Нормативная база обработки пдн реферат
Обновлено: 04.07.2024
Персональные данные – основная и неотъемлемая часть любой организации. Ключевой проблемой, стоящей перед организацией и ее сотрудниками, является обработка и защита персональных данных в соответствии законодательством Российской Федерации.
Персональные данные как они есть
По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.
Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:
Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.
ОРД по ПДн
ОРД по ПДн без использования средств автоматизации
Постановление Правительства РФ от 15.09.2008 N 687
В целом для документа
ОРД по ПДн в информационных системах.
Постановление Правительства РФ от 1.11.2012 г. № 1119
Приказ ФСТЭК России от 18.02.2013 г. № 21
| Локальный нормативный акт | Требование |
|---|---|
| Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. | П.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. | П.8.1 Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). |
| Инструкция администратору безопасности ИСПДн. Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. | П.8.2 Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил. |
| Инструкция администратору безопасности ИСПДн. Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных. | П.8.3 Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения. |
| Инструкция администратору безопасности ИСПДн. Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии); - акты приема-передачи носителя(ей) персональных данных (при наличии). | П.8.4 Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных. |
| Инструкция администратору безопасности ИСПДн Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. | П.8.5 Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. |
| Инструкция по организации антивирусной защиты в информационной системе персональных данных. | П.8.6 Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. |
| Инструкция администратору безопасности ИСПДн. | П.8.7 Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. |
| Политика контроля (анализа) защищенности информационной системы персональных данных. | П.8.8 Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации. | П.8.9 Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных. |
| Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных. Политика безопасной эксплуатации ТС. Политика защиты ПО. | П.8.10 Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Политика безопасной эксплуатации ТС и политика защиты ПО. Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных; - инструкция по организации антивирусной защиты в информационной системе персональных данных. | П.8.11 Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям. |
| Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных; - журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Политика безопасной эксплуатации ТС. | П.8.12 Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. |
| Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Политика обеспечения сетевой безопасности Инструкция по защите информации о событиях безопасности в информационной системе персональных данных Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Политика защиты ПО Политика безопасной эксплуатации ТС | П.8.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных. |
| Перечень лиц, ответственных за выявление инцидентов и реагирование на них. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: - журнал учета инцидентов; - акты выявления инцидентов (при наличии); - акты устранения инцидентов (при наличии); - акт проведения расследования инцидента безопасности, связанного с персональными данными. Инструкция пользователю ИСПДн. | П.8.14 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. |
| Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных. Политика управления конфигурацией информационной системы и системы защиты персональных данных. | П.8.15 Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений. |
Приказ ФСБ РФ от 10.07.2014 г. N 378
Согласно СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации), который носит рекомендательный характер, определены следующие требования к составу ОРД:
| Локальный нормативный акт | Требование |
|---|---|
| Технический паспорт ИСПДн. | |
| Положение о порядке организации и проведения работ по защите конфиденциальной информации. | П.3.5 |
| Перечень сведений конфиденциального характера. | П.3.6 |
| Техническое задание на создание системы защиты информации. | П.3.7 |
| Перечень сведений конфиденциального характера. Модель угроз безопасности ПДн. Модель нарушителя. Приказ об определении границ контролируемой зоны информационной системы. Акт классификации АС. | П.3.8 |
| Перечень сведений конфиденциального характера. | 3.10 |
| Акт классификации АС. | 3.15 |
| Технический проект на систему защиты информации. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии), акты приема-передачи носителя(ей) персональных данных (при наличии). Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе …(весь пакет ОРД) | 3.16 |
| Техническое задание | 3.17 |
| Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ. Технически проект на систему защиты информации. Технический паспорт ИСПДн. Инструкция администратора безопасности ИСПДн. Инструкция пользователя ИСПДн. | 3.18 |
| Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию. | 3.19 |
| Акты внедрения средств защиты информации. Протоколы аттестационных испытаний и заключение по их результатам. Аттестат соответствия объекта информатизации. | 3.20 |
| Приказ на проектирование системы защиты информации. Приказ о назначении лиц, ответственных за проектирование системы защиты информации. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ на обработку в АС конфиденциальной информации. | 3.21 |
Что в итоге с ОРД.
На основании вышеизложенного можно сделать вывод о том, что к основным организационно-распорядительным документам, регламентирующим процесс обработки и защиты информации, относятся:
В зависимости от уровня защищенности персональных данных, а также функциональных особенностей информационной системы персональных данных может дополняться содержание организационно-распорядительных документов, перечисленных выше, а также их перечень следующими документами:
Данный пакет документов возможно разработать самостоятельно, но при этом должно быть четкое понимание происходящих в Компании процессов и высокий уровень знаний в области защиты информации. Разработанные инструкции должны быть реализуемыми и не содержать избыточной информации.
Рекомендуется изучить лучшие практики в области защиты информации. Применение шаблонных инструкций, размещенных в открытом доступе не всегда допустимо, в связи с тем, что они не учитываю специфику Компании и могут содержать неактуальные требования устаревших нормативных актов. Однако, такие шаблонные инструкции могут помочь в соблюдении структуры повествования.
Процесс разработки ЛНА может занять от 3 месяцев до полугода, в зависимости от масштаба Компании и сложности информационных процессов, требующих обеспечение защиты информации.
При этом сотрудники, занимающиеся изучением данной области, формированием комплекта ЛНА , на этот процесс тратят в денежно эквиваленте куда больше, чем если бы эти документы были заказаны у опытного интегратора, сотрудники которого имеют высокий уровень компетенций в области защиты информации, владеют актуальной информацией об изменениях в законодательстве РФ, касающиеся защиты информации.
При этом после получения такого рода услуги имеется возможность получить консультативную поддержку по введению в действие политик и регламентов по защите информации.
Если вы реально оценили свои возможности и готовы выполнить все требования законодательства сами, но у вас остались вопросы, вы можете обратиться к нам за консультацией
Или вы можете заказать у нас комплекс работ, чтобы полностью закрыть вопрос о выполнении требований ФЗ-152 и других нормативных актов по персональным данным.
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (Закон о ПДн) защищает личную информацию от неправомерного разглашения.
Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.
Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.
Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).
Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.
На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.
За работой операторов надзирает несколько ведомств:
- Роскомнадзор.
- Федеральная служба по техническому и экспортному контролю (ФСТЭК).
- ФСБ России.
- Прокуратура Российской Федерации.
Категории персональных данных
Персональные данные делятся на категории:
- общая;
- специальная;
- биометрические данные;
- обезличенные.
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
- отпечатки пальцев;
- ДНК;
- сканирование сетчатки;
- распознавание радужки.
Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).
Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.
Как обрабатывать ПДн
Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.
Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.
Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.
- Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
- сотрудников фирмы;
- при заключении договоров;
- в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
- Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
- Определить цели работы с личными данными и работать с ними строго с заявленными целями.
- Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
- Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.
Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.
- регламент обработки данных;
- правила компании по подбору персонала;
- введение пропускного режима;
- перечень мест хранения данных;
- регламент уточнения, уничтожения ПДн.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
Чем грозит невыполнение требований по обработке персональных данных
За нарушение законодательства предусмотрен полный спектр юридической ответственности:
- дисциплинарная — за неправомерную обработку данных работником компании;
- гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
- административная — когда это предусмотрено Кодексом об административных правонарушениях;
- уголовная — за причинение вреда наиболее охраняемым общественным интересам.
Наиболее частое наказание — назначение административного штрафа.
Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.
За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.
| Размер штрафа | Граждане | Должностные лица | Юрлица и индивидуальные предприниматели |
|---|---|---|---|
| Минимальный | Предупреждение или Штраф 1 – 3 тыс. р. | Штраф 5 – 10 тыс. р. | Штраф 30 – 50 тыс. р. |
| Максимальный | Штраф 30 – 50 тыс.р. | Штраф 100 – 200 тыс. р. | Штраф 1 – 6 млн р. |
| За повторное нарушение | Штраф 50 – 100 тыс. р. | Штраф 500 – 800 тыс. р. | Штраф 6 – 18 млн р. |
Основные нормативные документы, касающиеся обработки персональных данных
Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.
Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:
-
от 28 января 1981 г., ETS № 108.
Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.
от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.
Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.
ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.
Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.
Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.
Приказ устанавливает правила обезличивания информации.
Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.
Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.
Назначение ответственных за организацию защиты данных
Оператор должен назначить ответственного за операции с конфиденциальными данными.
Ответственное лицо обязано:
- контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
- информировать работников о правилах обработки конфиденциальных данных;
- вести приём и обработку обращений субъектов ПДн.
В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.
Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.
Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.
Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:
- Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
- Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
- Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
- Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
- Со всеми приказами работники должны быть ознакомлены под подпись.
Вывод
С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:
| Период | Выписано протоколов | Сумма штрафов |
| 2018 г. | 156 | 437 тыс. рублей. |
| 2019 г. | 215 | 1 млн 99 тыс. рублей |
Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.
В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.
Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.
Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.
4. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)
Как еще может называться данный документ:
- Согласие на распространение персональных данных
Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.
Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.
Как еще может называться данный документ:
- Согласие на обработку персональных данных
- Согласие пользователя
Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.
Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.
Как еще может называться данный документ:
Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
Зачем нужен документ:
Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.
Зачем нужен документ:
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Зачем нужен документ:
Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
Как еще может называться данный документ:
- Правила рассмотрения запросов субъектов персональных данных или их представителей
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Зачем нужен документ:
Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
Как еще может называться данный документ:
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)
Как еще может называться данный документ:
- Поручение обработки персональных данных
- Договор на обработку персональных данных
- Договор обработки персональных данных
- Дополнительное соглашение на поручение обработки персональных данных
От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
Зачем нужен документ:
На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.
Зачем нужен документ:
Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.
Зачем нужен документ:
Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.
Зачем нужен документ:
Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.
Как еще может называться данный документ:
- Перечень информационных систем персональных данных
В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.
Как еще может называться данный документ:
- Приказ об определении границ контролируемой зоны и требований к ее безопасности
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.
от 23 декабря 2009 года
УТВЕРЖДАЮ
Директор Департамента
информатизации Министерства
здравоохранения и социального
развития Российской Федерации
_____________О.В.Симаков
23 декабря 2009 года
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
Обозначения и сокращения
АВС - антивирусные средства
АРМ - автоматизированное рабочее место
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
ЛВС - локальная вычислительная сеть
МЭ - межсетевой экран
НСД - несанкционированный доступ
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
САЗ - система анализа защищенности
СЗИ - средства защиты информации
СЗПДн - система (подсистема) защиты персональных данных
СОВ - система обнаружения вторжений
ТКУИ - технические каналы утечки информации
УБПДн - угрозы безопасности персональных данных
ФСТЭК России - Федеральная служба по техническому и экспортному контролю
Определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека, и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и / или воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации - возможность получения информации и ее использования.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и / или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал - электрический сигнал, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и / или выходящей из информационной системы.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и / или осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Политика "чистого стола" - комплекс организационных мероприятий, контролирующих отсутствие записи ключей и атрибутов доступа (паролей) на бумажные носители и хранения их вблизи объектов доступа.
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и / или блокировать аппаратные средства.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Раскрытие персональных данных - умышленное или случайное нарушение конфиденциальности персональных данных.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Специальные категории персональных данных - персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Учреждение - учреждения здравоохранения, социальной сферы, труда и занятости.
Уязвимость - слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.
У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.
А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.
Обязательное и добровольное предоставление данных
Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152
Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.
Является ли ваша компания оператором?
В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).
Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.
Защита персональных данных
Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.
К мерам по внутренней защите персональных данных относятся следующие действия:
- ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
- назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
- утверждение перечня документов, содержащих персональные данные;
- издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
- ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
- рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
- утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
- утверждение порядка уничтожения информации;
- выявление и устранение нарушений требований по защите персональных данных;
- проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
Среди мер по внешней защите персональных данных следует выделить такие:
- введение пропускного режима, порядка приема и учета посетителей;
- внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
- общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
- список лиц, обрабатывающих персональные данные;
- приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;
- положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
- локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.
Иные организационные и технические меры, направленные на защиту персональных данных
Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:
- утверждение требований к помещению, где хранятся персональные данные.
Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.
В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;
- обеспечение программной защиты информационной системы организации.
При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).
Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;
- ведение журнала учета работы с персональными данными.
В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.
Передача персональных данных третьим лицам
По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.
Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся — и дело будет закрыто.
Какие контрольные органы вправе затребовать персональные данные
Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.
Трансграничные передачи
Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.
Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.
До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.
Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту.
Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:
- общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);
- правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
- описание объекта защиты;
- характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
- регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
- состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
- заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).
Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.
Сколько хранить?
Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.
Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.
Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.
Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.
Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.
По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.
Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.
Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.
Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.
Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.
(ФСБУ 5/2019, ФСБУ 25/2018, ФСБУ 26/2020, ФСБУ 6/2020, ФСБУ 27/2021).
Успейте записаться, пока есть места! Старт уже 1 марта, программа здесь.
Читайте также: