Официальная позиция компании ООО «Дневник.ру»
в соответствии с законом РФ от 27.07.2006 № 152-ФЗ
"О персональных данных"
«Единая образовательная сеть «Дневник.ру» - это официально зарегистрированное и сертифицированное программное средство (информационная система) для обработки персональных данных учеников образовательных учреждений (обучающихся).
Цель обработки - ведение электронного журнала и регистрация сопутствующих сведений об успеваемости обучающихся, необходимые для реализации информационно-справочного обеспечения пользователей.
Компания ООО «Дневник.ру» является владельцем и разработчиком информационной системы «Единая образовательная сеть «Дневник.ру».
Специалистами компании в ходе подготовки программного средства к сертификационным испытаниям встроенных средств защиты на соответствие требованиям, предъявляемым при обработке персональных данных класса К2, были изучены следующие нормативные материалы:
- Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Постановление Правительства от 17-го ноября 2007 г. N781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Совместный приказ Федеральной службы по техническому и экспортному контролю N55, Федеральной службы безопасности Российской Федерации N86 и Министерства информационных технологий и связи Российской Федерации N20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»;
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждённая Заместителем директора ФСТЭК России от 14.02.2008 г.;
- Письмо Министерства образования и науки Российской Федерации Федеральное агентство по образованию от 29 июля 2009 г N17-110 «Об обеспечении защиты персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
На основании указанных документов была разработана схема работы в информационной системе «Дневник.ру», не требующая проведения аттестационных и (или) сертификационных мероприятий на рабочих местах конечных пользователей, для максимального упрощения процесса внедрения в образовательные учреждения.
Указанная схема была одобрена двумя независимыми компаниями, а именно, ФГУП «ЗащитаИнфоТранс», обеспечивающая экспертизу встроенных средств защиты информационной системы «Дневник.ру» на основании договора 10049/СФ-о6 от 19 мая 2010, и ЗАО «Лаборатория противодействия промышленному шпионажу», являющимися лицензиатами ФСБ и ФСТЭК России и имеющими лицензии на проведение работ, связанных с:
· созданием средств защиты информации;
· разработкой и (или) производством средств защиты конфиденциальной информации;
· технической защитой конфиденциальной информации;
· осуществлением мероприятий и (или) оказание услуг в области защиты государственной тайны.
Данная схема так же была согласована и одобрена представителями ФСТЭК в связи с её простотой и прозрачностью для понимания, внедрения и последующего обслуживания.
В ходе сертификации компанией ООО «Дневник.ру» были получены следующие документы:
- Запись в реестре операторов персональных данных под номером 09-0062296;
- Свидетельства о государственной регистрации программ для ЭВМ;
- Лицензия на деятельность по технической защите конфиденциальной информации;
- Лицензия на деятельность по разработке средств защиты конфиденциальной информации;
- Сертификат соответствия № 2309 от 28.03.2011 г. требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» для 5-го класса защищенности.
Примечание:
Классификация персональных данных:
класс 1 (К1) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; ·
класс 3 (К3) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; ·
класс 4 (К4) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Получение и отзыв согласий на обработку персональных данных Обучающихся, их родителей/законных представителей и сотрудников Учреждения
1. Для получения согласий на обработку персональных данных Обучающихся, их родителей/законных представителей и сотрудников Учреждения с помощью информационной Системы «Дневник.ру» можно использовать формы Согласий, предоставленных ООО «Дневник.ру» Учреждению. При этом наряду с Системой «Дневник.ру» рекомендуется указывать все иные информационные системы, с помощью которых осуществляется или планирует осуществляться обработка персональных данных.
2. Все данные, которыми должна быть дополнены формы Согласий, указываются без сокращений.
3. Формы должны быть собственноручно подписаны лицом, дающим согласие на обработку персональных данных.
3.1. Для получения согласия на обработку персональных данных несовершеннолетнего Обучающегося (НСО), не достигшего 14 лет и его родителя/законного представителя (ЗП), рекомендуется использовать форму: «Согласие на обработку ПДн НСО + ЗП»
3.2. Для получения согласия на обработку персональных данных несовершеннолетнего Обучающегося, достигшего 14 лет и его родителя/законного представителя, рекомендуется использовать формы: «Согласие на обработку ПДн НСО от 14 лет» и «Согласие на обработку ПДн ЗП»
3.3. Для получения согласия на обработку персональных данных совершеннолетнего Обучающегося (СО), достигшего 18 лет, рекомендуется использовать форму: «Согласие на обработку ПДн СО»
3.4. Для получения согласия на обработку персональных данных сотрудника Учреждения, рекомендуется использовать форму: «Согласие на обработку ПДн Сотрудника»
4. Согласия на обработку персональных данных Обучающихся, их родителей/законных представителей и сотрудников Учреждения должны храниться в делах Учреждения.
5. Для Отзыва согласий на обработку персональных данных Обучающихся, их родителей/законных представителей и сотрудников Учреждения рекомендуется использовать следующие формы:
5.1. Для отзыва согласия на обработку персональных данных несовершеннолетнего Обучающегося, не достигшего 14 лет и его родителя/законного представителя – форма: «Отзыв согласия на обработку ПДн НСО + ЗП»
5.2. Для отзыва согласия на обработку персональных данных несовершеннолетнего Обучающегося, достигшего 14 лет и его родителя/законного представителя – формы: «Отзыв согласия на обработку ПДн НСО от 14 лет» и «Отзыв согласия на обработку ПДн ЗП»
5.3. Для отзыва согласия на обработку персональных данных совершеннолетнего Обучающегося, достигшего 18 лет – форма: «Отзыв согласия на обработку ПДн СО»
5.4. Для отзыва согласия на обработку персональных данных сотрудника Учреждения – форма: «Отзыв согласия на обработку ПДн Сотрудника»
6. При отзыве согласия на обработку персональных данных Обучающегося в информационной Системе «Дневник.ру» в формах Отзыва указывается возможность хранения ранее переданной информации об успеваемости Обучающегося для возможности ведения статистики.
7. Отзыв согласия также должен быть собственноручно подписан Обучающимся, его родителем/законным представителем или сотрудником Учреждения, отзывающим согласие на обработку персональных данных, содержать дату подачи такого отзыва и должен храниться в делах Учреждения.
Расторжение Соглашения
1. Для расторжения Соглашения, заключенного между ООО «Дневник.ру» и Учреждением, необходимо заполнить форму заявления о расторжении Соглашения, приведенную в Приложении № 2 к Соглашению, указав номер и дату заключения Соглашения, и дату составления заявления о расторжении Соглашения.
2. Все данные, которыми необходимо дополнить форму заявления (наименование Учреждения; фамилия, имя и отчества руководителя Учреждения; адрес места нахождения Учреждения) указываются без сокращений.
3. Форма заявления распечатывается в одном экземпляре, скрепляется подписью руководителя Учреждения и печатью.
4. Готовое заявление отправляется почтой на адрес ООО «Дневник.ру», указанный в разделе «Реквизиты» Соглашения, заказным письмом с уведомлением о вручении.
5. Соглашение считается расторгнутым и оказание услуг по Соглашению прекращается с момента получения заявления ООО «Дневник.ру».
