Школа обязана защищать персданные в соответствии с Требованиями к защите. Для этого следует определить необходимый уровень защищенности (ч. 1 и 2 ст. 19 Закона о персональных данных). Всего их четыре (п. 8 Требований к защите). От уровня защищенности в информационных системах зависит объем и перечень требований, которые нужно выполнять. Состав и содержание организационных и технических мер по безопасности персданных утвердили ФСТЭК и ФСБ (приказ ФСТЭК от 18.02.2013 № 21, ФСБ от 10.07.2014 № 378).

К сведению

Как обрабатывать данные в информационных системах

Чтобы обрабатывать персональные данные в информационных системах, примите специальные меры. ИСПДн – совокупность баз данных (п. 10 ст. 3 Закона № 152-ФЗ). Если вносите персданные только в электронные документы, то это не считается обработкой с помощью ИСПДн. Так же, когда используете только системы государственного или муниципального уровня, например, для ГИА, или систему учета детей. Образовательные организации вносят в них информацию как пользователи. Чтобы разработать меры защиты персональных данных в ИСПДн, определите угрозы безопасности. Проведите обследование системы (п. 7 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

На заметку

Сведения о требованиях к защите персональных данных необходимо разместить на сайте школы

Образовательная организация обязана издать политику оператора по обработке персданных и разместить ее на сайте. Там же вывесите локальные акты по обработке персональных данных и процедурам, которые предотвращают и выявляют нарушения законодательства, а также устраняют последствия нарушений (ч. 1 ст. 18.1 Закона).

Закон не утвердил документы, которые регламентируют порядок обработки персональных данных. Но согласно Закону локальные нормативные акты должны содержать: категории и перечни данных, которые образовательная организация обрабатывает, категории субъектов данных, способы и сроки обработки, хранения данных, порядок, как необходимо уничтожать их. Издайте приказ, чтобы утвердить перечень лиц, которые имеют доступ к персональным данным работников.

К сведению

Какие штрафы можно получить, если использовать персданные не по закону

Школу привлекут к ответственности, если она обрабатывала персональные данные в целях, которые не предусмотрел закон (ч. 1 ст. 13.11 КоАП). Максимальный штраф для должностных лиц – 20 тыс. руб., для организации – 100 тыс. руб. Повторные нарушения – для должностных лиц – 50 тыс. руб., для школы – 300 тыс. руб.

Если образовательная организация не опубликовала документы по обработке персональных данных и их защите или не обеспечила доступ к ним работников, то максимальный штраф для должностных лиц школы составляет 12 тыс. руб., для самой образовательной организации – 60 тыс. руб. (ч. 3 ст. 13.11 КоАП).

Источник информации: ООО «Актион-диджитал»