Публикации Особенности обработки и защиты персональных данных в образовательных организациях.

Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.

Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Особенности обработки и защиты персональных данных в образовательных организациях.
Автор: Вантеев Антон Владимирович

Особенности обработки и защиты персональных данных в образовательных организациях.Культура информационной безопасности, включая процесс защиты персональных данных (далее –ПДн) должна иметь место в процессе обучения граждан и получения жизненного опыта.На сегодняшний день, большая часть подрастающего (молодого) поколения не придает особого значения области соблюдения законодательства о ПДн из-за низкой осведомленности или потому что они еще не попадали в неприятные ситуации вокруг распространения или утечки своих ПДн или ПДн своих близких.Опыт взаимодействия Федеральной служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) с образовательными организациями (далее – ОО) показывает, что ОО – место, где до граждан доносят понятия и понимание законов как в общем, так и в частности понятия конфиденциальности, приватности и информации ограниченного доступа.Однако ОО не может быть наставником для обучающихся по соблюдению законодательства в области ПДн, если в ней самой грамотно не организован процесс обработки и защиты ПДн.Актуальность вопроса защиты информации обусловлена несколькими факторами:

Утечками персональных данных в крупных Российских корпорациях.

В 2019 году произошли утечки персональных данных в компании «Билайн» (2млн. человек), портале «ГосУслуги» (28 тыс человек.), «СберБанк» (1млн.человек)). В 2020 году в сеть утекли данные программы лояльности «Красное & Белое» (17 млн. человек), выгрузка из базы портала SuperJob (4,8 млн. человек), а также данные клиентов Joom, Авито и др. В 2021 году произошла утечка данных в «Совкомбанке» (150 тыс. человек), ГИБДД (50 млн. человек) и др.При этом, стоит отметить, что в штате крупных организаций имеются квалифицированные специалисты по защите информации (а в некоторых и целые департаменты), соответственно для образовательных организаций вопрос защиты ПДн актуален как никогда

Ростом обращений в уполномоченный орган (Роскомнадзор).

По состоянию на конец 2021 г. число обращений в Роскомнадзор выросло на 64,5% по отношению с 2016 г. Динамика поступления обращений в Роскомнадзор представлена на рис. 1.Рис. 1 - Динамика поступления обращений в Роскомнадзор 2016-2021гг.

Значительными объемами обрабатываемых ПДн в образовательной организации и определенной категорией субъектов.

Особенную актуальность этот обработки и защиты ПДн обретает, когда в роли оператора ПДн выступает образовательная организация. Прежде всего, это связано с довольно большими объёмами обрабатываемых ПДн, а также нужно иметь ввиду, что большую часть субъектов ПДн представляет одна из наименее защищенных категорий субъектов ПДн – граждане, не достигшее совершеннолетия. Компрометация ПДн подрастающего поколения в комплекте с данными их родителей, может иметь очень широкий диапазон негативных последствий, выражающихся как в нравственном, так и финансовом плане. Учитывая специфику мышления и психику несовершеннолетнего, голословно использованные ПДн в целях осуществления провокаций, травли или иных действий, ориентированных на подавление морального состояние и психики несовершеннолетнего, может стать причиной чреватых последствий, вплоть до летального исхода.Исходя от вышеизложенного, строгое соблюдение прав юных субъектов ПДн и их законных представителей, а также обеспечение сохранности их ПДн становится критически важной задачей ОО. Грамотная организация процесса обработки персональных данных, ответственное отношение к обеспечению их безопасности являются факторами, позволяющими максимально снизить риски наступления негативных последствий. Особенности обработки ПДн в сфере образования.На порядок организации обработки ПДн в ОО накладывается ряд особенностей.В соответствии со ст. 351.1 Трудового кодекса Российской Федерации (далее –ТК РФ) к трудовой деятельности в ОО, детских лагерях, медицинских организациях, организациях социальной защиты, детско-юношеский спортивных школах и т.п. не дозволяются лица с судимостью, а также лица, подвергавшиеся уголовному преследованию.В целях выполнения требований законодательства, при приеме на работу в образовательные организации кандидаты на вакантную должность предоставляют справку об отсутствии (наличии) судимости, полученную в органах Министерства внутренних дел Российской Федерации. Согласно ч. 3 ст. 10 Федерального закона РФ № 152-ФЗ «О персональных данных» (далее – ФЗ №152) обработка данных о судимости может осуществляться государственными (муниципальными) органами в пределах полномочий, предоставленных в соответствии с законодательством РФ.Таким образом, образовательные организации, указанные в ст. 351.1 ТК РФ вправе обрабатывать сведения о судимости сотрудников (соискателей) в отличие от иных операторов, чьи полномочия по такой обработке не определены законодательством РФ. Согласно п. 2 ч. 6 ст. 28 Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» (далее – ФЗ №273) образовательная организация обязана создавать безопасные условия обучения, воспитания обучающихся, присмотра и ухода за обучающимися, их содержания в соответствии с установленными нормами, обеспечивающими жизнь и здоровье обучающихся и работников.Обработка ПДн должна осуществляться с соблюдением норм, принципов и правил, предусмотренных ФЗ №152 и ограничиваться достижением конкретных законных целей. Обработке подлежат ПДН, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Если в процессе приёма граждан на обучение образовательная организация вносит ПДн в автоматизированную информационную систему (федеральную, государственную, муниципальную), то в первую очередь это необходимо в целях исполнения обязанностей, предусмотренных законодательством и отдельными нормативно-правовыми актами. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки (истечение срока действия согласия на обработку ПДн – например завершения образовательной программы) или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ. При осуществлении хранения ПДн, Оператор обязан использовать базы данных, находящиеся только на территории Российской Федерации, в соответствии с ч. 5 ст. 18 ФЗ №152.Кроме того, ОО обязана передавать ПДн по требованию уполномоченных органов в соответствии с законодательством РФ.В отношении размещения информации на web-сайте ОО также необходимо руководствоваться законодательством РФ. Во исполнение требований ч. 1 ст. 18.1 ФЗ №152 ОО обязана подготовить и издать документы, определяющие политику оператора ПДн в отношении обработки ПДн, локальные акты (организационно-распорядительную документацию) по вопросам обработки ПДн, а также документы, устанавливающие мероприятия, направленные на предотвращение и выявление нарушении законодательства РФ.Образовательная организация также обязана опубликовать (обеспечить неограниченный доступ) документ, определяющий его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Образовательная организация, осуществляющая сбор ПДн с использованием технологической системы, предназначенной для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники, обязано опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к организации защиты ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.Отдельно следует подчеркнуть размещение ПДн на официальных сайтах ОО. Принимая во внимание, что ОО осуществляют обработку ПДн своих сотрудников из числа руководителей и научного-педагогического состава, стоит отметить особенность, предусмотренную ст. 29 ФЗ №273, предусматривающую размещение на официальном сайте ОО в сети «Интернет» информации о руководителе ОО, его заместителях, руководителях ОО (при их наличии), а также о персональном составе педагогических сотрудников с указанием уровня образования, квалификации и опыта работы. Порядок размещения такой информации и ее состав представлены в Правилах размещения на официальном сайте ОО в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации, утвержденных постановлением Правительства РФ от 10 июля 2013 г. № 582.Важно, чтобы ОО соблюдала свои обязанности при обработке ПДн.Обязанности ОО при обработке ПДн по принципу «УОПСС»:

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 ФЗ №152).

Все организации Российской Федерации, вне зависимости от формы собственности и организационно-правовой формы, осуществляющие обработку ПДн обязаны уведомить (направить уведомление об обработке или о намерении осуществлять обработку ПДн, а в случае каких-либо изменений, направить информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн).

Обеспечить конфиденциальность персональных данных (ст. 7 ФЗ №152).

Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 ФЗ №152).

Оператор обязан принимать меры, необходимые и достаточные для обеспечения безопасности ПДн. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ №152 и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ №152 или другими федеральными законами.

Соблюдать требования по локализации персональных данных россиян (ч. 5 ст. 18 ФЗ №152).

При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ №152.

Своевременно прекратить обработку персональных данных (ч. 4-5 ст. 21 ФЗ №152).

В случае достижения цели обработки ПДн или в случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в срок, установленный Федеральными законами.Неукоснительное соблюдение принципа «УОПСС» позволит эффективно обеспечить защиту обрабатываемых ПДн в образовательной организации и избежать нарушений требований законодательства.