+7 (495) 332-37-90Москва и область +7 (812) 449-45-96 Доб. 640Санкт-Петербург и область

Как ит служба должна организовать обработку персональных данных

Как ит служба должна организовать обработку персональных данных

Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы. В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор , на которую возложен контроль за операторами, обрабатывающими персональные данные граждан.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Рекомендации СоДИТ ИТ-директорам России по защите персональных данных

ВИДЕО ПО ТЕМЕ: Как отозвать свои персональные данные ? Отзыв персональных данных

Автор: заседание экспертов 6 февраля г. Законодательная основа для проведения мероприятий по защите ПД 1. Основные регулирующие документы 2. Ключевые пункты регулирующих документов.

Регуляторы 1. Обеспечение контроля и надзора за выполнением требований по защите ПДн 2. Виды предусмотренных законодательством проверок. Общие рекомендации 1. С чего начать 2. Перечень внутренних документов компании 3. Порядок действий по созданию системы защиты ПДн 4. Модель угроз и классификация ИСПДн 5. Требования к аттестации ИСПДн 6. Какие могут быть последствия, если ничего не делать.

Часто задаваемые вопросы по защите персональных данных Заключение. В законодательстве Российской Федерации предусматривается наличие различного рода сведений, которые охраняются законом.

Одним из самых больших потоков конфиденциальной информации, её значительной составляющей частью, являются сведения о гражданах. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации о праве граждан на информацию, соответствующие международным нормам в этой области.

Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна. Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. А следовательно, накопилось много вопросов и проблем, связанных с разночтением уже существующих нормативных актов и порядком их применения.

В правоотношениях связанных с оборотом персональных данных выступают две стороны — субъект персональных данных, с одной стороны, и с другой стороны оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Таким образом, собственником персональных данных является физическое лицо, данные о котором находятся в обороте. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом преследуется цель защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Между тем, до 1 января г. Этого времени для разработки и внедрения в компании системы защиты персональных данных катастрофически мало. Понемногу общество стало осмысливать значение его принятия в процессе формирования правосознания граждан России — каждый из нас имеет информацию, которая должна защищаться государством от неправомерного распространения и использования. В то же время, необходимо разделять позиции законодателя в отношении операторов, которые обязаны обрабатывать персональные данные согласно требованиям ФЗ и в отношении субъектов персональных данных, права которых должны быть защищены, в первую очередь, путем выполнения требований регулирующих органов, а во вторую, обеспечением контроля и надзора за защитой прав субъектов персональных данных со стороны государства.

Таким образом, операторы персональных данных оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством.

Необходимо понимать, что с целью соблюдения таких требований во всех организациях должен появиться новый, достаточно объемный пласт документации. Только комплексный аудит ИС позволяет провести инвентаризацию информационных ресурсов и понять где, как и какие ПДн обрабатываются. Приведем ряд ссылок на нормативно-правовую базу, регламентирующую ответственность, наступающую за нарушение законодательства о защите персональных данных.

Статья 5. Отказ в предоставлении гражданину информации. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - влечет наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей.

Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах персональных данных. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Нарушение правил защиты информации. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации за исключением информации, составляющей государственную тайну , - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации за исключением средств защиты информации, составляющей государственную тайну , - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации за исключением информации, составляющей государственную тайну , - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

Невыполнение в срок законного предписания постановления, представления, решения органа должностного лица , осуществляющего государственный надзор контроль. Невыполнение в установленный срок законного предписания постановления, представления, решения органа должностного лица , осуществляющего государственный надзор контроль , об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа - влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.

Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -.

Федеральным законом от Отказ в предоставлении гражданину информации Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

Незаконное предпринимательство 1. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения лицензии в случаях, когда такое разрешение лицензия обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, - наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от четырех до шести месяцев.

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации … 1. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона. Уполномоченный орган по защите прав субъектов персональных данных 3.

Уполномоченный орган по защите прав субъектов персональных данных имеет право:. Заключительные положения … 1. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января года.

Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января года.

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности — ФСБ России;. Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации — ФСТЭК России;.

Уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор Министерства связи и массовых коммуникаций. Область ответственности у каждого из этих органов своя. ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования криптографии. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, при этом невыполнение одних требований сводит на нет результаты реализации других. Всем операторам нужно, в первую очередь для себя, закрепить документально основные понятия обработки персональных данных субъектов, так как:. Такая система описания относительно критерия цели обработки, например позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и Уполномоченного органа.

Другим вопросом, имеющим отношение к документации оператора персональных данных, является вопрос о сроках хранения персональных данных. Организации должны будут установить сроки хранения персональных данных, причем необходимо заранее продумать обоснование выбранных сроков хранения. Что касается технических мероприятий по обеспечению защиты ПДн, то мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в ИС.

При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных трудовых обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного уполномоченным лицом оператора.

При этом сам по себе утвержденный список мало что значит. Важно обеспечить разграничение доступа не только к приложениям, но и реализовать в самих приложениях доступ к персональным данным в соответствии с утвержденным списком. Сделать это без эффективной системы управления доступом будет крайне затруднительно. Механизмы направлены на предотвращение несанкционированного доступа к персональным данным и, кроме того, обеспечивают своевременное обнаружение фактов несанкционированного доступа к ним.

Кроме того важно понимать, что какие бы хорошие не были механизмы защиты, ответственные лица оператора должны периодически проводить контроль и проверку их эффективности. Определенную сложность при категорировании, защите и аттестации ИС будет иметь тот факт, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие.

Если раньше мы могли говорить о локальной защите конкретного модуля например, кадрового учета , то теперь при повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и аттестовать придется всю информационную систему.

При наличии в организации единого управленческого звена можно предложить операторам следующую схему организации системы защиты персональных данных:. Приступать к технической защите можно после проведения категорирования персональных данных, определения их объема и особенностей технологических процессов их обработки передача ПДн в рамках технологического процесса между территориально обособленными подразделениями компании, многопользовательский доступ к персональным данным, различные права доступа сотрудников к ПДн.

Эти операции позволят:. На основании вышесказанного процесс, связанный с приведением порядка обработки персональных данных в соответствие требованиям законодательства, можно условно разбить на следующие этапы:.

Необходимо учитывать, что в случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России. В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании методических документов ФСБ России.

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные криптографические средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Защитные механизмы в значительной степени уточнены в постановлении Правительства г. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК России и ФСБ России. Необходимо отметить, что законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни , за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию.

Общие положения 1. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде. Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля г. Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные.

Как ит служба должна организовать обработку персональных данных

Автор: заседание экспертов 6 февраля г. Законодательная основа для проведения мероприятий по защите ПД 1. Основные регулирующие документы 2. Ключевые пункты регулирующих документов.

Вот как СОРМ соотносится с защитой персональных данных?! Они же прямо противоположны по назначению. Был бы человек хороший, а статья найдётся". Пока государство не полезло регулировать Интернет не видел никакой необходимости лично использовать средства защиты информации, прежде всего средства обеспечения анонимности. Не видел разницы между российскими операторами и зарубежными, оценивал их только по функциональности и удобству. Теперь вижу и буду оценивать по степени сотрудничества с российскими властями: меньше — лучше.

Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте. Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные.

В соответствии с Федеральным законом от 27 июля г. N Собрание законодательства Российской Федерации, , N 14, ст. Утвердить прилагаемое Положение об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Признать утратившим силу приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 13 апреля г. N "Об утверждении Положения об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" зарегистрирован Министерством юстиции Российской Федерации 17 мая г. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации. Положение об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций далее - Положение определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций далее - Роскомнадзор.

Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т. К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов. По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.

Положение об обработке и защите персональных данных в Управлении Роскомнадзора по Пензенской области. Общие положения.

.

Перечень действий по обработке персональных данных, которые не.

.

.

.

.

.

.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Пока нет комментариев. Будь первым!

© 2018-2019 delium.ru