Защита персональных данных

Материал из RSU WiKi
Версия от 15:06, 5 мая 2012; D.pakin (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Содержание

Введение

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных [1].

Подача уведомления об обработке персональных данных

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица [2].

Наименование оператора

Типичные ошибки [3]:

  • не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН
  • несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая - номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов [2].

  • Конституция РФ (ст. 23-24, ч.1 ст.26);
  • Трудовой кодекс РФ (ст. 65, ст.85-90);
  • Гражданский кодекс РФ;
  • Закон РФ "Об образовании" от 10.07.1992 N 3266-1;
  • Федеральный закон от 01.04.1996 №27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (ст. 7-9);
  • Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" (ст.5-22);
  • Федеральный закон от 27.08.2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 22.10.2004 №125-ФЗ "Об архивном деле в Российской Федерации" (ред. от 13.05.2008);
  • Федеральный закон от 22.09.1996 г. N 125-ФЗ "О высшем и послевузовском профессиональном образовании";
  • Приказ Минобрнауки РФ от 21.10.2009 №442 "Об утверждении Порядка приема граждан в имеющие государственную аккредитацию образовательные учреждения высшего профессионального образования" (Зарегистрировано в Минюсте РФ 10.12.2009 №15495);
  • Приказ Минобрнауки РФ от 15.04.2009 №133 "Об утверждении Порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации" (Зарегистрировано в Минюсте РФ 29.06.2009 №14147)
  • Постановление Правительства РФ «Об утверждении Положения о воинском учете» от 27.11.2006 № 719 (разделы III, VI);
  • Устав учреждения ... (утвержден приказом Министерства образования и науки Российской Федерации от ...);
  • Лицензия от ..., серия ..., регистрационный номер ...;
  • Положение об архиве ... от ...;

Цель обработки персональных данных

По сути, цель обработки - указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности [2] [3] .

  • удовлетворение потребностей личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования;
  • удовлетворение потребностей общества и государства в квалифицированных специалистах с высшим и средним профессиональным образованием, в научно-педагогических кадрах высшей квалификации;
  • подготовка, переподготовка и повышение квалификации работников с высшим образованием, научно-педагогических работников высшей квалификации, руководящих работников и специалистов по профилю вуза;
  • распространение знаний среди населения, повышение его образовательного и культурного уровня;
  • выполнение требований законов и других нормативных правовых актов РФ;
  • обработка персональных данных для целей кадрового делопроизводства;
  • обеспечение выполнения условий трудового договора;
  • выполнение требований закона о воинском учёте;
  • создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;
  • создание условий для начисления заработной платы, оплаты листков нетрудоспособности, пособий и предоставления льгот, установленных законодательством;
  • создание условий, требуемых законом для подготовки документов для присуждения учёной степени, присвоении учёного звания, прохождения конкурсного отбора.

Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве [2].

Категории субъектов, персональные данные которых обрабатываются

Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях [2].

  • Работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (соискатели должности; абитуриенты, студенты, бывшие струдники), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором);

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

  • сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), уничтожение.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах),
  • защита паролем компьютеров с персональными данными,
  • использование системы паролей при работе в сети (портале)
  • ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях [3].

  • Защита от несанкционированного физического доступа к информации (хранение ПД в закрытых шкафах, ящиках, сейфах), защита паролем компьютеров с персональными данными, использование системы паролей при работе в сети, ограничение доступа к компьютерной технике, использование межсетевых экранов.

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными [3].

  • Дата основания организации или дата присвоения ИНН.

Условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» [3].

  • Прекращение деятельности юридического лица.

Сертифицированное ПО

Способы удешевления сертификации:

  1. Перевод рабочих мест, обслуживающих и хранящих ПД на клиент-серверные технологии, например Microsoft Terminal Services; т.о. можно сократить затраты на приобретение спец. ПО в разы;

Kaspersky BusinessSpace Security Certified Media Pack

В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.

Медиа-пак – необходимый для установки, конфигурирования и использования продукта набор программ (дистрибутив). Поставляется в комплекте с лицензиями Kaspersky Business Space Security [4].

1C: Предприятие 8.2z

«1С:Предприятие, версия 8.2z» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну (сертификат соответствия № 213 от 20.07.2010 г., выданный ФСТЭК России) [5].

Примечания

  1. Федеральный закон «О персональных данных». Материал из Википедии — свободной энциклопедии
  2. 2,0 2,1 2,2 2,3 2,4 Управление Роскомнадзора по Республике Хакасия. Защита персональных данных. Разъяснения по заполнению уведомления об обработке персональных данных.
  3. 3,0 3,1 3,2 3,3 3,4 Управление Россвязькомнадзора по Воронежской области. Анализ типичных нарушений при заполнении уведомлений об обработке персональных данных в 2008 г. – январе 2009 г.
  4. http://www.softmark.ru/catalog/soft/element.php?ID=24384
  5. О выпуске защищенного программного комплекса "1С:Предприятие, версия 8.2z"

См. также

Ссылки

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты