Embed Size (px)
DESCRIPTION
Презентация российского эксперта Михаила Емельянникова об особенностях обработки персональных данных обучаемых при организации образовательного процесса.
Citation preview
Особенности обработки персональных данных обучаемых
и требования к их защите в зависимости от исполнителя,
места и формы обучения работников
Автор:
Емельянников Михаил Юрьевич
2
В чем главная проблема?
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества
3
В чем главная проблема?
Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами
4
Варианты обучения и их влияние на обработку персональных данных
Форма обучения Характер передачи персональных данных
Очное или дистанционное обучение непосредственно в компании (своими силами)
Персональные данные не передаются третьей стороне
Обучение своими силами вне компании
Персональные данные могут передаваться третьей стороне (для допуска в помещения)
Очное обучение во внешних учебных центрах
Персональные данные передаются учебному центру
Дистанционное обучение внешней организацией – серверы и рабочие места компании
Персональные данные могут как передаваться, так и не передаваться учебному центру
Дистанционное обучение – серверы находятся у внешней организации
Персональные данные передаются учебному центру и/или хостеру
5
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора
Появляются новые проблемы…
6
Появляются новые проблемы…
Если персданные были получены не от субъекта …, оператор до начала обработки таких персональных данных обязан предоставить субъекту персданных следующую информацию:
1) наименование … и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта
7
В том числе технические
Оператор при обработке персданных обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий
По каким каналам связи Вы передаете персданные работников в учебные центры?
8
Итак, в чем проблемы?
Получение согласия работника на передачу его персональных данных третьим лицам (учебным центрам, хостерам систем ДО, перевозчикам, гостиницам и т.п.)
Определение объема и состава передаваемых данных
Формальная необходимость уведомления работников о получении их персданных третьими лицами
Возможность использования незащищенных каналов при передаче персданных третьим лицам
9
Самый простой случай
Работники обучаются в организации.
Сторонним участникам процесса (учебному центру, консалтинговой организации и т.п.) персональные данные работников не передаются.
Никаких дополнительных мер принимать не надо.
Данные обрабатываются и защищаются в рамках общей процедуры, установленной на предприятии (в организации).
10
Помните!
Статья 88. Передача персданных работника
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
осуществлять передачу персданных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.
11
Обучение своими силами вне компании
Персональные данные работников передаются организации, выделяющей помещения для обученияПроблемы:
Согласие (письменное!) работника на передачу персданных организатору
Необходимость уведомления субъекта организатором о получении персданных не от субъекта
Защита при передаче по каналам связи
12
Обучение внешним исполнителем (учебным центром)
В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Тщательно прорабатывайте текст договора!
13
Получите письменное согласие работника!
Как?
Заключив дополнительное соглашение к трудовому договору!
Работник дает Работодателю согласие на передачу своих персональных третьим лицам данных в объеме, необходимом для выполнения трудовых обязанностей, в том числе связанных с выездом в командировки, посещением предприятий (организаций)-контрагентов, повышением квалификации, проведением обучения и переподготовки, а также в целях выполнения мероприятий по социальной защите, предоставлением необходимых льгот и оказания дополнительной помощи, таких, как банковское обслуживание, медицинское и пенсионное страхование, направление на лечение и др.
14
А теперь – о проблемах учебных центров
15
Есть, на что опереться
15
16
Письмо руководителя Рособразования от 29.07.2009 № 17-110 «Об обеспечении защиты персональных данных»
Письмо руководителя Рособразования от 22.10.2009 № 17-187 «Об обеспечении защиты персональных данных»
- Рекомендации по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты ИСПДн- Рекомендации по подготовке документов, регламентирующих обработку персональных данных в подведомственных Рособразованию учреждениях - Сведения о характеристиках ИСПДн (примеры заполнения)
Письмо руководителя Рособразования от 15.02.2010 № 17-50 «Об обеспечении защиты персональных данных»
Основные документы Рособразования по обработке персональных данных
17
Необходимость получение письменного согласия каждого абитуриента, учащегося (их законного представителя), работника учреждения на обработку персональных данных
Целесообразность присвоения каждому субъекту внутреннего идентификационного номера (условного кода) на весь период обучения или работы для последующего обезличивания баз данных и снижения затрат на защиту
Необходимость получения лицензии ФСТЭК на ТЗКИ для самостоятельного построения системы защиты в ИСПДн класса К1 и К2, а также лицензий ФСБ при применении СКЗИ
Порядок действий по приведению ИСПДн в соответствие с обязательными требованиями
Требования о назначении ответственных за работу с персональными данными, подготовке должностных инструкций работников, обрабатывающих персональные данные
Обеспечение размещения и охраны средств хранения и обработки персональных данных
Основные положения методических документов Рособразования
Письмо от 29.07.2009 № 17-110
18
Использовать шифровальные (криптографические) средства необходимо только при передаче персональных данных по сетям связи общего пользования или Интернету
Доработать систему защиты ИСПДн в соответствии с документами ФСТЭК, обнародованными на сайте ведомства
О работе проинформировать Роскомнадзор в течение 10 дней со дня ее окончания
Основные положения методических документов Рособразования
Письмо от 15.02.2010 № 17-50
Вопросы?
Емельянников Михаил Юрьевич
Консалтинговое агентство «Емельянников, Попова и партнеры»
(495) 761 5865
