Изменения 2023.
Поручите ответственным оформлять документы об уничтожении персданных по требованиям Роскомнадзора. Также надо использовать новые формы уведомлений.
Составляйте документы об уничтожении персданных по-новому.
Поручите ответственному оформлять документы об уничтожении персданных по требованиям приказа Роскомнадзора от 28.10.2022 № 179. Он начнет действовать с 1 марта 2023 года.
Ранее школы и детские сады самостоятельно решали, как оформлять факт уничтожения. Теперь к подтверждающим документам есть конкретные требования. За их нарушение проверяющие вынесут предписание. Это актуально и в период моратория на проверки. Роскомнадзор большое внимание уделяет удаленному контролю – мониторингу сайтов, жалобам субъектов персданных на оператора и т.д.
Если обрабатываете персданные вручную, подтверждайте их уничтожение только актом. Роскомнадзор установил требования к его содержанию.
При автоматизированной обработке оформляйте два документа – акт об уничтожении и выгрузку из журнала регистрации событий в информационной системе персданных. Содержание этих документов во многом сходно.
Поручите хранить акт об уничтожении персданных и выгрузку из журнала в течение трех лет.
Издайте приказ, чтобы раздать поручения и утвердить новые формы документов. Воспользуйтесь готовыми образцами.
Приказ об утверждении документов, подтверждающих уничтожение персданных (образец)
Приказ об утверждении документов, подтверждающих уничтожение персданных (шаблон)
Подавайте уведомления по новым формам.
С 26 декабря 2022 года действуют новые формы уведомления Роскомнадзора (приказ от 28.10.2022 № 180). Поручите ответственному использовать их, если только начали или прекратили обрабатывать персданные, или изменились условия обработки, которые описывали в предыдущем уведомлении. Последний вариант – самый распространенный.
Теперь в уведомлении о намерении осуществлять обработку указывайте сведения по каждой цели обработки. Это соответствует логики изменений Закона о персданных, в результате которых в локальных актах оператора так же надо указывать сведения по каждой цели обработки отдельно.
Добавили пункт со сведениями о лице, имеющим доступ к персданным в государственных и муниципальных информационных системах – также по итогам изменений Закона о персданных.
Уведомление об изменении условий обработки повторяет содержание уведомления о намерении осуществлять обработку персданных. Это логично, так как может измениться любая информация из той, о которой вы уже уведомили Роскомнадзор.
Уведомление о прекращении обработки – новая форма. До этого действовала рекомендуемая форма заявления о внесении в реестр операторов сведений о прекращении обработки персданных. Однако суть предоставляемых сведений осталась та же. Надо указать дату и причину прекращения обработки персданных – например, ликвидация образовательной организации.
Требований к заполнению форм не утвердили. Рекомендуемые формы из приказа Роскомнадзора от 30.05.2017 № 94 не отменили. Возможно, сделают это позже.
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)
Указ Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» Федеральный закон РФ 27.07.2006 г. N 152-ФЗ "О персональных данных"
Федеральный закон от 25 июля 2011 года № 261-ФЗ
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 10 января 2002 г. No 1-ФЗ «Об электронной цифровой подписи»
Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства РФ 15.09.08г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ - Глава 13.
Трудовой кодекс РФ № 197-ФЗ - Глава 14 «Защита персональных данных работника»
ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 27001-2006
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России) - выписка
Методические рекомендации по обеспечению с помощью криптосредств.. (8 Центр ФСБ России)
Типовые требования по организации и обеспечению .. (8 Центр ФСБ России)
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России)
Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ
Гражданский кодекс Российской Федерации №230-ФЗ, часть 4
Гражданский кодекс Российской Федерации (ГК РФ) №14-ФЗ, часть вторая
Письмо Рособразования от 3 сентября 2008 года №17-02-09/185 «О предоставлении уведомлений об обработке персональных данных»
Письмо Рособразования от 27 июля 2009 года №17-110 «Об обеспечении защиты персональных данных»
Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся.
Памятка для родителей по заполнению листа согласия на обработку персональных данных учащегося.
Заявление о согласии работников на обработку.
Согласие на обработку персональных данных обучающегося.
Отзыв согласия на обработку.
Информация об осуществлении органами местного самоуправления СК процедур, предусмотренных ФЗ "О персональных данных"
Инструкция по организации работы с материальными носителями персональных данных
Инструкция по организации учета, использования, передачи и уничтожения электронных носителей персональных данных и другой конфиденциальной информации
Инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем персональных данных