Ответ и обоснование:
Образовательное учреждение обязано проводить оценку вреда субъектам персональных данных и оформлять ее актом, а также разрабатывать и вести документы, регулирующие порядок обработки и защиты персональных данных.
Обоснование: Образовательные организации являются операторами персональных данных и обрабатывают сведения об учащихся, их родителях, работниках и иных лицах. Персональные данные включают любую информацию о человеке (п. 1 ст. 3 Закона № 152-ФЗ). Они делятся на общие и специальные. Специальные данные (сведения о здоровье, убеждениях, национальности и др.) могут обрабатываться только с согласия субъекта (ч. 1 ст. 10 Закона № 152-ФЗ). Общие данные допускается обрабатывать без согласия, но строго в пределах закона (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).
В соответствии с п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ оператор обязан проводить оценку вреда, который может быть причинен субъектам персональных данных при нарушении законодательства, и сопоставлять его с принимаемыми мерами защиты.
Приказ Роскомнадзора от 27.10.2022 № 178 устанавливает требования к такой оценке. Оператор определяет одну из трех степеней вреда: высокую, среднюю или низкую. Если возможны разные степени вреда, выбирается наиболее высокая.
Оценка вреда проводится ответственным за обработку персональных данных или комиссией. Результаты оформляются актом в бумажной или электронной форме. Акт должен содержать:
-
наименование или ФИО и адрес оператора;
-
дату издания акта;
-
дату проведения оценки;
-
ФИО, должность и подпись лица (лиц), проводивших оценку;
-
установленную степень вреда.
Если в деятельности учреждения отсутствуют случаи обработки данных, подпадающие под критерии приказа № 178, в акте делается вывод об отсутствии степени вреда, однако сама оценка проводится в любом случае.
Сроки, методика и порядок оформления результатов определяются оператором самостоятельно с учетом специфики его работы.
Ответ подготовлен экспертами службы правового консалтинга компании "СоветникПРОФ"
разрабатывать и вести документы, регулирующие порядок обработки и защиты персональных данных.
Обоснование:
Образовательные организации являются операторами персональных данных и обрабатывают сведения об учащихся, их родителях, работниках и иных лицах. Персональные данные включают любую информацию о человеке (п. 1 ст. 3 Закона № 152-ФЗ). Они делятся на общие и специальные. Специальные данные (сведения о здоровье, убеждениях, национальности и др.) могут обрабатываться только с согласия субъекта (ч. 1 ст. 10 Закона № 152-ФЗ). Общие данные допускается обрабатывать без согласия, но строго в пределах закона (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ).
В соответствии с п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ оператор обязан проводить оценку вреда, который может быть причинен субъектам персональных данных при нарушении законодательства, и сопоставлять его с принимаемыми мерами защиты.
Приказ Роскомнадзора от 27.10.2022 № 178 устанавливает требования к такой оценке. Оператор определяет одну из трех степеней вреда: высокую, среднюю или низкую. Если возможны разные степени вреда, выбирается наиболее высокая.
Оценка вреда проводится ответственным за обработку персональных данных или комиссией. Результаты оформляются актом в бумажной или электронной форме.
Акт должен содержать:
-
наименование или ФИО и адрес оператора;
-
дату издания акта;
-
дату проведения оценки;
-
ФИО, должность и подпись лица (лиц), проводивших оценку;
-
установленную степень вреда.
Если в деятельности учреждения отсутствуют случаи обработки данных, подпадающие под критерии приказа № 178, в акте делается вывод об отсутствии степени вреда, однако сама оценка проводится в любом случае.
Сроки, методика и порядок оформления результатов определяются оператором самостоятельно с учетом специфики его работы.
Ответ подготовлен экспертами службы правового консалтинга компании "СоветникПРОФ"
