#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

защита ПДн в РособразованияОчень интересный документ выложен на сайте Федерального агентства по образованию.

Документ свежий, датирован 29 июля и предназначен руководителям всех учреждений подведомственных Рособразованию, вышел он за подписью Руководителя Рособразования Булаева Николая Ивановича. Под скромным названием «Об обеспечении защиты персональных данных» прячется по-настоящему примечательный документ. Впервые сталкиваюсь со столь грамотно составленным письмом, в котором на 8 листах Приложения просто и доходчиво изложена суть организации защиты персональных данных.

Выход данного документа спровоцирован письмом из Роскомнадзора, и возможно, приложение написано специалистами этого органа.

Автор статьи: Царев Евгений

17 комментариев

    Евгений, а что Вас удивляет?
    Да, вот такого уровня компетенции уже начали достигать операторы.
    Для продавцов ИБ скоро простого имения текстов ФЗ, ПП и регуляторских приказов будет недостаточно.

    Майя Ольшанская:

    Написано действительно хорошо. Зря правда пишут про декларацию соответствия. Берут её из 184-ФЗ «О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ». Такая декларация по идее требует меньше расходов, чем аттестат соответствия. Однако по этому закону должен быть проработан «технический регламент» (ТР) и принят как ФЗ или постановление правительства. Увы ТР можно по пальцам пересчитать, и ИБ среди них нет. Хотя в том же 184-ФЗ указано, что ТР (огромное количество сфер деятельности) должны быть приняты к 2010 году (опять этот 2010 год, свет на нем клином сошелся), по подсчетам Экспертов их не одна сотня…

    Майя Ольшанская:

    Тут пишется, что от абитуриентов нужно письменное согласие на обработку ПД. Встает вопрос придано ли звание Федерального закона «закону об образовании». Если да, то смотрим Глава 2, статья 6 пункт 2 ФЗ 152: «Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
    1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;»

    Майя Ольшанская: Не совсем понятно. В законе об образовании не говорится о персональных данных.

    Майя Ольшанская:

    Может я, конечно, опережаю события… Просто сравнительно недавно попалась на глаза статейка http://www.rujel.net/ideas/persdatasaga . В частности там высказывалось предположение :»Согласно публикациям, Министерство образования и науки планирует внести коррективы в Закон об образовании. Если в новую редакцию закона войдут положения, предусматривающие условия работы учреждений образования с ПД, задача администрации школы облегчится».
    Письма эти пойдут в управления образованием, но фактически коснутся именно школ, университетов, училищ.

    Хороший документ. Особенно заключительная часть в стиле «что не знаете — обращайтесь за консультациями к професионалам».
    И прекрасный повод активизироваться поставщикам соответствующих услуг.

    mk:

    Как автор «Саги» не понял, откуда взялась часть про консультации у профессионалов — видимо, «склеилось» с чем-то еще 🙂
    По поводу долгожданных рекомендаций МОН восторгов не понял. Видимо, отношение у читателей к этому документу сильно зависит от мотивации. Единственный плюс — список необходимых документов, т.к. их конечность их переченя при самостоятельном копании вызывала серьезные сомнения.
    Относительный плюс — все-таки, из длинного списка документов сделали список действий, особенно приятный в отношении класса 3, поскольку большинство школьных систем относится именно к нему. Однако самый актуальный ПРОЦЕДУРНЫЙ момент рекомендаций — подготовка самостоятельной декларации — совершенно не оформлен. Я не «наивный пользователь» — уже покопался в документах,- но я не смогу уверенно подготовить декларацию по этому документу. А связываться со сторонними конторами … Да, директор скорее «забьет» на все эти ИТ, чем станет в это ввязываться. И будет прав: всего счастья на 3 года с непредсказуемым продолжением (кто знает, когда и что внесут в эти правила?)

    mk:

    По поводу ПД в законе «Об образовании»: там указаны все упомянутые в законе о ПД условия, чтобы обойтись без разрешений, хотя сами слова о ПД не упомянуты

    mk:

    Должен сам себя поправить: все-таки самое важное в рекомендациях — разблюдовка вариантов решения проблемы сертификации и возможность написания САМОСТОЯТЕЛЬНОЙ декларации для К3. Остальное — выше.

    Известный:

    8.mk Says:
    По поводу ПД в законе “Об образовании”: ….сами слова о ПД не упомянуты

    То mk: Следовательно, данный закон НЕ устанавливает цель обработки ПД, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также НЕ определяет полномочия оператора..

    mk:

    формулировка Федерального закона «Об образовании» о необходимости осуществления текущего контроля успеваемости и промежуточной аттестации обучающихся образовательным учреждением отвечает требованиям Закона РФ «О персональных данных», при наличии которых получения согласия не требуется:
    1. установлена цель обработки персональных данных — осуществление текущего контроля успеваемости и промежуточной аттестации обучающихся
    2. условия получения персональных данных – в ходе образовательного процесса;
    3. круг субъектов – обучающиеся образовательного учреждения.

    Известный:

    За Ваши домыслы, Вам +100..

    mk:

    очаровательный feedback 🙂
    а по существу?

    Известный:

    А по существу: правоприменители должны трактовать любой НПА, так, как есть. Предположения, гипотезы, домыслы не могут служить доказательной базой… Есть буква — хорошо, нет — dura lex sed lex…

    mk:

    Где нарушена буква?
    ==
    Закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:
    Статья 6. Условия обработки персональных данных
    … 2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
    1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

    Закон РФ от 10.07.1992 N 3266-1 «Об образовании»:
    Статья 32. п.2. К компетенции образовательного учреждения относятся:
    … 16) осуществление текущего контроля успеваемости и промежуточной аттестации обучающихся образовательного учреждения в соответствии со своим уставом и требованиями настоящего Закона;

    Известный:

    Контроль успеваемости и аттестация имеют несколько иную цель — повышение качества образования, а не осуществление обработки ПД.
    Соответственно, обработка ПД будешь лишь следствием осуществления контроля успеваемости и аттестации. И так как в законе «Об образовании» «…сами слова о ПД не упомянуты…», применяются специальные нормы права, определенные 152-ФЗ, общие принципы которого Вам известны (в частности, ч.1 ст.6, ч.1 ст.22 и т.д).

    mk:

    С Вашей трактовкой цели образования в смысле закона не согласен.
    Учет успеваемости — технологическая составляющая процесса образования, реализуемого учреждением образования на основании федерального закона об образовании, неотделимая от учета участия в нем учащихся (виноват, «обучающихся»). Обезличенный их учет в этой ситуации невозможен. Все признаки, предусмотренные законом о ПД, в законе об образовании, на мой взгляд, указаны.
    — из чего следует необходимость присутствия слов «ПД» в ФЗ?
    — следует ли из Вашего подхода, что необходимо доказывать неотделимость учета успеваемости от обработки ПД?
    — значит ли это, что учреждение образования может НЕ вести учет в отношении тех учащихся, родители которых не предоставили необходимых разрешений (только необходимо прописать это в локальных актах)?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.