- •1. Основные понятия Федерального закона "о персональных данных"
- •1.1. Содержание категории "персональные данные"
- •1.2. Область применения закона «о персональных данных»
- •1.3. Виды и цели обработки персональных данных
- •1.4. Согласие субъекта на обработку его персональных данных
- •1.5. Согласие субъекта в письменной форме
- •1.6. Обязанности оператора при сборе персональных данных
- •1.7. Передача обработки персональных данных
- •1.8. Особенности обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
- •1.8.1. Обработка персональных данных работников
- •1.8.2. Обработка персональных данных уволенных работников
- •1.8.3. Обработка персональных данных соискателей на замещение вакантных должностей
- •1.8.4. Обработка персональных данных лиц, находящихся в кадровом резерве
- •2. Категории персональных данных. Права субъектов персональных данных
- •2.1. Специальные категории персональных данных
- •2.2. Биометрические персональные данные
- •2.3. Особенности отнесения фото- и видеоизображений, дактилоскопической информации к биометрическим персональным данным
- •2.3.1. Отнесение фото- или видеоизображений субъекта к биометрическим персональным данным
- •2.3.2. Отнесение материалов видеосъемки к биометрическим персональным данным
- •2.3.3. Отнесение дактилоскопической информации к биометрическим персональным данным
- •2.4. Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные
- •2.5. Права субъектов персональных данных
- •2.5.1. Право субъекта на доступ к его персональным данным
- •2.5.2. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
- •2.5.3. Обязанности оператора при обращении к нему субъекта, его представителя, или получения запроса от Роскомнадзора
- •3. Обязанности оператора персональных данных
- •3.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом «о персональных данных»
- •3.2. Обязанности лица, ответственного за организацию обработки персональных данных
- •3.3. Политика организации в отношении обработки персональных данных
- •3.4. Перечень мер для операторов, являющихся государственными или муниципальными органами
- •3.5. Обезличивание персональных данных
- •3.6. Локальные акты по вопросам обработки персональных данных
- •3.7. Организация обработки персональных данных
- •3.8. Подача уведомления в Роскомнадзор об обработке персональных данных
- •3.9. Ответственность за нарушение требований по обращению с персональными данными
- •3.9.1. Дисциплинарная ответственность
- •3.9.2. Материальная ответственность
- •3.9.3. Гражданско-правовая ответственность
- •3.9.4. Административная ответственность
- •3.9.5. Уголовная ответственность
- •4. Работа с персональными данными в организации
- •4.1. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
- •4.2. Трансграничная передача персональных данных
- •4.3. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
- •4.4. Порядок уточнения, прекращения обработки, блокирования и уничтожения персональных данных
- •4.4.1. Блокирование персональных данных
- •4.4.2. Уточнение персональных данных
- •4.4.3. Уничтожение персональных данных
- •5. Требования к защите персональных данных при их обработке в информационных системах
- •5.1. Требования Федерального закона "о персональных данных" к обеспечению безопасности персональных данных
- •5.2. Уровни защищенности персональных данных при их обработке в информационных системах
- •5.3. Требования к защите персональных данных при их обработке в информационных системах
- •5.4. Выбор организационных и технических мер по обеспечению безопасности персональных данных при их обработке в испДн в соответствии с приказом фстэк № 21
- •5.4.1. Определение базового набора мер защиты информации для установленного уровня защищенности
- •5.4.2. Адаптация базового набора мер с учетом структурно-функциональных характеристик и особенностей функционирования испДн
- •5.4.3. Уточнение набора мер с учетом не выбранных ранее мер, направленных на нейтрализацию всех актуальных угроз
- •5.4.4. Дополнение уточненного набора мерами, установленными иными нормативными правовыми актами
- •5.4.5. Компенсирующие меры по снижению актуальных угроз
- •5.4.6. Классы сертифицированных средств защиты информации для обеспечения уровней защищенности пДн
- •5.4.7. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных
- •Содержание
3.5. Обезличивание персональных данных
Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
6 сентября 2014 года издано постановление Правительства РФ № 911, которым внесены изменения в постановление Правительства РФ № 211 от 21.03.2012. Этим документом отменяется обязанность операторов –государственных и муниципальных органов осуществлять обезличивание персональных данных, обрабатываемых в информационных системах.
Практика правоприменения продемонстрировала, что обработка персональных данных в государственных и муниципальных информационных системах не всегда требует обезличивания информации. Необходимость применения указанной меры защиты возникает в исключительных случаях, которые установлены российским законодательством. К таким случаям относится необходимость органов государственной власти и местного самоуправления размещать в открытом доступе документы, содержащие персональные данные, например, обезличенные копии судебных актов.
Таким образом, большая часть информационных систем, содержащих персональные данные, не подвержены тем рискам безопасности персональных данных, на нейтрализацию которых направлен механизм обезличивания.
Подробное описание различных процедур обезличивания приведено в методических рекомендациях по применению приказа Роскомнадзора № 996, которые размещены на официальном сайте http://rkn.gov.ru/news/ rsoc/news23181.htm. Также в них рассмотрены вопросы организации обработки обезличенных данных.
3.6. Локальные акты по вопросам обработки персональных данных
Подробный перечень документов, необходимых при проверке оператора персональных данных, размещен на сайте управления Роскомнадзора:
- копия документа о назначении должностного лица или уполномоченного представителя, которое представляет интересы оператора при проведении проверки;
- организационно – штатная структурная схема юридического лица (до структурного подразделения);
- журнал учета проверок юридического лица или индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.
- уведомление об обработке персональных данных;
- письмо о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения);
- локальные акты, устанавливающие перечень обрабатываемых оператором персональных данных; документы, подтверждающие обработку заявленных оператором персональных данных (например, снимок экрана - в случае осуществления автоматизированной обработки персональных данных);
- письменное согласие субъектов персональных данных (в том числе работников) на обработку их персональных данных, составленное в соответствии с требованиями ст.9 ФЗ-152;
- документы (согласие субъектов на обработку их персональных данных, нормативные правовые акты), подтверждающие наличие полномочий у оператора на обработку специальных и биометрических категорий персональных данных, а также документы (локальные акты оператора), подтверждающие соблюдение требований законодательства РФ при обработке этих категорий персональных данных;
- локальные акты, определяющие перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- приказ о назначении лиц, ответственных за организацию обработки персональных данных;
- локальные акты, регламентирующие порядок и условия обработки персональных данных, (положение об обработке и защите персональных данных, инструкции об автоматизированной и/или неавтоматизированной обработке персональных данных; листы ознакомления сотрудников, допущенных к обработке персональных данных без использования средств автоматизации, о факте обработке ими персональных данных и иных обстоятельствах, предусмотренных п.6 постановления Правительства № 687, приказ об утверждении мест хранения персональных данных, перечень мер, необходимых для обеспечения сохранности персональных данных и исключающего несанкционированный доступ к ним, перечень лиц, ответственных за реализацию указанных мер);
- локальные акты, устанавливающие порядок уничтожения, а также подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (например, приказ о назначении комиссии по уничтожению персональных данных, акты об уничтожении материальных носителей персональных данных);
- описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений; общее количество рабочих мест, количество рабочих мест, на которых обрабатываются персональные данные; описание ЭВМ, носителей, на которых производится обработка персональных данных - наименование, заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие средств шифрования (криптозащиты); средств имитозащиты (аппаратные, программные, аппаратно-программные средства, системы и комплексы) - наименование, заводской, инвентарный номер;
- договоры оператора с третьими лицами, в случае, если оператор на основании такого договора поручает им обработку персональных данных (договор обязательного медицинского страхования работающих граждан; договоры, о зачислении денежных средств на счета физических лиц (работников оператора) в соответствии с реестрами, предоставляемыми на электронных носителях; договоры с медицинским учреждением о прохождении обязательного медицинского осмотра работающих граждан);
- документы, подтверждающие выполнение оператором мер, предусмотренных статьями 18.1 и 19 ФЗ-152 «О персональных данных»; документы, подтверждающие выполнение оператором при обработке персональных данных необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним (подробнее рассматриваются в разделе 5 данного пособия);
- журналы учёта применяемых средств защиты информации, носителей персональных данных (ЭВМ, дискеты, флешки и т.п.); сертификаты средств защиты информации; приказ о составе комиссии по определению уровня защищенности ИСПДн; документальное оформление присвоения информационной системе соответствующего уровня защищенности (Акт определения уровня защищенности персональных данных); электронный журнал обращений пользователей ИСПДн на получение персональных данных; журнал проведения инструктажа по информационной безопасности, журнал учета мероприятий по контролю обеспечения защиты персональных данных; соответствующие документы организации охраны, режима обеспечения безопасности (приказы, другие документы);
- журнал учета обращений граждан (субъектов персональных данных), локальный нормативный акт, утверждающий форму и порядок ведения журнала обращений граждан;
- типовые формы документов, предполагающие или допускающие содержание персональных данных (заявления, анкеты и др.);
- локальные акты оператора, регламентирующие порядок хранения материальных носителей персональных данных (правила обработки персональных данных без использования средств автоматизации);
- журнал (реестр) для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (при наличии).
Многие из пунктов данного списка подразумевают предоставление нескольких дополнительных документов (регламенты, инструкции, журналы, списки и т.п.). К тому же данный перечень может быть уточнён в ходе проверки.
Все работники оператора, которых касаются инструкции или приказы, должны быть с ними ознакомлены (расписаться в листе ознакомления).