Правовое регулирование защиты персональных данных в образовательной организации.

ГЛАВА 1. ПРАВОВАЯ ХАРАКТЕРИСТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1 Общие подходы к обработке персональных данных

В России обработка персональных данных регулируется законодательством страны и международными нормами. Основателями, которые регулируют работу с данными являются Конституция Российской Федерации[1] и Конвенция о защите физических лиц при автоматизированной обработке персональных данных [2].
Персональные данные – это информация о физическом лице, то есть о человеке. Персональные данные – это информация, которая сама по себе или в сочетании с другой информацией могла бы привести (приписаться) физическому лицу.
В законодательстве о защите данных проводится различие между различными типами персональных данных. Правила, применимые к обработке персональных данных, зависят от типа обрабатываемых персональных данных. Некоторые персональные данные требуют более высокого уровня защиты, поскольку обработка таких персональных данных может представлять особый риск для субъектов данных.
Поэтому необходимо уточнить, какие типы персональных данных подлежат обработке. Существует 4 типа:
1. Общие персональные данные (неконфиденциальные персональные данные)
2. Информация об уголовных судимостях и правонарушениях
3. Особые категории персональных данных (конфиденциальные персональные данные)
4. Конфиденциальные персональные данные
Субъект данных — это термин, используемый в законодательстве о защите данных для описания физических лиц, чьи данные обрабатываются.
Целью определения категории субъектов данных является обеспечение того, чтобы оператор, как контролер данных, знал о любых применимых особых условиях.
Если субъектом данных является ребенок, пациент, пожилой человек и т. д., его можно считать членами особо уязвимой группы людей. Это накладывает требования на особые аспекты, которые необходимо учитывать при оценке рисков, на то, можно ли получить действительное согласие в соответствии с законом о защите данных и т. д.
Конституция Российской Федерации предусматривает, что сбор, хранение и использование информации о частной жизни человека без его согласия запрещены, однако при этом каждый имеет право на свободный доступ к информации. К ведению Российской Федерации относятся вопросы, связанные с информацией, информационными технологиями и защитой личности и государства при использовании информационных технологий.
В Российской Федерации при обработке персональных данных учитываются положения Конвенции о защите физических лиц при автоматической обработке персональных данных, принятой в Страсбурге [2]. Эта конвенция гарантирует право каждого человека на неприкосновенность частной жизни в отношении его персональных данных. Персональные данные, подлежащие автоматизированной обработке, собираются и обрабатываются на законных основаниях, хранятся для конкретных целей и не используются иным образом. Также принимаются меры безопасности для защиты данных от случайного или несанкционированного уничтожения или потери, а также от несанкционированного доступа, изменения или распространения.
Обработка персональных данных должна иметь свою законную цель, которая уже должна быть определена и четко сформулирована. Для обеспечения целей обработки данных необходимо иметь отдельные базы данных и предоставлять точные и актуальные данные. Также необходимо уничтожить или обезличить данные, когда они больше не нужны.
Персональные данные — это любая форма данных, которая может быть использована для идентификации отдельного физического лица. В законах о защите данных и конфиденциальности, в том числе в Общем регламенте защиты данных (GDPR) , этот термин выходит за рамки общепринятого использования, в котором термин «персональные данные» может де-факто применяться к нескольким типам данных, которые позволяют выделить или идентифицировать физическое лицо[3].
Чем больше данных объединяется и агрегируется, тем более существенными становятся персональные данные, тем труднее становится их деидентификация и тем выше риски и ответственность.
Например, в рамках GDPR сюда входят данные, которые могут привести к прямой или косвенной идентификации физического лица[4].
Как мы увидим в этой статье о персональных данных, обработке персональных данных , защите персональных данных, идентификаторах и субъекте данных (физическом лице, которое данные позволяют идентифицировать), текст GDPR также расширил определение и список персональных данных, чтобы быть в большей степени согласованными с типами персональных данных, которые присоединились к традиционным спискам персональных данных в наши дни и в эпоху цифровизации и цифровой трансформации , среди прочего, с данными, собранными через Интернет вещей (IoT); RFID-метки, данные от так называемых датчиков и исполнительных механизмов, да что угодно[14].
Это важно знать не только разработчикам приложений для потребителей, таких как приложения для умного дома или в сфере бытовой электроники в целом, где это кажется очевидным, поскольку они по определению предназначены для личного использования и, следовательно, будут обрабатывать персональные данные и позволять собирать всевозможные данные. идентификаторов. Однако и в бизнес-контексте, и даже в промышленном пространстве Индустрии 4.0 необходимо проверять[11].
Пример: в обрабатывающей промышленности мы видим, что данные работников, связанные со здоровьем, все чаще отслеживаются в режиме реального времени с помощью так называемых носимых устройств. Часто это делается для обеспечения безопасности и защиты работника и может вписываться в договорные положения, касающиеся отношений между работником и работодателем, но вам нужно знать, тем более, что в этом примере мы даже говорим о конфиденциальных данных. Итак: проверьте, предлагаете ли вы одно из этих приложений с современными идентификаторами (с помощью так называемой оценки воздействия на защиту данных ).
Так, российское законодательство и международные стандарты регулируют обработку персональных данных; их сбор, хранение и использование должны осуществляться в соответствии с законодательством. Важно соблюдать принципы адресной обработки и обеспечивать безопасность данных. Любому лицу должна быть предоставлена возможность узнать о существовании базы данных и получить информацию о его персональных данных.
Различные подходы к обработке персональных данных отражены в принципах обработки, изложенных в статье 5 Федерального закона № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), в которой также говорится о добросовестности, легальная и целевая обработка, а также сохранение данных. Полные случаи такой обработки без согласия субъекта персональных данных и условия такой обработки прописаны в статье 6 Закона № 152-ФЗ[5].
Оператор обработки персональных данных в соответствии со статьями 18.1, 19, 22.1 Закона № 152-ФЗ обязан:
- получить согласие на обработку данных от субъекта персональных данных при передаче такой обработки третьим лицам;
- заблаговременно уведомить уполномоченный орган (Роскомнадзор);
- издавать локальные акты об обработке персональных данных;
- принять необходимые правовые, организационные и технические меры или обеспечить их принятие для защиты персональных данных от неправомерного или случайного доступа к ним;
- назначить лицо, ответственное за организацию обработки персональных данных;
- проводить работу по обезличиванию персональных данных[5].
Порядок получения согласия на обработку персональных данных определен Приказом Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенного субъектом персональных данных для распространения». Согласно статье 22 Закона № 152-ФЗ, если оператор осуществляет деятельность, связанную с обработкой персональных данных, исключительно без использования средств автоматизации, то уведомлять Роскомнадзор не требуется.
Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и внесении изменений в ранее предоставленные сведения утверждены приказом Роскомнадзора от 30 мая 2017 года № 94. При направлении уведомлений следует руководствоваться порядком, утвержденным приказом Роскомнадзора. № 187 от 14 ноября 2022 г.
По смыслу изложенных выше правовых понятий персональные данные представляют собой определенный вид информации, имеющий уточняющие характеристики и относящийся только к лицу (лицу), поэтому субъектом персональных данных может быть только лицо. Данные юридических лиц не являются персональными данными [12].