Организационно-распорядительная документация по информационной безопасности в дошкольных образовательных учреждениях

Первый документ, который необходимо издать в ДОУ, да и в любом учреждении - это ПРИКАЗ "Об ответственном за организацию обработки персональных данных".

Возникает вопрос: "Кого назначить?". Организационная структура ДОУ достаточна небольшая, и, преимущественно, сотрудники здесь не обладают соответствующими навыками и компетенциями в области информационной безопасности. Такие учреждения можно отнести к микропредприятиям.

Практика и разъяснения регуляторов в таких случаях говорят нам, что при малом штате сотрудников ответственным за организацию обработки ПДн, руководитель учреждения имеет право назначить приказом себя.

В первую очередь обратимся к руководящим документам. Их очень много, но на первом этапе обратимся к одному из основных - ФЗ №152 от 27 июля 2006 г.

Что он нам повествует?

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
(введена Федеральным законом от 25.07.2011 N 261-ФЗ)

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

(т.е. в случае возложения (назначения приказом) на себя ответственности за организацию, он же и оператор, получается, что он сам от себя получает указания, сам их выполняет и сам же перед собой отчитывается, за исключением регуляторов. Это удобно при ответственном подходе руководителя к этому процессу.) Подробно о регуляторах мы написали здесь https://safetyorg.ru/regulators

Назначение руководителя ДОУ ответственным за организацию обработки ПДн не только будет соответствовать рекомендациям регуляторов, удовлетворять потребности организации, компенсировать нехватку квалифицированного персонала, но и удовлетворять требованиям ФЗ.

Мы рекомендуем не торопиться с подачей уведомления, хотя 152-ФЗ говорит нам об обратном:

• Если оператор начал собирать ПДн, но не сообщил об этом в Роскомнадзор или отправил уведомление позже, ему придётся заплатить штраф (ч. 1 ст. 22 152‑ФЗ).

Есть исключения, когда можно обрабатывать ПДн без уведомления Роскомнадзора (ч. 2 ст. 22 152‑ФЗ):

• Данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка.
• Оператор обрабатывает данные вручную без использования средств автоматизации.
• Данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.

Почему мы рекомендуем не торопиться?
Скорее всего такое уведомление уже подано на организацию, т.к. работаем уже не первый день, месяц и год. Вам стоит проверить эти данные. Актуальны ли они, хотя и здесь вы вряд ли сразу сможете определить их актуальность, если только... ответственным за организацию обработки ПДн назначен человек, который уже не работает в организации! В этом случае данные, однозначно, не актуальны и потребуется их уточнение.
В ином случае, мы рекомендуем сначала разработать пакет ОРД, а уже потом подавать корректирующее уведомление, т.к. в процессе вы 100% найдете какие-либо категории данных, которые не указаны в первичном уведомлении!

Как проверить актуальность уведомления по НИИ: https://pd.rkn.gov.ru/operators-registry/operators-list/
Как подать уведомление мы рассмотрели в отдельной статье: https://safetyorg.ru/personal_data_2

Последний пункт в названии документа - кандидат (соискатель). Зачастую, никто не указывает эту категорию субъектов ПДн, а ведь любая организация производит обработку такой информации, а кто-то еще и хранит эти данные у себя в базах. Не будем о них забывать, ведь регуляторы стали обращать на это особое внимание.

Положение об обработке персональных данных — это локальный нормативный акт оператора персональных данных, в котором содержится подробное описание порядка обработки данных и мер по их защите.

Некоторые пункты, которые рекомендуется включить в положение:

• Общие положения. Наименование оператора, его адрес, основные термины и определения, цель разработки положения, законодательная основа обработки персональных данных.
• Принципы обработки персональных данных. Перечисление и описание принципов, изложенных в ст. 5 Федерального закона от 27.07.2006 №152-ФЗ.
• Цели обработки персональных данных. Указание целей, для которых осуществляется обработка персональных данных (например, заключение и исполнение договоров, обработка обращений граждан, ведение клиентской базы и т.д.).
• Категории обрабатываемых персональных данных. Перечень категорий персональных данных, которые оператор обрабатывает (фамилия, имя, отчество, паспортные данные, адрес электронной почты, номер телефона и т.д.).
• Субъекты персональных данных. Перечисление категорий субъектов, чьи персональные данные обрабатываются (например, работники, пользователи сайта, клиенты, партнёры, кандидаты на вакансии и т.д.).
• Порядок и условия обработки персональных данных. Способы обработки персональных данных (с использованием или без использования средств автоматизации), срок обработки персональных данных, условия прекращения обработки персональных данных и т.д..
• Права субъектов персональных данных. Описание прав субъектов, предусмотренных ст. 14–17 Закона №152-ФЗ: право на получение информации, на уточнение, блокирование или уничтожение персональных данных, право на отзыв согласия, право на обжалование действий или бездействия оператора.

Скорее всего действующее Положение вашей организации устарело, т.к. было введено еще на той стадии, когда в кругах ИнфоБеза только начиналось обсуждение биометрии, к чему относить фото и видео съемку, а про использование искусственного интеллекта вообще речи небыло. Так что вам предстоит либо доработать действующее Положение, либо переиздать.

Вот некоторые ситуации, когда необходимо вносить изменения в положение:

• изменение действующего законодательства в сфере защиты персональных данных;
• введение новых технологий или информационных систем для их обработки;
• изменение организационной структуры или бизнес-процессов компании, затрагивающих сбор или использование данных;
• результаты внутренних или внешних аудитов безопасности, выявившие несоответствия положения реальным процессам или нормам;
• предписания контролирующих органов, судебные решения или изменения в перечне обрабатываемых категорий данных.

Для замены устаревшей редакции положения на новую, вступившую в силу, требуется издать приказ. Действие обновлённого документа начинается с даты, указанной в приказе, или с момента его подписания, если иное не оговорено.

Рекомендуем в приказе написать следующее:

В связи с актуализацией Положения об обработке и защите персональных данных работников, детей, родителей (законных представителей) и кандидатов (соискателей) в МБДОУ - детский сад № ХХХ (указать лучше полное наименование организации) и с целью организации обработки персональных данных субъектов персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных"
ПРИКАЗЫВАЮ:

1. Утвердить Положение об обработке и защите персональных данных работников, детей, родителей (законных представителей) и кандидатов (соискателей) в МБДОУ - детский сад № ХХХ согласно Приложения № 1 к данному Приказу.
2. Признать утратившим силу приказ от 30.12.2015 № 113 "Об утверждении положения об обработке персональных данных работников, детей и родителей (законных представителей)"

и т.д.

Заметьте, что изменилось даже исходя из названия приказа:

• Новый приказ будет уже не только об обработке ПДн, но и о защите.
• Мы учли обработку ПДн соискателей.

Еще один момент... В работе с ДОУ мы обнаружили, что администрация ДОУ, зачем-то, согласует положение с трудовым коллективом и педагогическим советом..? Зачем эта бюрократия?!. Юридическую ответственность будет нести только администрация ДОУ, т.к. является полностью самостоятельным юридическим лицом и на то имеет документы (ИНН, ОГРН и прочие прелести), положение не противоречить требованиям ФЗ-ов. Можно подумать, что если кто-то из согласующих сторон будет против, то положение вводить не надо? Или из него надо вычеркнуть пару пунктов утвержденных ФЗ..? Решительно не понимаем и не одобряем, но дело, конечно, хозяйское.