1.
Целью ... закона является
обеспечение защиты прав и свобод человека ...
Организационные меры
по минимизации затрат
на защиту ПДн
при ведении ЭЖ
Михаил Кушнир
ноябрь 2014

2.
Цели презентации
• Круг нормативных проблем ЭЖ / ПДн
• Варианты их решения
• Нормативная шпаргалка

3.
ПДн – все данные
Статья 3. Основные понятия
1) персональные данные (ПДн) - любая информация,
относящаяся к ... физическому лицу (субъекту ПДн);
Закон «О персональных данных» №152-ФЗ

4.
Автоматизировано все
Статья 3. Основные понятия
4) автоматизированная обработка ПДн - обработка ПДн
с помощью средств вычислительной техники;
Закон «О персональных данных» №152-ФЗ

5.
Оператор ПДн
Статья 3. Основные понятия
2) оператор - ... юр. или физическое лицо ... с другими лицами
организующие и (или) осуществляющие обработку ПДн,
а также определяющие
- цели обработки ПДн,
- состав ПДн, подлежащих обработке,
- действия (операции), совершаемые с ПДн;
Закон «О персональных данных» №152-ФЗ

6.
Школа как оператор
• Копии документов обучающегося
(свидетельство о рождении)
• Копии документов родителей (паспорт)
• Контактные данные (для информирования)
• Медкарта (для медсестры из поликлиники)
…может … в форме электронного документа с использованием
информационно-телекоммуникационных сетей общего пользования
Приказ Минобрнауки от 22.01.2014 №32

7.
Организация учета
Статья 28. Компетенция … обр. организации (п.3)
10) осуществление текущего контроля успеваемости и
промежуточной аттестации обучающихся …;
11) индивидуальный учет результатов …, а также хранение в
архивах … на бумажных и (или) электронных носителях;
13) проведение самообследования, обеспечение … внутренней
системы оценки качества образования;
Закон «Об образовании в РФ» №273-ФЗ

8.
Реализация компетенции
Статья 30. Локальные нормативные акты, содержащие
нормы, регулирующие образовательные отношения
2. Образовательная организация принимает локальные
нормативные акты по основным вопросам организации и
осуществления образовательной деятельности, в том числе ...
формы, периодичность и порядок текущего контроля
успеваемости и промежуточной аттестации обучающихся...
Закон «Об образовании в РФ» №273-ФЗ

9.
Журнал – учет
Статья 44. Права, обязанности … родителей …(п.3)
4) знакомиться с содержанием образования, используемыми
методами обучения и воспитания, образовательными
технологиями, а также с оценками успеваемости своих детей;
6) получать информацию о всех видах планируемых
обследований...
Закон «Об образовании в РФ» №273-ФЗ

10.
Письмо Минобрнауки РФ
... соблюдение прав ОУ и разработчиков на самостоятельный
выбор информационных систем и на свободу конкуренции ...
Недопустим неоправданный рост трудозатрат на ведение
двойного учета, рабочие места должны быть оборудованы ...
Выбор формы ведения учета ... отнесен к компетенции ОУ
... подготовить локальные нормативные акты.
№ АП-147/07 от 15.02.2012

11.
Единые требования к ЭЖ
Администрация ОУ несет ответственность за бесперебойность
образовательного процесса с учетом рисков сбоев ЭЖ.
ЭЖ должен обеспечивать оперативный отклик (5 секунд)
В случае несоответствия выбранной реализации ЭЖ
требованиям настоящего документа ... Администрация ОУ
должна выбрать другую реализацию ЭЖ.
№ АП-147/07 от 15.02.2012

12.
Письмо Минобрнауки РФ
Часть 1. Методические рекомендации (стр.9, п.4)
Если обработка персональных данных субъекта диктуется
интересами организации, а не интересами субъекта, его
согласие может быть признано ничтожным…
… необходимо обратить внимание на особенности
мероприятий по защите персональных данных в
различных вариантах использования ЭЖ.
№ АК-3358/08 от 21.10.2014

13.
ЭЖ вне школы:
• «уведомить уполномоченный орган» …(п.1 статьи 22) и
декларировать изменения (п.7 статьи 22), включая ЭЖ
• контролировать возможность трансграничной передачи…
• хранить письменные согласия…на передачу во внешний ЭЖ
• соответствие целей обработки: согласия и внешней орг-ии
• заключить договор с ЭЖ на обработку ПДн
№ АК-3358/08 от 21.10.2014

14.
ЭЖ в школе:
• ряд перечисленных выше мероприятий может быть
сокращен и/или облегчен
при соответствующей … локальной нормативной базе
• организационно-технические меры по защите ПДн
№ АК-3358/08 от 21.10.2014

15.
Центральные реестры
Статья 5. Принципы обработки ПДн
2. ... Не допускается обработка ПДн, несовместимая с целями
сбора ПДн.
3. Не допускается объединение баз данных, содержащих ПДн,
обработка которых осуществляется в целях, несовместимых
между собой.
Вопрос 152-ФЗ: «С какой целью сдавали данные?»

16.
Регистрация оператора
Статья 22. Уведомление об обработке ПДн
2. Оператор вправе осуществлять без уведомления ... :
2) полученных оператором в связи с заключением договора...,
если ПДн не распространяются, а также не предоставляются
третьим лицам без согласия субъекта ПДн и используются
оператором исключительно для исполнения указанного договора
и заключения договоров с субъектом ПДн;

17.
Какое согласие?
Статья 9. Согласие субъекта ПДн на обработку его ПДн
1. ... в своем интересе ... в любой позволяющей подтвердить
факт его получения форме ...
4. В случаях, предусмотренных федеральным законом, ... только
с согласия в письменной форме ...
... Равнозначным ... письменной форме ... признается согласие в
форме электронного документа, подписанного ... электронной
подписью

18.
Доказательство
Статья 9. Согласие субъекта ...
3. Обязанность предоставить доказательство
получения согласия субъекта ... или наличия оснований ...
возлагается на оператора

19.
Согласие не нужно
Статья 6. Условия обработки ПДн (п.1)
2) ... для осуществления и выполнения возложенных
законодательством РФ на оператора функций...
4) ... для исполнения … государственных или
муниципальных услуг, предусмотренных … 210-ФЗ
Заказана ли услуга, чтобы слать ПДн для госуслуг?

20.
Согласие нужно
Статья 6. Условия обработки ПДн
3. Оператор вправе поручить обработку ПДн другому лицу
с согласия субъекта ПДн ...
5. В случае, если оператор поручает обработку ПДн другому
лицу, ответственность ... несет оператор

21.
Так, нужно или нет?
(школа - оператор)
Обработка ПДн Закон. функции Доп. функции
В школе
без согласия
без уведомления
согласие
без уведомления
Вне школы
согласие
уведомление
согласие
уведомление

22.
Так, нужно или нет?
(школа - оператор)
Обработка ПДн Закон. функции Доп. функции
В школе
без согласия
без уведомления
согласие
без уведомления
Вне школы
согласие
уведомление
согласие
уведомление
ИСПДн
2-4 УЗ
1-3 УЗ

23.
ЭЖ в центре
Школа-
оператор
Родитель
Данные
Школа -
оператор
Данные

24.
ЭЖ в центре
Школа-
оператор
Вопрос 273-ФЗ: «Школа этого хочет?»
Родитель
Данные
Школа -
оператор
Данные

25.
ЭЖ в центре
Школа-
оператор
Вопрос 273-ФЗ: «Школа этого хочет?»
Родитель
Данные
Договор?
Согласия?
Уведомление?
Школа -
оператор
Данные

26.
ЭЖ в центре
Школа-
оператор
Данные
Родитель
Данные
Школа -
оператор
Данные

27.
ЭЖ в центре
Достоинства Недостатки
Минимум тех. забот
• Максимум бумаг
• Проверки
• Полная зависимость
• Отсутствие контроля
над данными
Перспективы Риски
Развитие ЭЖ партнером • Отказ родителей
• Тех/орг риски
• Новый ЭЖ с нуля

28.
Тех/орг риски ЭЖ в центре
• Качество школьного канала связи
• Качество центрального узла (сервер, связь, кадры)
• Издержки в случае сбоев
• Ущерб при утечке данных
• Раздвоение ответственности
• Психологические барьеры
• Унификация и права школ на автономию
• Соблюдение формальностей и законов

29.
ЭЖ в школе
Школа
Данные
Родитель

30.
ЭЖ в школе
Достоинства Недостатки
• Без проверок
• Минимум бумаг
• Независимость
• Полный контроль над
данными
Технические издержки:
• оборудование / ПО
• кадры
• защита
• техподдержка
Перспективы Риски
Развитие ЭЖ партнером
или самостоятельно
• Тех. сбои
• Потеря кадров
• Давление «сверху»
• Смена ЭЖ

31.
ЭЖ в школе
Информационная система:
• ЭЖ
• списки
• кадры
• метод. разработки
• коммуникации
• и др.
Родитель
Школа

32.
ЭЖ в школе
Информационная система:
• ЭЖ (с минимальными ПДн,
обезличенными или общедоступными)
• и др. общие и обезличенные
Родитель
Школа
Информационная система:
• списки
• кадры
• и др. с ПДн

33.
ЭЖ в школе
Информационная система:
• ЭЖ (с минимальными ПДн,
обезличенными или общедоступными)
• и др. общие и обезличенные
Родитель
Школа
Информационная система:
• списки
• кадры
• и др. с ПДн
Локальный акт об
открытой ИСПДн
Локальный акт об
изолированной ИСПДн

34.
ЭЖ в школе
Локальный акт об
открытой ИСПДн
Родитель
ПАК
Локальный акт об
Школа
Данные
изолированной ИСПДн

35.
«Выбирайтесь своей колеей»
З а п р о с ц и в и л ь н о г о з а п р о с а н а ПДн
w w w . r u j e l . n e t
www.slideshare.net/
MichaelKushnir
m . k u s h n i r. p w
« Л и г а о б р а з о в а н и я »
М и х а и л К у ш н и р