и за технической подготовкой информационных систем (статья 19 закона). Внимание: реализацию технической подготовки может осуществлять только компания с лицензией ФСБ и ФСТЭК России.

Существует всего два варианта. Первый вариант — провести подготовку самостоятельно, рискуя потратить время и средства впустую, без гарантии прохождения проверки Роскомнадзора. Второй вариант — обратиться к компетентной организации без каких-либо рисков и со 100% гарантией прохождения проверки.

Незнание подзаконных нормативно-правовых актов. Федеральный закон № 152-ФЗ является законодательным документом высшего уровня. А процесс реализации тех или иных требований закона детализируется в постановлениях Правительства и подзаконных нормативно-правовых актах уполномоченных органов в области защиты информации — ФСБ и ФСТЭК России.
Незнание того, какой конкретно внутренний документ должен быть разработан в организации по той или иной формулировке закона. Только специалисты по информационной безопасности с многолетним опытом, участвующие в рассмотрении законопроекта, проводившие анализ каждой новой редакции закона, способны понять, какие конкретно документы скрываются под той или иной формулировкой закона.
Отсутствие специалистов по информационной безопасности. Для соответствия статье 19 закона необходимо защитить информационную (компьютерную) систему по требованиям ФСБ и ФСТЭК России и провести оценку ее защищенности. Указанные работы оператор может провести как самостоятельно, так и с привлечением компетентной организации лицензиата ФСБ и ФСТЭК России. Данные работы проводятся по методологии ФСТЭК России с оформлением определенного набора отчетных документов.

В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».

Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2022 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».

В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Защита персональных данных

Данная образовательная программа разработана на основе профессионального стандарта “Специалист по защите информации в автоматизированных системах” и направлена на развитие компетенций по использованию основных понятий, инструментов и приемов обеспечения безопасности данных, обрабатываемых в информационных системах организации.

руководителей организаций и структурных подразделений, в ведении которых находится обработка персональных данных;
юристов предприятий-операторов персональных данных;
работников кадровых органов организаций и предприятий;
специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты персональных данных;
руководителей и специалистов, непосредственно отвечающих за обеспечение информационной безопасности предприятий, защиту ПДн в информационных системах персональных данных (ИСПДн) и реализующих мероприятия по технической защите конфиденциальной информации.

с 1 марта 2022 г вступил в силу Федеральный закон № 519-ФЗ о внесении поправок в Федеральный закон «О персональных данных», который изменил порядок обработки персональных данных в РФ и внес поправки в действующий Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006» Установлены дополнительные гарантии защиты персональных данных россиян.

разрабатывать внутренние нормативные документы, регламентирующие организацию обработки и защиту персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ “О персональных данных”, Постановления Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Хотите создать в Вашей организации максимально эффективную систему безопасности данных и защитить информационные ресурсы? Пройдите обучение у преподавателей-экспертов в Центре «Специалист». Вы научитесь выполнять требования нормативных правовых актов, руководящих и методических документов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также сможете эффективно планировать и реализовывать комплекс мероприятий по минимизации рисков, связанных c обеспечением безопасности персональных данных в вашей компании.

Сегодня уже не встает вопрос о том, нужно или нет защищать персональные данные работников в организации. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый ходовой товар. В руках мошенника – это орудие преступления, в руках уволенного сотрудника – средство мщения, в руках инсайдера – товар для продажи конкуренту… На курсе Вы не только познакомитесь с законодательством, его требованиями и ответственностью за неисполнение, но получите комплексную систему знаний, необходимую для построения эффективной защиты персональных данных в своей организации собственными силами.

Необходимость обеспечения безопасности персональных данных в наше время — объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Безопасность персональных данных обеспечивается и регулируется федеральным законом N 152-ФЗ «О персональных данных», ведь информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника — в средство мщения, в руках инсайдера — товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Курс «Построение системы безопасности персональных данных» вместе с авторизованными курсами Microsoft, курсами SCP, Ethical Hacker входит в одно из наиболее актуальных направлений – «Информационная безопасность». Знания, полученные на курсах этого направления под руководством ведущих специалистов данной сферы, позволят Вам максимально эффективно обеспечить информационную безопасность компании, минимизировав риск потери ценнейшего современного ресурса – информации.

Сотрудники ИТ подразделений обслуживающие информационные системы, обрабатывающие персональные данные – смогут узнать о правилах обработки ПДн
Сотрудники подразделений ИБ ответственные за обработку персональных данных – смогут понять как точно определить перечень необходимых к выполнению требований по защите ПДн и лежащую на них ответственность.
Сотрудники HR служб предприятий – узнать о дополнительных требованиях за рамками ТК выполнять которые им необходимо в целях обеспечения законности обработки ПДн
Разработчики информационных систем и программных продуктов – смогут узнать, как на стадии проектирования/разработки возможно снизить дальнейшие требования по защите и избежать излишних трат на защиту не снижая уровня защищённости ПДн.

В современном мире развития информационных технологий широко применяются автоматизированные средства обработки данных, в том числе и персональных данных. Утечка таких данных может привести к катастрофическим последствиям. Главная цель защиты персональных данных – обеспечение защиты прав и свобод человека (субъекта), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В соответствии с пунктом 6 протокола заседания рабочей группы «Безопасное информационное пространство для детей» при Координационном совете при Правительстве РФ по проведению в РФ Десятилетия детства от 22 июля 2022 года рабочая группа по вопросам совершенствования государственной политики в сфере развития информационного общества Комитета Совета Федерации по конституционному законодательству, Минкомсвязь России, Минпросвещения России и Роскомнадзор подготовили методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Методические рекомендации разработаны в рамках реализации п. 6 ч. 1 ст. 18.1 и п. 2 ч. 4 ст. 22.1 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» для повышения уровня информированности и организации обучения работников ОО по вопросам законодательства РФ о персональных данных.

1. Знать нормативные правовые акты в области защиты ПД;

2. Уметь планировать организацию мероприятий по обеспечению защиты ПД;

3. Уметь разрабатывать необходимые документы в интересах организации работ по защите ПД;

4. Организовать систему сегментации персональных данных;

5. Разработать и внедрить систему разграничения доступа руководителей и кадровых работников к документации с персональными данными сотрудников и обучающихся;

6. Наладить процесс проверки обработки и хранения персональных данных в организации.

Это интересно: Тариф на холодную воду на 2022 год в иркутске

Обращаем Ваше внимание, что в соответствии с Федеральным законом N 273-ФЗ «Об образовании в Российской Федерации» в организациях, осуществляющих образовательную деятельность, организовывается обучение и воспитание обучающихся с ОВЗ как совместно с другими обучающимися, так и в отдельных классах или группах.

Защита персональных данных является обязанностью организации. «Незнание закона не освобождает от ответственности. Зато знание — запросто». Таким образом, прохождение дистанционного курса программы повышения квалификации «О защите персональных данных в образовательной организации» в полной мере вооружит вас необходимыми знаниями и подготовит к встрече с уполномоченными федеральными органами исполнительной власти, стоящими на страже исполнения закона «О защите персональных данных».

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

При этом оператором персональных данных в данном случае будет образовательная организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели такой обработки, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обучаясь в учебном заведении, каждый слушатель должен быть уверен в том, что передаваемые им персональные данные (ФИО, адрес или паспортные данные) надежно защищены от взлома или передачи третьим лицам. Получая персональные сведения от обучающихся, образовательная организация становится оператором персональных данных. Официальная регистрация образовательного учреждения в Роскомнадзоре в качестве оператора персональных данных свидетельствует о соблюдении организацией требований законодательства и повышает уровень доверия со стороны слушателей, однако, не все организации, оказывающие образовательные услуги, имеют такую регистрацию, что ставит под угрозу безопасность персональных данных обучаемых.

Необходимо иметь в виду, что оператором персональных данных лицо признается в силу самого факта осуществления деятельности по обработке ПД, вне зависимости от наличия/отсутствия регистрации в качестве такового. Между тем до начала обработки ПД оператор обязан уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД (ч. 1 ст. 22 ФЗ № 152). Таким уполномоченным органом является Роскомнадзор по соответствующему субъекту РФ.

Новое о персональных данных

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

С 1 марта 2022 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
Иные документы.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

при получении конфиденциальной информации необходимо письменное согласие от собственника ПДн на их обработку, а также на возможность передачи этих данных третьим лицам в рамках действующего законодательства и в объемах, необходимых для выполнения его требований и реализации рабочего процесса в образовательном учреждении;
во время хранения ПДн требуется издать приказ об ответственных лицах из числа персонала, которые будут иметь доступ к этим документам, включая приватные данные, не подлежащие разглашению.

В качестве уполномоченного органа законодательство РФ определяет Россвязькомнадзор, который в 2008 году разработал и заверил соответствующие образцы Уведомления о начале обработки ПДн и Рекомендации по их оформлению. Оператор может не уведомлять Россвязькомнадзор, если граждане, предоставляющие свои персональные данные оператору, находятся с ним в трудовых отношениях. Университет, колледж, иное образовательное учреждение могут осуществлять такую деятельность относительно преподавателей без создания Уведомления.

заблокировать ПДн работника образовательного учреждения по его требованию или требованию его законных представителей, если такая информация не является достоверной, с ней проводились незаконные действия, оператор должен уточнить или изменить такие данные на основании предоставленной субъектом информации;
исправить нарушения, если они были найдены в течение не более 3 рабочих дней, начиная со дня их выявления. Если устранить их в течение этого периода времени нет возможности, оператор должен уничтожить эти сведения. Информацию об устранении нарушений, выполнении процедуры уничтожения ПДн работодатель должен направить субъекту, его представителям или уполномоченному органу;
незамедлительно остановить обработку ПДн, уничтожить их, если субъект отозвал свое согласие на эти действия на протяжении 3 рабочих дней после получения уведомления, если другое не предусматривается законодательством.

разработке локальных актов, которые будут регламентировать организацию, юридическую, техническую часть деятельности с ПДн;
определению процедуры взаимодействия со всеми надзорными органами;
распределению функций между сотрудниками, закреплению между ними задач по ведению документооборота, обработке, хранению персональных данных.

Вторая статья этого же закона допускает обработку персональных данных исключительно в объемах, необходимых для обеспечения рабочего процесса, с гарантией неприкосновенности приватной жизни. Этот же закон регламентирует все требования по обращению с конфиденциальной информацией. Распространяется ФЗ № 152 на все организации на территории РФ, включая учебные учреждения, которые являются операторами по обработке персональных данных. 19-я статья этого документа определяет, что именно на оператора возлагаются все организационные и технические вопросы как по сбору, так и по защите потенциально уязвимого приватного материала.

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

Программа повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» предусматривает обучение специалистов применению организационных мер и использованию способов и средств защиты персональных данных при их обработке в информационных системах персональных данных. Программа разработана с учетом требования Постановления Правительства РФ от 6 мая 2022 г. №399. Программа согласована с ФСТЭК России.

Это интересно: Льготы Школьникам На Жд Билеты В 2022 Году

Правовых и организационных основ технической защиты информации ограниченного доступа,
Выявление угроз безопасности информации на объектах информатизации,
Основных организационных мер защиты информации от несанкционированного доступа,
Использования технических и программных средств защиты информации от несанкционированного доступа,
Порядка определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных,
Организационных и технических мер защиты персональных данных в информационных системах персональных данных,
Основ организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных,
Практических реализаций типовых моделей защищенных информационных систем обработки персональных данных

Также приказом ОАЦ от 12.11.2022 N 195 предусмотрены методы обезличивания персональных данных, они установлены в приложении 5 к Положению о порядке технической и криптографической защиты информации в информационных системах N 66 (абз. 32 п. 2.1 п. 2). К ним относятся такие методы как введение идентификаторов; изменение состава; декомпозиция; перестановка; зашифрование.

Если лицо осуществляет обработку персональных данных, а не контроль в вышеперечисленных организациях, то оно может пройти обучение как в Национальном центре, так и в иных организациях. К иным организациям относятся учреждения образования; организации с образовательной программой повышения квалификации, программой обучающих курсов; сам оператор (абз. 4 — 6 ч. 1 подп. 3.3 п. 3 Указа от 28.10.2022 N 422, подп. 1.2 п. 1 приказа ОАЦ от 12.11.2022 N 194).

С 15.11.2022 вступили в силу Закон о защите персональных данных, Указ от 28.10.2022 N 422. В их развитие Оперативно-аналитический центр при Президенте (далее — ОАЦ) 12.11.2022 издал приказы N 194 и N 195. В них уточнены вопросы обучения и технической, криптографической защиты в сфере персональных данных. Приказы ОАЦ от 12.11.2022 N 194 и N 195 действуют с 15.11.2022.

— у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физлиц. В это число не включаются персональные данные работников этих операторов (уполномоченных лиц), собранные в процессе осуществления трудовой деятельности.

1) вправе выполнять работы по технической и криптографической защите персональных данных самостоятельно либо с привлечением специализированной организации. При самостоятельном выполнении работ ИП не нужно создавать (назначать) ответственные подразделения, лиц по защите информации;

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Политика обработки персональных данных. В ней пишут, что за организация собирает данные, у кого, для чего, что именно она собирает и что будет делать с этими сведениями. Политику всегда публикуют на сайте оператора.
Положение об обработке и обеспечении безопасности персональных данных. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его нигде не нужно.
Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает оператор, чтобы их избежать. В законе о персональных данных не сказано, что модели угроз нужно прописывать в локальном акте, но я рекомендую это сделать. Одна из мер обеспечения безопасности персональных данных — определение угрозы. Как это делать, пояснила ФСТЭК в своих методических рекомендациях. Чтобы показать контролирующим органам, что вы учли рекомендации и проработали модели угроз безопасности, лучше оформить все документально.
Приказ о назначении человека, ответственного за обработку персональных данных . Им может быть юрист или ИТ-специалист.
Формы согласий на обработку персональных данных. Эти документы должны подписывать посетители сайта, то есть люди, чьи данные хочет собрать оператор.

работодатель собирает, изменяет, обезличивает, удаляет и не передает третьим лицам персональные данные своих работников. Например, собирает СНИЛС, ИНН и паспортные данные, чтобы платить за сотрудников взносы;
персональные данные нужны для гражданско-правового договора, их не распространяют и не передают третьим лицам. Например, клиент нанимает фотографа для съемки и в договоре оказания услуг пишет свои ФИО и паспортные данные. Так как после съемки фотограф не будет нигде хранить эти данные и не планирует, допустим, отправлять клиенту рекламу, становиться оператором ему не нужно;
компания публикует некоторые персональные данные с разрешения человека. К примеру, выкладывает на своем сайте фотографии работников, указывает их должности, ФИО и сведения об образовании;
персональные данные нужны, чтобы выдать разовый пропуск на территорию;
компания или физлицо собирает данные на бумаге, без средств автоматизации. Например, проводит на улице анонимный опрос о вреде курения.

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов , сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Персональные данные обучающихся в образовательной организации, основания для их обработки, защиты и хранения

Персональными данными (далее — ПД), в соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ № 152), является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, является их обработкой (ст. 3 ФЗ № 152).

Защита персональных данных в образовательных учреждениях

Защита персональных данных включает как юридический, так и технический аспекты правового регламентирования. Электронное обеспечение сбора информации – технический вопрос, а сама организация процесса относится в большей степени к вопросам делопроизводства, чем к актуальной юридической практике.

разработке локальных актов, которые будут регламентировать организацию, юридическую, техническую часть деятельности с ПДн;
определению процедуры взаимодействия со всеми надзорными органами;
распределению функций между сотрудниками, закреплению между ними задач по ведению документооборота, обработке, хранению персональных данных.

основаниями для подобных действий могут быть требования федерального законодательства, органов правосудия;
получение письменного согласия субъекта ПДн;
заключение договора с третьими лицами, в котором должны содержаться их заверения в обеспечении полной конфиденциальности и сохранности данных в процессе обработки.

Первичным документом выступает Положение о сборе и защите ПДн сотрудников, в ходе имплементации которого обязательно учитывается мнение уполномоченных профсоюзных ячеек в соответствии с требованиями статьи 372 ТК РФ. В этом законодательном акте регламентирован порядок оперирования персональными данными, содержатся методики и принципы обеспечения базовых информационных прав штатных сотрудников, определение ответственных лиц и рангов доступности ПДн по разным категориям штатных сотрудников, определение санкций за нарушения, допущенные в работе с ПДн сотрудников.