В чем заключается специфика правового режима информационных систем персональных данных

Обновлено: 02.07.2024

Примечание. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее – Положение).

Примечание. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Согласно Положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Примечание. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.

Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.

Типовые формы также должны:

при необходимости получения письменного согласия на обработку персональных данных содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных;

быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться только со своими персональными данными;

исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Уточнение персональных должно осуществляться путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.

При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.

Чтобы выполнить требования Положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.

Примечание. В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур – потеря доверия клиентов и падение конкурентоспособности.

Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.

В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.

В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.

Лучше установить строго определенный перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.

Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учетом требований Положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.

В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.

Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объемного пакета документов, который должен содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.

Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространенных замечаний Роскомнадзора по результатам проверок операторов – это несоответствие типовых форм документов законодательству).

Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется Положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учета, контроля доступа к ним и т.д.

Примечание. Законодательством РФ предусмотрены следующие санкции:

меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

конфискация несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования;

С точки зрения федерального законодательства информация, позволяющая идентифицировать граждан РФ, относится к категории конфиденциальной и должна быть определенным образом защищена. Каждая организация или ИП несет юридическую ответственность за получаемые сведения от клиентов, партнеров и собственных работников. Для законного осуществления любых операций с ними, начиная от сбора и копирования, заканчивая уничтожением и обезличиванием, нужно выполнить ряд условий, прописанных в ФЗ-152, ФЗ-13 и подзаконных актах. Политика персональных данных — это обязательный документ наряду с согласием на обработку и другими локальными актами, регламентирующими вопросы обработки и защиты персональных данных. Нарушение требований может привести к серьезным негативным последствиям, поэтому следует еще на начальном этапе запуска бизнеса разобраться, как составлять подобный вид документации: какая информация там должна быть, что указывать в тех или иных пунктах и т.д.

Документ, объясняющий различные нюансы обращения с личной информацией о физических лицах, должен быть у всех без исключения операторов, включая тех, кто работает в Интернете. Вид деятельности значения не имеет.

Политика обработки персональных данных в организации: суть и цели составления

Важным этапом для каждой организации является приведение процесса обработки персональных данных в соответствие с действующей нормативно-правовой базой РФ в области ПДн. Статус оператора накладывает ряд обязательств, среди которых — разработка и внедрение внутренних документов, регулирующих механизм и условия взаимодействия с владельцами личной информации. Политика в области обработки и защиты персональных данных является основным из предусмотренных ФЗ документов, которые должны быть как у юридического лица, так и у индивидуального предпринимателя. Следование её положениям дает возможность минимизировать опасность несанкционированного получения доступа и распространения конфиденциальных сведений.

Есть ряд нюансов, которые необходимо принять во внимание:

все сотрудники предприятия, имеющие дело с ПДн в рамках профессиональной деятельности, должны быть ознакомлены с текстом и своими обязательствами перед субъектами;
недостаточно просто составить документ — необходимо опубликование политики обработки персональных данных на официальном сайте или обеспечение иным образом доступа к ней всем, кто может заинтересоваться её изучением;
в документе обязательно должна быть указана дата введения и срок его действия;
после внедрения нужен постоянный контроль соблюдения всех пунктов персональной политики, иначе представители Роскомнадзора обязательно найдут нарушения в ходе очередной проверки.

Главная задача составителей документа заключается в проработке текста таким образом, чтобы вероятность появления претензий (как у государственных органов, так и у субъектов персональных данных) была минимальной. Если нет штатных сотрудников, которые бы взяли на себя выполнение этой задачи, всегда можно обратиться к специалистам нашего Центра безопасности данных. Поручая разработку профессионалам, вы существенно сэкономите время, избежите типичных ошибок и получите в распоряжение документ, который на 100% соответствует актуальным требованиям законодательства РФ.

проанализировать работу фирмы в контексте ФЗ-152;
внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
просмотреть (не копировать) документы фирм с аналогичной специализацией;
составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.

Особенности разработки

Для создания документа, отвечающего нормативам действующего российского законодательства, нужно проработать шесть разделов, у каждого из которых есть своя специфика:

Общие положения — вводная часть, где требуется детально разъяснить те понятия, которые будут упоминаться в следующих разделах. Речь идет, прежде всего, о терминах, прописанных в ФЗ-152, так что описания можно взять оттуда, как и список прав и обязанностей участников процесса обработки личной информации. Отдельного внимания заслуживает пункт о назначении документа — здесь имеет смысл воспользоваться максимально общей формулировкой, например, о защите прав субъектов ПДн.
Правовые основания для совершения операций с конфиденциальными сведениями. Речь идет, в первую очередь, о регулирующих деятельность нормативно-правовых актах, основными из которых являются Налоговый, Гражданский, Трудовой кодексы, учредительная документация предприятия, трудовые соглашения/договора с сотрудниками. Также в перечень нужно включить согласие граждан на хранение, использование, копирование и другие действия с их данными.

Типичной ошибкой является включение ФЗ-152 в список законодательных оснований для реализации документа. Но этот закон определяет требования к операторам, поэтому добавлять его не нужно.

Чем грозит неисполнение политики в отношении обработки персональных данных?

Не стоит легкомысленно относиться к составлению и опубликованию внутренней документации в сфере ПДн. В последние годы Роскомнадзор все сильнее защищает интересы граждан в отношении защиты конфиденциальности личной информации, поэтому компании тщательно и регулярно проверяют.

Во время плановых и внеплановых визитов представители госструктуры изучают все, начиная от соответствия содержания политики обработки персональных данных требованиям законодательства, заканчивая исполнением её положений и наличием свободного доступа к тексту. В зависимости от степени нарушений может быть назначено наказание в виде штрафа от тысяч рублей (для директора), тысяч рублей (для ИП), тысяч рублей (для предприятия). Учитывая, что сумма может суммироваться со штрафами за иный нарушения, итоговая цифра может быть весьма внушительной. Также нужно помнить, что в случае утечки информации о санкциях за несоблюдение ФЗ-152 доверие клиентов, работников и поставщиков к вашей компании может быть подорвано. Поэтому лучше изначально потратить время, кадровые и финансовые ресурсы на урегулирование данного вопроса.

Типовые формы также должны:

Примечание. Законодательством РФ предусмотрены следующие санкции:

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Обязательное и добровольное предоставление данных

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Является ли ваша компания оператором?

В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

Защита персональных данных

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
утверждение перечня документов, содержащих персональные данные;
издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
утверждение порядка уничтожения информации;
выявление и устранение нарушений требований по защите персональных данных;
проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

введение пропускного режима, порядка приема и учета посетителей;
внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
список лиц, обрабатывающих персональные данные;
приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;
положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

ведение журнала учета работы с персональными данными.

В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся — и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Трансграничные передачи

Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.

Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.

До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту.

Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:

общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);
правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
описание объекта защиты;
характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).

Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.

Сколько хранить?

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.

Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.

По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.

Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.

Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.

Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.

Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.

АКЦИЯ ГОДА

Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее - служащие) данного органа;

б) утверждают актом руководителя государственного или муниципального органа следующие документы:

- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

- правила работы с обезличенными данными в случае обезличивания персональных данных;

- перечень информационных систем персональных данных;

- перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

- перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;

- перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

- типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

- порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных";

з) в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

Шаблон приказа об организации работы с персональными данными согласно постановлению Правительства РФ от 21.03.2012 № 211

Читайте также: