И если сертификация нужна, то как её получить?

Степан добрый вечер, Ваш вопрос в принципе понятен, но хотелось, чтобы вы уточнили цель сбора «персональных данных» учеников? Для чего Вам это нужно? 

Это важно

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Из этого вытекает следующее, кто вы? Кем вы будете являться в данной ситуации?

Если оператором, то оператор это — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональнымиданными.

Мне нужно узнать какую сертификацию должна пройти программа обрабатывающая и хранящая персональные данные

 Да, обязательно, если у вас есть цель собирать персональные данные учеников (с разрешением родителей), это обязательно нужно. Вам нужно подготовить почву для ФСТЭК

Будут ли согласия на обработку персональный данных, подписанные ранее учениками (их родителями), распространяться и на эту систему?

 Ответ на этот вопрос вытекает из цели, с какой целью делается всё это. Однако, в любом случае, если вы намереваетесь хранить данные людей, то это все распространяется на ФЗ «О персональных данных», Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и т.д.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Также вы должны обеспечить защиту персональных данных этих людей. 

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно Постановлению Правительства РФ от 26.06.1995 N 608 «О сертификации средств защиты информации»

Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) — орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции;
испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители — продавцы, исполнители продукции.

Коем где, (выделенный полужирным) вы являетесь. 

Степан, здравствуйте!

По просьбе администрации сайта Правовед. ру поучаствую в обсуждении вопросов.

Начнем с вот этого. 

Также на данный момент у меня нет патента и авторского права, поэтому мне важно понять, что мне нужно получить, и как это сделать

Ваше понимание не соответствуют  фактическим обстоятельствам и юридической квалификации ситуации.  Почему  это так? 

Вы пояснили  «у меня есть программа,написанная мною» . 

В соответствии со статьей 1259 ГК РФ  произведения науки, литературы и искусства являются объектами авторских прав не зависимо от достоинств и назначения произведения, а также от способа его выражения. К объектам авторских прав также относятся программы для ЭВМ, которые охраняются как литературные произведения.

На основании ч.1 ст.1228 ГК РФ 

 автором результата интеллектуальной деятельности признается гражданин, творческим трудом которого создан такой результат.

В силу п. 2 ст. 1255 ГК РФ РФ автору произведения принадлежат следующие права: исключительное право на произведение; право авторства; право автора на имя; право на неприкосновенность произведения; право на обнародование произведения

Из указанного следует, что у вас имеются права на созданного программное обеспечение. 

Важно понимать, что согласно статье 1262 ГК РФ  предусмотрено право правообладателя в течение срока действия исключительного права на программу ЭВМ или на базу данных по своему желанию зарегистрировать такую программу или такую базу данных в федеральном органе исполнительной власти по интеллектуальной собственности.

т.е. это право, а не обязанность осуществлять регистрацию. Права на программное обеспечение возникают с момента их создания, если иное не оговоре в договоре.  Учитывая, что договоров у вас не заключено, то права на программу ЭВМ возникли с момента создания.  

Будут ли согласия на обработку персональный данных, подписанные ранее учениками (их родителями), распространяться и на эту систему?

1. Есть общие требования к согласию на обработку персональных данных (см. ст. 9 ФЗ-152)

2. Если согласие на обработку перс. данных соответствует указанным требованиям, его срок не истек,  то конечно, будут распространяться.

3. Безусловно для точности определения правильного применения норм к возникшей ситуации возможно только при анализе документов, что не входит в рамки настоящего вопроса. 

Вы можете заказать услуги в чате у юриста. 

И если сертификация нужна, то как её получить? 

Я буду обрабатывать фотографии учеников и их полное имя и класс, в котором они находятся. По сути хранить фотографии я буду только временно, потому что потом они будут преобразованы в определенный код (в набор параметров лица человека), а сами фотографии удалены. Да и ещё, мне 17 лет, смогу ли я, как физ лицо, получить сертификацию на свой продукт? И могли бы вы подсказать: какие документы я должен подавать? в какие сроки? и т.д

1. По своей сути ваш вопрос очень объемный и не стоит  600 рублей. В данном случае требуется более  подробное обсуждение вне рамок настоящего формата консультаций. 

2. Важно понимать, что  ваша программа не является средством защиты информации, однако учитывая, что вы при обработке персональных данных будете являться оператором персональных данных (см.ст. 3 ФЗ-152),  вы обязаны обеспечить надлежащую защиту  перс. данных.  

Соответственно, получение сертификата, на мой взгляд, именно на программу ЭВМ не является обязательным.   

Вы можете использовать в составе своей программы электронные средства защиты информации с сертификатом ФСТЭК.  

3. В ст. 18.1 ФЗ-152  описаны  меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

В зависимости от  видов персональных данных Оператор обязан принимать обязательные меры защиты. Например, в некоторых случаях,  иметь антивирус с сертификатом ФСТЭК и т.д. 

Есть специализированные коммерческие организации, которые проводят  оценку эффективности мер защиты персональных данных, составляют необходимые документы , поэтому можете обратиться к ним за надлежащим оформлением документов.

4.  Чтобы не ошибиться с алгоритмом действий я бы рекомендовал  обратиться с письменным обращением в ФСТЭК  и Роскомнадзор для получения письменных разъяснений относительно  сертификации, обработки персональных данных и т.д.

С уважением, 

юрист Квон Дмитрий Викторович.