Вопрос. Относятся ли данные о группе инвалидности, заключение о результатах
профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии
здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?
Ответ. Четкого определения понятию «состояние здоровья» закон не дает. Поэтому
можно говорить только об экспертном мнении. Оно таково: сведения об
инвалидности, годности к работам и т.п. к сведениям о состоянии здоровья не
относятся, поскольку не раскрывают диагноза, который и характеризует состояние
здоровья. Причиной инвалидности может быть состояние зрения, слуха,
опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1
группы этой информации не дает. Подобные сведения являются сведениями об ограничении
трудоспособности, а не состоянии здоровья
Вопрос. К какой категории данных относится ФИО+ИНН (или вместо ИНН №
пенсионного полиса, или серия-номер паспорта, или номер вод.удостоверения, или
т.п.)? Смущает то, что любой из этих номеров уникален и идентифицирует личность
даже без ФИО.
Ответ. Любую комбинацию типа ФИО + номер одного из указанных документов, я бы отнес
к категории 3, поскольку такая комбинация во-первых - уникальна, а во-вторых –
однозначно идентифицирует субъекта. Любой из этих номеров, конечно же,
уникален, но без ФИО никак человека не идентифицирует. Для идентификации
понадобится база данных, содержащая список таких номеров и привязанные к ним
ФИО. А вот если комбинация будет ФИО+ номер + еще номер, то это уже 2 категория
персональных данных.
Вопрос. На основании чего персональные данные относятся к 2 или 3 категории? Какие
данные позволяют получить дополнительную информацию о субъекте, а какие просто
его идентифицировать?
Ответ. Как Вы понимаете, всё, что у нас есть – это Приказ ФСБ/ФСТЭК/МинСвязи от 13
февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации
информационных систем персональных данных». Весь вопрос в трактовке. Мы
понимаем это так. Возьмем, к примеру, любую анкету. Идентифицировать субъекта
можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда
это категория 3 ПДн). Все остальное, сведения об образовании, о местах работы,
о размерах заработка, номера телефонов, других документов – все это
дополнительная информация о субъекте (категория 2 ПДн). Иными словами мы
подходим к вопросу категоризирования данных с точки зрения необходимости и
достаточности. Если каких-то данных достаточно для идентификации субъекта и они
остро необходимы для такой идентификации = категория 3. Всё, что идет сверху –
дополнительная информация и категория 2.
Вопрос. В организации используется ИС, в которой содержатся № телефона, ФИО лица,
подавшего заявку на выяснение технической возможности подключения к Интрнет.
Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПД
правильно отнести данную ИС?
Ответ очень простой – К3. Это классическая типовая система, где Хпд=3,
поскольку данные только идентифицируют личность, а Хнпд=2, т.к. количество
обрабатываемых записей – от 1000 до 100000.
Вопрос. Требуются ли какие-либо специальные мероприятия, если ПДн в нашей
школе являются только данные работников (менее 10 человек). Все эти
данные обрабатываются в целях ТК РФ (зарплата и налоги) на домашнем ПК
руководителя?
Ответ. Такая система относится к ИСПДн класса К3 и требует точно такого же
обращения, как и все остальные. Вам необходимо будет разработать нормативные
документы, а также выполнить требования ФСТЭК по защите однопользовательской
ИСПДн класса К3. Плюс, домашний ПК директора наверняка имеет выход в интернет,
что требует также дополнительной защиты. Стоит обдумать вариант с бумажным
ведением кадрового учета (хотя бы декларативно).
Как определить границы ИСПДн? Если в учреждении имеется много различный баз
данных будет ли каждая база данных - ИСПДн или можно все базы данных в
учреждении считать как единую ИСПДн учреждения? Соответственно если ИСПДн в
учреждении много как определить границы (сетевое оборудование, сервера будут находиться
одновременно в нескольких ИСПДн) и еще вопрос если ИСПДн много, аттестовать
придется каждую в отдельности?
В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть
четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми
экранами. В случае если у Вас все базы данных находятся в одном сегменте сети,
то они все будут являться подсистемами единой ИСПДн. И будут классифицироваться
по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если у
Вас 2 базы данных (подсистемы), классифицированных по классу К2 ИСПДн, и одна –
классифицированная по классу К1 ИСПДн, то и вся общая единая ИСПДн будет
соответствовать классу К1 с соответствующими требованиями по защите. С другой
стороны, в федеральном законе №152 «О персональных данных» есть статья 5
«Принципы обработки персональных данных», один из которых звучит как
«недопустимость объединения созданных для несовместимых между собой целей баз
данных информационных систем персональных данных». Соответственно, нужно
определить цели создания Ваших баз данных и, если для отдельных баз они будут
несовместимы, то придется производить сегментирование и отделять их друг от
друга.
На вопрос по аттестации – Вы будете аттестовывать информационную систему.
Если у Вас ИСПДн будет много, то и аттестовывать придется их все. Если же они
будут признаны подсистемами одной единой ИСПДн, то аттестуете ее одну.
В первой редакции Закона "О персональных данных" было указано, что
информационные системы персональных данных, созданные до дня вступления в силу
Федерального закона РФ № 152 "О персональных данных", должны
были приведены в соответствие с требованиями данного Федерального закона не
позднее 1 января 2010 года.
В настоящее время, по разным объективным и субъективным причинам, срок
действия закона ФЗ-152 в части разработанных
ранее ИСПДн перенесен сначала до 1 января 2011 года, а затем и до 1
июля 2011 года (закон № 444277-5). Однако все разрабатываемые
(модернизированные) с начала 2011 года ИСПДн уже должны соответствовать закону.
Это означает, что операторы персональных данных, не сумевшие выполнить
требования ФЗ-152, с 1 января или 1 июля 2011 года понесут
соответствующую гражданскую, административную, дисциплинарную, а может быть (не
дай Бог) и уголовную ответственность
Приказа по нормативной базе именно для КРМ
"Директор" нет. Но, документация, в любом случае, должна быть в
школе. Это, даже, не связано с КРМ "Директор". Внутри школы используются
персональными данными и не важно на бумажном носителе или в электроном виде -
требования 152 ФЗ должны быть выполнены.
Персональные данные работника — информация о работнике, необходимая
работодателю в связи с трудовыми отношениями (ст. 85—90 ТК РФ).
Персональные данные работника работодатель получает из
документов, предъявляемых работником при заключении трудового договора (ст. 65
ТК РФ). Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно
получить только у третьей стороны, то работник должен быть уведомлен об этом
заранее и от него должно быть получено письменное согласие. Работодатель должен
сообщить работнику о целях, предполагаемых источниках и способах получения
персональных данных, а также о характере подлежащих получению персональных
данных и последствиях отказа работника дать письменное согласие на их
получение.
Если упомянутое согласие «на
автоматизацию» отвечает требованиям, предъявляемым к согласиям на обработку
персональных данных, установленным ст. 9 Федерального закона № 152-ФЗ «О
персональных данных», то дополнительных согласий получать не надо.
Если же не отвечает этим требованиям, необходимо анализировать
конкретную ситуацию, так как статьей 6 указанного закона установлены случаи,
когда может осуществляться обработка персональных данных. В частности,
обработка персональных данных может осуществляться (без получения согласия
субъекта персональных данных) в случае, когда обработка персональных данных
необходима для исполнения договора, стороной которого либо выгодоприобретателем
или поручителем по которому является субъект персональных данных, а также для
заключения договора по инициативе субъекта персональных данных или договора, по
которому субъект персональных данных будет являться выгодоприобретателем или
поручителем.
ИАС «Аверс: Мониторинг»
Предназначена для компьютеризации процессов оперативного сбора и обработки показателей, характеризующих деятельность социально значимых отраслей региона.
ИАС "АВЕРС: Заведующий ДОУ" Инструментальная среда информационной поддержки управленческих решений в деятельности администрации дошкольных учреждений.
ИАС «Аверс: Расписание»
Предназначена для автоматизированного составления расписания занятий в учебных заведениях.
ИАС «АВЕРС: Расчет меню питания» Инструментальная среда автоматизации процессов, связанных с планированием
и организацией питания в дошкольном образовательном учреждении.
ИАС «АВЕРС: Библиотека»
Предназначена для автоматизации процессов обработки и учета всех документов библиотечного фонда, сокращения времени на поиск, подготовку и выдачу данных
по информационному обслуживанию читателей
ИАС «Аверс:WEB – комплектование»
Комплекс по предоставлению населению муниципальной услуги «Приём заявлений и зачисление детей в дошкольные ОО» в электронном виде.
ИАС «Аверс: Ревизор»
Инструментальная среда комплексной автоматизации процессов планирования, проведения,
учета и обработки результатов контрольно-ревизионной деятельности.
ИАС "Аверс: Регион. Контингент"
Отечественный инновационный программный продукт для создания регионального сегмента федеральной межведомственной системы учёта контингента обучающихся
ИАС "АВЕРС: Электронный портфолио»
Предназначена для фиксирования, накопления, оценки результатов деятельности и достижений учащегося в разных областях обучения,
а также отслеживания индивидуального роста учащихся, их интеллектуального и физического развития,анализа и самоанализа.
ИАС «АВЕРС: Сводная статистическая отчетность»
Инструментальная среда информационной поддержки управленческих решений в деятельности органов управления образованием. Предназначена для автоматизации процессов сбора, обработки и консолидации периодических статистических, бухгалтерских и управленческих отчетных..