Коллеги, я в шоке после новости, полученной на саммите директоров по инф. безопасности.
Если обрабатывать персональные данные строго в рамках предусмотренных федеральными актами процедур, школа НЕ является ОПЕРАТОРОМ этих данных. Это следует из определения "оператор", данного в 152-ФЗ
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Т.е. оператор не столько тот, кто обрабатывает данные, сколько тот, кто определяет цели этой обработки!
Значит, достаточно выполнить требования ТК РФ в отношении сотрудников (правила обработки и подпись каждого об ознакомлении) - и всех отправить лесом. А точнее, по адресу целеполагания:
- данные по успеваемости и для обмена инф-ей с родителями - к МОН
- по зарплате - в налоговую
- по пенсиям - в фонд
- далее везде.
Только не делать ничего такого, чего нет в федеральных нормативах.
А, вот, те, кто заявляет цели, должны думать о безопасности данных и издавать инструкции. За их неисполнение школа отвечает перед оператором, а не перед регуляторами.
