Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области «Об исполнении законодательства по защите персональных данных в образовательных организациях Иркутской области» 2014 г. Иркутск На территории Иркутской области уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», является Управление Роскомнадзора по Иркутской области. Контактная информация Управления Адрес Управления Роскомнадзора по Иркутской области Сайты Телефоны/факс Отдел по защите прав субъектов персональных данных и надзора в сфере информационных технологий 664011, г. Иркутск, ул. Халтурина, д. 7, а/я 169 38.rsoc.ru / 38.роскомнадзор.рф rsoc.ru / роскомнадзор.рф pd.rsoc.ru 8 (3952) 25-50-93, 34-19-91, 28-91-63, 28-91-71, 28-91-83, 28-91-72, 28-91-53. Начальник отдела Савченко Александр Леонидович Главный специалист – эксперт Лавров Алексей Геннадьевич Специалист – эксперт Ломакина Мария Владимировна Специалист 1 разряда Цыренжапова Оюна Викторовна Основные положения Федерального Закона от 27.07.06 г. № 152-ФЗ «О персональных данных Оператор (ч.2 ст. 3) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Федеральные органы государственной власти Исполнительные органы государственной власти субъектов РФ Государственные (федерал. и областные) учреждения, пред. Органы местного самоуправления Муниципальные учреждения Юридические лица Физические лица Центральные аппараты, территориальные органы федеральных органов исполнительной власти Правительства и Администрации субъектов РФ, их структурные подразделения ФГУПы, ФГУ, ОГУ, в т.ч. Центры занятости населения ОМСУ всех уровней Больницы, школы, детские сады, коммунальные, службы и т.п. ООО, ЗАО, ОАО, ОДО и т.п. Нотариусы, адвокаты и т.п. Основные положения Федерального Закона от 27.07.06 г. № 152-ФЗ «О персональных данных Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Следовательно, муниципальные образовательные учреждения, областные образовательные учреждения в рамках осуществляемой деятельности обрабатывают персональные данные разных категорий субъектов, соответственно, подпадают под понятие Оператор, обрабатывающий персональные данные. В соответствии с ч. 1 ст. 22 Федерального закона оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных. Таким образом, операторы, в том числе муниципальные образовательные учреждения, областные образовательные учреждения обязаны направить в адрес уполномоченного органа Уведомление об обработке персональных данных, содержащее все сведения, предусмотренные ч. 3 ст. 22 Федерального закона. Соблюдение требований законодательства в области персональных данных Внешняя работа Внутренняя работа Направить уведомление об обработке ПД в уполномоченный орган и иные действия. Связанные с ведение государственного реестра операторов ст. 22 До начала обработки определить цели обработки, правовые основания обработки, категории ПД и категории субъектов ПД, сроки и условия прекращения обработки ПД Соблюдения требований закона (ст. 6, ст. 7, ст. 9) при передаче (распространении) ПД третьим лицам, в т.ч. при поручении обработки ПД третьим лицам от лица УК обеспечения требований ч. 4 ст. 6 Подготовить документы и провести все необходимые мероприятия в отношении работников обеспечивающие соблюдение требований Главы 14 (ст. 86-90 ТК) Соблюдения требований закона (ст. 9, 14. ст. 18, 18.1, 19 ст. 20, ст. 21, ст. 23 при поступлении запроса о предоставлении информации от Субъекта ПД или Уполн. органа Устранить нарушения законодательства, допущенные при обработке ПД, а также по уточнению, блокированию и уничтожению ПД Обеспечить при обработке ПД требования, предусмотренные п.п. 3, 5, 6, 7,8, 13, 15 ПП РФ от 15 сентября 2008 г. № 687 Организовать работу и Обеспечить при обработке ПД требования, ПП РФ от 1.11.2012 №1119, ст. 18.1, 19, 22.1 152-ФЗ Принимать необходимые организационные и технические меры для защиты ПД Содержание уведомления об обработке персональных данных (п. 3 ст. 22 152-ФЗ) 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона № 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; (п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ) 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; (п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ) 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; (п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ) 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Обратите внимание! Операторы муниципальные образовательные учреждения, областные образовательные учреждения, которые осуществляли обработку персональных данных и зарегистрировавшиеся в реестре операторов, осуществляющих обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 ФЗ № 152 «О персональных данных»): информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22) фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22) сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22) Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных должно включать следующую информацию: 1) Полное, сокращенное наименование (фамилия, имя, отчество), адрес оператора; 2) Регистрационный номер записи в Реестре (можно увидеть на сайте www.38.rsoc.ru) 3) Основания изменений (изменения Федерального закона «О персональных данных» № 152-ФЗ, изменение наименование и др.) 4) Заполнять необходимо только те поля информационного письма, в которые вносятся изменения ОБРАЗЕЦ ИНФОРМАЦИОННОГО ПИСЬМА Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Наименование (фамилия, имя, отчество) оператора: муниципальное бюджетное общеобразовательное учреждение города Тулуна "Средняя общеобразовательная школа № 4" (МБОУ СОШ №4), Адрес оператора Адрес местонахождения: 665268, Иркутская область, г. Тулн, ул. Красноармейская, д. 4 Почтовый адрес: 665268, Иркутская область, г. Тулн, ул. Красноармейская, д. 4 Регистрационный номер записи в Реестре: 09-0077316 Основания изменений: изменение наименования учреждения, изменение Федерального закона № 152-ФЗ ИНН: 3816002375 Ответственный за организацию обработки персональных данных: Титкова Анна Ивановна Номера контактных телефонов, почтовые адреса и адреса электронной почты ответственного за организацию обработки персональных данных: 8(39530) 2-24-50, факс 8(39530) 41-0-99, 665268, Иркутская область, г. Тулун, ул. Красноармейская, д. 4, podobedshkola42008@rambler.ru Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Составлены положение о работе с персональными данными работников, обучающихся образовательного учреждения и их родителей (законных представителей), перечень сведений ограниченного доступа, Перечень должностей, осуществляющих обработку персональных данных в МБОУ СОШ№4, листы согласия на обработку персональных данных сотрудников, обучающихся, соглашение о неразглашении персональных данных, Должность ___________________________________ Расшифровка Порядок работы с порталом персональных данных http://pd.rkn.gov.ru/operators-registry/operators-list/ 13 Порядок работы с информационным письмом на сайте http://www.38.rsoc.ru 1 шаг 2 шаг Статистика по внесению изменений в сведения операторов, являющихся образовательными учреждениями Иркутской области По состоянию на 30.10.2014 в реестре выявлено 658 (70 % от всего реестра по И.О.) операторов, являющихся образовательными учреждениями, из них на по 260 представлены полные сведения предусмотренные ч. 2.1 ст. 25 ФЗ № 152 «О персональных данных» По 398 нет информации либо представлены не по форме (иные нарушения порядка) (25 % - Иркутск, 13 % - Иркутский район, 10 % - Тулун, 5% - Усть-Кут, Свирск, Киренск, Ангарск, 2-3% - Усолье-Сибиское, Осинский район, Нижнеудинский район, нижнеилимский район, Качуг, Усть-Илимск, Саянск представлены не по форме (иные нарушения порядка) Сведения представляются в форме уведомления, представляются не подписанные, в т.ч. ненадлежащие представляются копии инф. писем, по факсу Не представлены до 31.12.2014 Запрос Управления АП по ст. 19.7 Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области Спасибо за внимание! Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Иркутской области Савченко Александр Леонидович 2014 г.