SlideShare a Scribd company logo

20141106 ejpdn

Michael Kushnir
Michael Kushnir

Краткое описание задач с нормативным обеспечением защиты персональных данных при ведении электронных журналов успеваемости. Запись с голосом для курса по ИБ: https://www.youtube.com/watch?v=7WkRbvp8HXI

Education
1 of 35
Download to read offline
Целью ... закона является обеспечение защиты прав и свобод человека ... Организационные меры по минимизации затрат на защиту ПДн при ведении ЭЖ Михаил Кушнир ноябрь 2014
Цели презентации • Круг нормативных проблем ЭЖ / ПДн • Варианты их решения • Нормативная шпаргалка
ПДн – все данные Статья 3. Основные понятия 1) персональные данные (ПДн) - любая информация, относящаяся к ... физическому лицу (субъекту ПДн); Закон «О персональных данных» №152-ФЗ
Автоматизировано все Статья 3. Основные понятия 4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; Закон «О персональных данных» №152-ФЗ
Оператор ПДн Статья 3. Основные понятия 2) оператор - ... юр. или физическое лицо ... с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие - цели обработки ПДн, - состав ПДн, подлежащих обработке, - действия (операции), совершаемые с ПДн; Закон «О персональных данных» №152-ФЗ
Школа как оператор • Копии документов обучающегося (свидетельство о рождении) • Копии документов родителей (паспорт) • Контактные данные (для информирования) • Медкарта (для медсестры из поликлиники) …может … в форме электронного документа с использованием информационно-телекоммуникационных сетей общего пользования Приказ Минобрнауки от 22.01.2014 №32
Организация учета Статья 28. Компетенция … обр. организации (п.3) 10) осуществление текущего контроля успеваемости и промежуточной аттестации обучающихся …; 11) индивидуальный учет результатов …, а также хранение в архивах … на бумажных и (или) электронных носителях; 13) проведение самообследования, обеспечение … внутренней системы оценки качества образования; Закон «Об образовании в РФ» №273-ФЗ
Реализация компетенции Статья 30. Локальные нормативные акты, содержащие нормы, регулирующие образовательные отношения 2. Образовательная организация принимает локальные нормативные акты по основным вопросам организации и осуществления образовательной деятельности, в том числе ... формы, периодичность и порядок текущего контроля успеваемости и промежуточной аттестации обучающихся... Закон «Об образовании в РФ» №273-ФЗ
Журнал – учет Статья 44. Права, обязанности … родителей …(п.3) 4) знакомиться с содержанием образования, используемыми методами обучения и воспитания, образовательными технологиями, а также с оценками успеваемости своих детей; 6) получать информацию о всех видах планируемых обследований... Закон «Об образовании в РФ» №273-ФЗ
Письмо Минобрнауки РФ ... соблюдение прав ОУ и разработчиков на самостоятельный выбор информационных систем и на свободу конкуренции ... Недопустим неоправданный рост трудозатрат на ведение двойного учета, рабочие места должны быть оборудованы ... Выбор формы ведения учета ... отнесен к компетенции ОУ ... подготовить локальные нормативные акты. № АП-147/07 от 15.02.2012
Единые требования к ЭЖ Администрация ОУ несет ответственность за бесперебойность образовательного процесса с учетом рисков сбоев ЭЖ. ЭЖ должен обеспечивать оперативный отклик (5 секунд) В случае несоответствия выбранной реализации ЭЖ требованиям настоящего документа ... Администрация ОУ должна выбрать другую реализацию ЭЖ. № АП-147/07 от 15.02.2012
Письмо Минобрнауки РФ Часть 1. Методические рекомендации (стр.9, п.4) Если обработка персональных данных субъекта диктуется интересами организации, а не интересами субъекта, его согласие может быть признано ничтожным… … необходимо обратить внимание на особенности мероприятий по защите персональных данных в различных вариантах использования ЭЖ. № АК-3358/08 от 21.10.2014
ЭЖ вне школы: • «уведомить уполномоченный орган» …(п.1 статьи 22) и декларировать изменения (п.7 статьи 22), включая ЭЖ • контролировать возможность трансграничной передачи… • хранить письменные согласия…на передачу во внешний ЭЖ • соответствие целей обработки: согласия и внешней орг-ии • заключить договор с ЭЖ на обработку ПДн № АК-3358/08 от 21.10.2014
ЭЖ в школе: • ряд перечисленных выше мероприятий может быть сокращен и/или облегчен при соответствующей … локальной нормативной базе • организационно-технические меры по защите ПДн № АК-3358/08 от 21.10.2014
Центральные реестры Статья 5. Принципы обработки ПДн 2. ... Не допускается обработка ПДн, несовместимая с целями сбора ПДн. 3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой. Вопрос 152-ФЗ: «С какой целью сдавали данные?»
Регистрация оператора Статья 22. Уведомление об обработке ПДн 2. Оператор вправе осуществлять без уведомления ... : 2) полученных оператором в связи с заключением договора..., если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
Какое согласие? Статья 9. Согласие субъекта ПДн на обработку его ПДн 1. ... в своем интересе ... в любой позволяющей подтвердить факт его получения форме ... 4. В случаях, предусмотренных федеральным законом, ... только с согласия в письменной форме ... ... Равнозначным ... письменной форме ... признается согласие в форме электронного документа, подписанного ... электронной подписью
Доказательство Статья 9. Согласие субъекта ... 3. Обязанность предоставить доказательство получения согласия субъекта ... или наличия оснований ... возлагается на оператора
Согласие не нужно Статья 6. Условия обработки ПДн (п.1) 2) ... для осуществления и выполнения возложенных законодательством РФ на оператора функций... 4) ... для исполнения … государственных или муниципальных услуг, предусмотренных … 210-ФЗ Заказана ли услуга, чтобы слать ПДн для госуслуг?
Согласие нужно Статья 6. Условия обработки ПДн 3. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн ... 5. В случае, если оператор поручает обработку ПДн другому лицу, ответственность ... несет оператор
Так, нужно или нет? (школа - оператор) Обработка ПДн Закон. функции Доп. функции В школе без согласия без уведомления согласие без уведомления Вне школы согласие уведомление согласие уведомление
Так, нужно или нет? (школа - оператор) Обработка ПДн Закон. функции Доп. функции В школе без согласия без уведомления согласие без уведомления Вне школы согласие уведомление согласие уведомление ИСПДн 2-4 УЗ 1-3 УЗ
ЭЖ в центре Школа- оператор Родитель Данные Школа - оператор Данные
ЭЖ в центре Школа- оператор Вопрос 273-ФЗ: «Школа этого хочет?» Родитель Данные Школа - оператор Данные
ЭЖ в центре Школа- оператор Вопрос 273-ФЗ: «Школа этого хочет?» Родитель Данные Договор? Согласия? Уведомление? Школа - оператор Данные
ЭЖ в центре Школа- оператор Данные Родитель Данные Школа - оператор Данные
ЭЖ в центре Достоинства Недостатки Минимум тех. забот • Максимум бумаг • Проверки • Полная зависимость • Отсутствие контроля над данными Перспективы Риски Развитие ЭЖ партнером • Отказ родителей • Тех/орг риски • Новый ЭЖ с нуля
Тех/орг риски ЭЖ в центре • Качество школьного канала связи • Качество центрального узла (сервер, связь, кадры) • Издержки в случае сбоев • Ущерб при утечке данных • Раздвоение ответственности • Психологические барьеры • Унификация и права школ на автономию • Соблюдение формальностей и законов
ЭЖ в школе Школа Данные Родитель
ЭЖ в школе Достоинства Недостатки • Без проверок • Минимум бумаг • Независимость • Полный контроль над данными Технические издержки: • оборудование / ПО • кадры • защита • техподдержка Перспективы Риски Развитие ЭЖ партнером или самостоятельно • Тех. сбои • Потеря кадров • Давление «сверху» • Смена ЭЖ
ЭЖ в школе Информационная система: • ЭЖ • списки • кадры • метод. разработки • коммуникации • и др. Родитель Школа
ЭЖ в школе Информационная система: • ЭЖ (с минимальными ПДн, обезличенными или общедоступными) • и др. общие и обезличенные Родитель Школа Информационная система: • списки • кадры • и др. с ПДн
ЭЖ в школе Информационная система: • ЭЖ (с минимальными ПДн, обезличенными или общедоступными) • и др. общие и обезличенные Родитель Школа Информационная система: • списки • кадры • и др. с ПДн Локальный акт об открытой ИСПДн Локальный акт об изолированной ИСПДн
ЭЖ в школе Локальный акт об открытой ИСПДн Родитель ПАК Локальный акт об Школа Данные изолированной ИСПДн
«Выбирайтесь своей колеей» З а п р о с ц и в и л ь н о г о з а п р о с а н а ПДн w w w . r u j e l . n e t www.slideshare.net/ MichaelKushnir m . k u s h n i r. p w « Л и г а о б р а з о в а н и я » М и х а и л К у ш н и р

Recommended

Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...himbaza
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...Марина Зимницкая
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМКонстантин Бажин
 

Recommended

Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...himbaza
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...Марина Зимницкая
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМКонстантин Бажин
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
модуль образовательнаяое право
модуль образовательнаяое правомодуль образовательнаяое право
модуль образовательнаяое правоВера Агеева
 
Текст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИТекст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИVictor Gridnev
 
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc. Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc. Victor Gridnev
 
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...Victor Gridnev
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗАнатолий Попов
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработкеTCenter500
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal datasbur
 
Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...Victor Gridnev
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)Victor Gridnev
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхTCenter500
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015Ksenia Shudrova
 
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...Artem Kozlyuk
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Artem Kozlyuk
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
20120518 pdedu
20120518 pdedu20120518 pdedu
20120518 pdeduMichael Kushnir
 

More Related Content

What's hot

Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
модуль образовательнаяое право
модуль образовательнаяое правомодуль образовательнаяое право
модуль образовательнаяое правоВера Агеева
 
Текст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИТекст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИVictor Gridnev
 
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc. Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc. Victor Gridnev
 
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...Victor Gridnev
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработкеTCenter500
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal datasbur
 
Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...Victor Gridnev
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)Victor Gridnev
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхTCenter500
 
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...Artem Kozlyuk
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Artem Kozlyuk
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 

What's hot (20)

Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
модуль образовательнаяое право
модуль образовательнаяое правомодуль образовательнаяое право
модуль образовательнаяое право
 
Текст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИТекст проекта акта изменений 928 по БГИР и НСИ
Текст проекта акта изменений 928 по БГИР и НСИ
 
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc. Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
Постановление Правительства 487 от 1 июля 2016 на тему близкую про НСИ и etc.
 
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
Rонцепция региональной информатизации 2015 (итоговая от 29 декабря 2014 г. №...
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработке
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal data
 
Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...Проект постановления Правительства Российской Федерации «О базовых государств...
Проект постановления Правительства Российской Федерации «О базовых государств...
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"
 
Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)Про планы информатизации ОГВ (методические рекомендации)
Про планы информатизации ОГВ (методические рекомендации)
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данных
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015
 
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
Подзаконка по 97-ФЗ - Регламент хранения информации и порядок ее предоставлен...
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 

Similar to 20141106 ejpdn

Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
eLearning 4G.соответствие фз
eLearning 4G.соответствие фзeLearning 4G.соответствие фз
eLearning 4G.соответствие фзDmitry Krechman
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Legaltax
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 

Similar to 20141106 ejpdn (20)

Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
20120518 pdedu
20120518 pdedu20120518 pdedu
20120518 pdedu
 
2011_ej_roadmap
2011_ej_roadmap2011_ej_roadmap
2011_ej_roadmap
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
Private data in education process
Private data in education processPrivate data in education process
Private data in education process
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization Requirement
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
eLearning 4G.соответствие фз
eLearning 4G.соответствие фзeLearning 4G.соответствие фз
eLearning 4G.соответствие фз
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
 

More from Michael Kushnir

More from Michael Kushnir (20)

20170720 ej
20170720 ej20170720 ej
20170720 ej
 
20160416 edu subjectum
20160416 edu subjectum20160416 edu subjectum
20160416 edu subjectum
 
20150915 edoc2
20150915 edoc220150915 edoc2
20150915 edoc2
 
20150528 new edusys
20150528 new edusys20150528 new edusys
20150528 new edusys
 
20140808 stereotype
20140808 stereotype20140808 stereotype
20140808 stereotype
 
20140424 ios3
20140424 ios320140424 ios3
20140424 ios3
 
20140327 spb
20140327 spb20140327 spb
20140327 spb
 
20131220 vuz crizis
20131220 vuz crizis20131220 vuz crizis
20131220 vuz crizis
 
20131127 mirbis
20131127 mirbis20131127 mirbis
20131127 mirbis
 
20120820 intel ios_qa
20120820 intel ios_qa20120820 intel ios_qa
20120820 intel ios_qa
 
20120906 site law
20120906 site law20120906 site law
20120906 site law
 
20120906 ej hmao
20120906 ej hmao20120906 ej hmao
20120906 ej hmao
 
20120820 intel ios
20120820 intel ios20120820 intel ios
20120820 intel ios
 
20120808 edulaw pdn
20120808 edulaw pdn20120808 edulaw pdn
20120808 edulaw pdn
 
20120823pedfest
20120823pedfest20120823pedfest
20120823pedfest
 
20120703 ej
20120703 ej20120703 ej
20120703 ej
 
20120702 ios
20120702 ios20120702 ios
20120702 ios
 
20120518 ej risk
20120518 ej risk20120518 ej risk
20120518 ej risk
 
20120419disttutor
20120419disttutor20120419disttutor
20120419disttutor
 
20120327 new it
20120327 new it20120327 new it
20120327 new it
 

20141106 ejpdn

  • 1. Целью ... закона является обеспечение защиты прав и свобод человека ... Организационные меры по минимизации затрат на защиту ПДн при ведении ЭЖ Михаил Кушнир ноябрь 2014
  • 2. Цели презентации • Круг нормативных проблем ЭЖ / ПДн • Варианты их решения • Нормативная шпаргалка
  • 3. ПДн – все данные Статья 3. Основные понятия 1) персональные данные (ПДн) - любая информация, относящаяся к ... физическому лицу (субъекту ПДн); Закон «О персональных данных» №152-ФЗ
  • 4. Автоматизировано все Статья 3. Основные понятия 4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; Закон «О персональных данных» №152-ФЗ
  • 5. Оператор ПДн Статья 3. Основные понятия 2) оператор - ... юр. или физическое лицо ... с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие - цели обработки ПДн, - состав ПДн, подлежащих обработке, - действия (операции), совершаемые с ПДн; Закон «О персональных данных» №152-ФЗ
  • 6. Школа как оператор • Копии документов обучающегося (свидетельство о рождении) • Копии документов родителей (паспорт) • Контактные данные (для информирования) • Медкарта (для медсестры из поликлиники) …может … в форме электронного документа с использованием информационно-телекоммуникационных сетей общего пользования Приказ Минобрнауки от 22.01.2014 №32
  • 7. Организация учета Статья 28. Компетенция … обр. организации (п.3) 10) осуществление текущего контроля успеваемости и промежуточной аттестации обучающихся …; 11) индивидуальный учет результатов …, а также хранение в архивах … на бумажных и (или) электронных носителях; 13) проведение самообследования, обеспечение … внутренней системы оценки качества образования; Закон «Об образовании в РФ» №273-ФЗ
  • 8. Реализация компетенции Статья 30. Локальные нормативные акты, содержащие нормы, регулирующие образовательные отношения 2. Образовательная организация принимает локальные нормативные акты по основным вопросам организации и осуществления образовательной деятельности, в том числе ... формы, периодичность и порядок текущего контроля успеваемости и промежуточной аттестации обучающихся... Закон «Об образовании в РФ» №273-ФЗ
  • 9. Журнал – учет Статья 44. Права, обязанности … родителей …(п.3) 4) знакомиться с содержанием образования, используемыми методами обучения и воспитания, образовательными технологиями, а также с оценками успеваемости своих детей; 6) получать информацию о всех видах планируемых обследований... Закон «Об образовании в РФ» №273-ФЗ
  • 10. Письмо Минобрнауки РФ ... соблюдение прав ОУ и разработчиков на самостоятельный выбор информационных систем и на свободу конкуренции ... Недопустим неоправданный рост трудозатрат на ведение двойного учета, рабочие места должны быть оборудованы ... Выбор формы ведения учета ... отнесен к компетенции ОУ ... подготовить локальные нормативные акты. № АП-147/07 от 15.02.2012
  • 11. Единые требования к ЭЖ Администрация ОУ несет ответственность за бесперебойность образовательного процесса с учетом рисков сбоев ЭЖ. ЭЖ должен обеспечивать оперативный отклик (5 секунд) В случае несоответствия выбранной реализации ЭЖ требованиям настоящего документа ... Администрация ОУ должна выбрать другую реализацию ЭЖ. № АП-147/07 от 15.02.2012
  • 12. Письмо Минобрнауки РФ Часть 1. Методические рекомендации (стр.9, п.4) Если обработка персональных данных субъекта диктуется интересами организации, а не интересами субъекта, его согласие может быть признано ничтожным… … необходимо обратить внимание на особенности мероприятий по защите персональных данных в различных вариантах использования ЭЖ. № АК-3358/08 от 21.10.2014
  • 13. ЭЖ вне школы: • «уведомить уполномоченный орган» …(п.1 статьи 22) и декларировать изменения (п.7 статьи 22), включая ЭЖ • контролировать возможность трансграничной передачи… • хранить письменные согласия…на передачу во внешний ЭЖ • соответствие целей обработки: согласия и внешней орг-ии • заключить договор с ЭЖ на обработку ПДн № АК-3358/08 от 21.10.2014
  • 14. ЭЖ в школе: • ряд перечисленных выше мероприятий может быть сокращен и/или облегчен при соответствующей … локальной нормативной базе • организационно-технические меры по защите ПДн № АК-3358/08 от 21.10.2014
  • 15. Центральные реестры Статья 5. Принципы обработки ПДн 2. ... Не допускается обработка ПДн, несовместимая с целями сбора ПДн. 3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой. Вопрос 152-ФЗ: «С какой целью сдавали данные?»
  • 16. Регистрация оператора Статья 22. Уведомление об обработке ПДн 2. Оператор вправе осуществлять без уведомления ... : 2) полученных оператором в связи с заключением договора..., если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
  • 17. Какое согласие? Статья 9. Согласие субъекта ПДн на обработку его ПДн 1. ... в своем интересе ... в любой позволяющей подтвердить факт его получения форме ... 4. В случаях, предусмотренных федеральным законом, ... только с согласия в письменной форме ... ... Равнозначным ... письменной форме ... признается согласие в форме электронного документа, подписанного ... электронной подписью
  • 18. Доказательство Статья 9. Согласие субъекта ... 3. Обязанность предоставить доказательство получения согласия субъекта ... или наличия оснований ... возлагается на оператора
  • 19. Согласие не нужно Статья 6. Условия обработки ПДн (п.1) 2) ... для осуществления и выполнения возложенных законодательством РФ на оператора функций... 4) ... для исполнения … государственных или муниципальных услуг, предусмотренных … 210-ФЗ Заказана ли услуга, чтобы слать ПДн для госуслуг?
  • 20. Согласие нужно Статья 6. Условия обработки ПДн 3. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн ... 5. В случае, если оператор поручает обработку ПДн другому лицу, ответственность ... несет оператор
  • 21. Так, нужно или нет? (школа - оператор) Обработка ПДн Закон. функции Доп. функции В школе без согласия без уведомления согласие без уведомления Вне школы согласие уведомление согласие уведомление
  • 22. Так, нужно или нет? (школа - оператор) Обработка ПДн Закон. функции Доп. функции В школе без согласия без уведомления согласие без уведомления Вне школы согласие уведомление согласие уведомление ИСПДн 2-4 УЗ 1-3 УЗ
  • 23. ЭЖ в центре Школа- оператор Родитель Данные Школа - оператор Данные
  • 24. ЭЖ в центре Школа- оператор Вопрос 273-ФЗ: «Школа этого хочет?» Родитель Данные Школа - оператор Данные
  • 25. ЭЖ в центре Школа- оператор Вопрос 273-ФЗ: «Школа этого хочет?» Родитель Данные Договор? Согласия? Уведомление? Школа - оператор Данные
  • 26. ЭЖ в центре Школа- оператор Данные Родитель Данные Школа - оператор Данные
  • 27. ЭЖ в центре Достоинства Недостатки Минимум тех. забот • Максимум бумаг • Проверки • Полная зависимость • Отсутствие контроля над данными Перспективы Риски Развитие ЭЖ партнером • Отказ родителей • Тех/орг риски • Новый ЭЖ с нуля
  • 28. Тех/орг риски ЭЖ в центре • Качество школьного канала связи • Качество центрального узла (сервер, связь, кадры) • Издержки в случае сбоев • Ущерб при утечке данных • Раздвоение ответственности • Психологические барьеры • Унификация и права школ на автономию • Соблюдение формальностей и законов
  • 29. ЭЖ в школе Школа Данные Родитель
  • 30. ЭЖ в школе Достоинства Недостатки • Без проверок • Минимум бумаг • Независимость • Полный контроль над данными Технические издержки: • оборудование / ПО • кадры • защита • техподдержка Перспективы Риски Развитие ЭЖ партнером или самостоятельно • Тех. сбои • Потеря кадров • Давление «сверху» • Смена ЭЖ
  • 31. ЭЖ в школе Информационная система: • ЭЖ • списки • кадры • метод. разработки • коммуникации • и др. Родитель Школа
  • 32. ЭЖ в школе Информационная система: • ЭЖ (с минимальными ПДн, обезличенными или общедоступными) • и др. общие и обезличенные Родитель Школа Информационная система: • списки • кадры • и др. с ПДн
  • 33. ЭЖ в школе Информационная система: • ЭЖ (с минимальными ПДн, обезличенными или общедоступными) • и др. общие и обезличенные Родитель Школа Информационная система: • списки • кадры • и др. с ПДн Локальный акт об открытой ИСПДн Локальный акт об изолированной ИСПДн
  • 34. ЭЖ в школе Локальный акт об открытой ИСПДн Родитель ПАК Локальный акт об Школа Данные изолированной ИСПДн
  • 35. «Выбирайтесь своей колеей» З а п р о с ц и в и л ь н о г о з а п р о с а н а ПДн w w w . r u j e l . n e t www.slideshare.net/ MichaelKushnir m . k u s h n i r. p w « Л и г а о б р а з о в а н и я » М и х а и л К у ш н и р