WWW.RU.I-DOCX.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные документы
 

«О соблюдении требований Федерального закона Российской Федерации от 27.06.2006 «О персональных данных» № 152-ФЗ государственными и муниципальными ...»

О соблюдении требований Федерального закона Российской Федерации

от 27.06.2006 «О персональных данных» № 152-ФЗ

государственными и муниципальными учреждениями

 

В условиях динамичного развития информационных технологий, вопрос защиты информации становится достаточно актуальным аспектом нашей жизни. Для многих руководителей государственных и муниципальных учреждений, особенно образовательных, соблюдение требований Федерального закона «О персональных данных» № 152-ФЗвызвало ряд затруднений при осуществлении своей деятельности.Проект LinuxWizard предлагает обратить внимание на следующий документ: «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Он призван внести ясность в то, какие шаги нужно предпринять во избежание обвинения в несоблюдении требований законодательства в области защиты персональных данных. Должны признать, что, несмотря на всю полезность, документ по своему содержанию не является исчерпывающим и требует некоторой подкованности в области, которой он посвящён. Потому приводим его с комментариями специалиста LinuxWizard по защите информации, поясняющими наиболее сложные моменты.

---------

Утвержден

постановлением Правительства

Российской Федерации

от 21 марта 2012 г. № 211

 

Перечень мер, направленных на обеспечение выполнения обязанностей,

предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами,

операторами, являющимися государственными или муниципальными органами

 

Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

а). Назначают ответственного за организацию обработки персональных данных (далее — ПД) в государственном или муниципальном органе из числа служащих данного органа; (здесь и далее курсивом выделены примечания специалиста LinuxWizard по защите информации):Данный пункт говорит о том, что нет необходимости нанимать или принимать в штат нового специалиста. Можно подготовить сотрудника, ответственного за организацию обработки ПД, из числа уже работающих в учреждении людей.

б). Утверждают актом руководителя государственного или муниципального органа следующие документы:

правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;Речь идет о внутреннем документе «Положение по обработке персональных данных».

Правила рассмотрения запросов субъектов персональных данных или их представителей;Речь идет о регламенте обработки запросов касательно ПД. Лица, ПД которых обрабатываются в учреждении, имеют право обратиться в данное учреждение в устной или письменной форме, лично или прибегнув к помощи доверенного лица (на основании нотариально оформленной доверенности) для получения информации о том, какие именно данные, относящиеся к ним, обрабатываются, на каких основаниях, в каких целях и т.





д. При этом, в случае устного обращения по телефону, раскрывать запрашиваемую информацию запрещается по причине того, что мы не можем в полной мере идентифицировать человека, инициировавшего устный запрос, можно давать только общие ответы: «Да» или «Нет». Во всех остальных случаях обязательными реквизитами запроса должны быть данные документа, удостоверяющего личность субъекта ПД. Казус ситуации заключается в том, что для того, чтобы получить эти данные, объём которых обычно невелик, Закон обязывает нас предоставить (изложить в заявлении) куда больший объём персональной информации, например, данные паспорта.

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;Эти правила могут быть прописаны в должностной инструкции лица, ответственного за обработку ПД. Правила работы с обезличенными данными;Следует отметить, что на обезличенные (данные, на основании которых нельзя установить личность конкретного человека, к которому они относятся) и общедоступные (полученные из легальных средств массовой информации или иных законных общедоступных источников) данные, а также те данные, которые необходимы для выполнения учреждением своих основных функций или сбор которых установлен другими законодательными актами, не распространяются требования Закона № 152-ФЗ по получению согласия на обработку ПД от субъекта ПД.

Перечень информационных систем персональных данных;Информационная система обработки конфиденциальной информации может и, по нашему мнению, должна быть разделена на некоторые подсистемы, например: бухгалтерия, отдел кадров, система контроля доступа в учреждение и т. д. Это позволяет классифицировать каждую подсистему в отдельности и, тем самым, снизить уровень предпринимаемых мер для защиты каждого конкретного сегмента, обрабатывающего ПД. Результат — экономия силы и средств, причём совершенно законным путем.

Перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;Как уже говорилось выше, на ПД, которые обрабатываются в учреждении на основании возложенных на него функций, а также на ПД, сбор и обработка которых обязательны на основании законодательства РФ, не распространяются требования Закона № 152-ФЗ по получению от субъекта ПД согласия на обработку ПД. Главное, чтобы собираемая и обрабатываемая информация не была избыточной. То есть запрещается собирать и обрабатывать ПД, которые учреждению, по сути, не нужны, и которые не требуются каким-либо законодательным актом.

Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;Учреждение должно провести анализ, результатом которого станет сокращение перечня защищаемой информации.

Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;Необходимо составить перечень должностей, в обязанностях исполнителей которых присутствует элемент обработки ПД. Если, по каким либо причинам, служащего, занимающего такую, должность, надо будет заместить кем-либо другим из кадрового состава, то замещающее лицо выбирается из данного перечня. Это исключит доступ к ПД лиц, не имеющих права на работу с конфиденциальной информацией.

Должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;Как и в любой другой должностной инструкции, в должностной инструкции ответственного за организацию обработки ПД должны быть прописаны обязанности, административные меры за их невыполнение и т. д.

Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;Напоминание о необходимости письменного подтверждения служащим обязанности не разглашать служебную тайну.

Типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;Главный посыл данного пункта, по нашему мнению, заключается в том, что от каждого субъекта ПД должно быть получено согласие на предоставление им своих ПД для их последующей обработки и хранения. ПД, обрабатываемые без такого согласия, приравниваются к полученным незаконным путём и должны быть удалены из информационной системы. Вместе с тем, субъект не обязан давать такое согласие против своей воли. В этом случае до него должна быть доведена информация о последствиях такого отказа. Например: если человек отказывается предоставить свои ПД, то это приведёт к невозможности предоставления ему государственной услуги или заключения с ним договора гражданско-правового характера. При этом нет необходимости получать письменное согласие от физических лиц на обработку их ПД, необходимых для предоставления государственными образовательными учреждениями образовательных услуг.

Порядок доступа служащих государственного или муниципального органа в помещениях, в которых ведется обработка персональных данных;Должен быть сформирован перечень лиц, имеющих доступ в места обработки и хранения ПД, для исключения возможности доступа к ПД посторонних лиц и лиц, должностные обязанности которых не подразумевают работу с ПД. Следует отметить, что также существуют требования по организации так называемого «Защищаемого помещения» — помещения (служебный кабинет, актовый, конференц-зал и т. д.), специально предназначенного для проведения конфиденциальных мероприятий, на которых обрабатывается речевая информация, содержащая сведения конфиденциального характера. Такое помещение должно присутствовать в учреждении хотя бы в единственном экземпляре. Статус «Защищаемого помещения» присваивается по результатам специальной проверки и последующей аттестации на соответствие требованиям нормативных документов, принятых в сфере защиты информации. Проводить аттестационные испытания могут только организации, имеющие специальную лицензию на предоставление услуг по технической защите конфиденциальной информации. Эти услуги предоставляются на коммерческой основе.Надеемся, что, поскольку в данном документе явным образом не прописано требование к наличию в организации «Защищаемого помещения», то, возможно, для государственных заведений сделают исключение. Хотя следующий пункт косвенно говорит об обратном.

в). При эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;Для определения того, какой уровень защиты необходим учреждению, и каким образом будет обеспечиваться защита информационной системы и ее компонентов, мы должны провести классификацию как самой информационной системы (совокупности подсистем), так и каждой автоматизированной системы (далее — АС), то есть совокупности автоматизированного рабочего места, на котором ведется обработка или хранение ПД, и служащего, осуществляющего обработку. Для этих целей служат следующие документы: Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (ссылка на официальный текст документа:http://www.rg.ru/2008/04/12/informaciya-doc.html); Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденный решением Председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

(ссылка для скачивания документа с официального сайта ФСТЭК России: http://www. fstec.ru/_docs/doc_3_3_004.doc); Положение о методах и способах защиты информации в информационных системах персональных данных«, утвержденное Приказом ФСТЭК России от 05.02.2010 N 58 (ссылка для скачивания документа с официального сайта ФСТЭК России: http://www.fstec.ru/_docs/doc_781.doc.)

г). При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Существуют особые требования к осуществлению обработки ПД без применения средств автоматизации, то есть без использования ПК (ссылка на официальный текст документа: http://www. rg.ru/2008/09/24/dannye-obrabotka-dok.html).

д). В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;Не забываем прописать данные пункты в должностной инструкции ответственного за организацию обработки ПД, либо в отдельном положении о проведении периодических проверок на соответствие требованиям информационной безопасности при осуществлении обработки ПД.

е). Осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;Все служащие, допущенные к обработке ПД, должны быть ознакомлены с законодательными актами и административными документами, принятыми в области защиты ПД, под роспись. Обучение персонала может проводиться только в образовательных учреждениях, реализующих дополнительные профессиональные образовательные программы в области информационной безопасности, согласованные с ФСТЭК России (ссылка для скачивания Перечня с официального сайта ФСТЭК: http://www.fstec. ru/_razd/_licperech.doc)

ж). Уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных»;Речь идет об официальном признании себя (учреждения) Оператором ПД, которое влечет за собой занесение данного Оператора в государственный реестр операторов ПД (ссылка на страницу реестра — http://www.rsoc.ru/personal-data/register/ ) уполномоченным органом, в роли которого выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР). На основании данного реестра уполномоченный орган проводит плановые проверки Операторов ПД.Следует помнить, что нет необходимости признавать себя оператором ПД в следующих случаях:— если учреждение работает с обезличенными ПД;— если учреждение работает с общедоступными ПД.Тем не менее, мы рекомендуем всем учреждениям подать такое заявление. Если регулятор во время проведения проверки установит факт обработки персональных данных, и при этом за учреждением не будет закреплен статус Оператора ПД, то регулятор вынужден будет составить акт об административном правонарушении с применением штрафных санкций. При этом доказать «на месте» правомерность факта не признания себя Оператором не получится: это будет возможно только в рамках судебного разбирательства.

з). Согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.На данный момент комментировать данный пункт несколько сложно, потому что непонятно, о каком документе, отдельно регламентирующем процесс обезличивания данных, идет речь. Возможно, этот документ должен был быть разработан контролирующим органом, но по каким-то причинам так и не появился на свет. Мы будем следить за развитием данного аспекта требований.

Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.Имеется в виду политика обработки конфиденциальной информации. Пример подобной политики Вы можете найти на нашем сайте по адресу: http://linuxwizard. ru/confident/


Похожие работы:

«Пояснительная запискаНастоящая программа по литературе разработана для учащихся 11 класса МБОУ "Ликино-Дулёвская СОШ №5" на основе следующих нормативно­правовых документов: Закона РФ "Об образовании" (ст.9,п. 6; ст. 3...»

«Открытый урок по русскому языку в 7 классе по теме "Мягкий знак после шипящих в конце наречий". Тип урока: комбинированныйЦели урока:1.Познакомить с орфограммой "Буква Ь после шипящих на конце наречий".2.Повторить написание Ь после шипящих в различных частях речи".3.Развитие устной и письменной речи.Задачи:О...»

«Об утверждении Правил организации тушения пожаровВ соответствии с подпунктом 70-34) пункта 1 статьи 12 Закона Республики Казахстан от 11 апреля 2014 года "О гражданской защите", ПРИКАЗЫВАЮ:1. Утвердить прилагаемые Правила организации тушения пожаров.2. Комитету по чрезвычайным ситуациям Министерства внутренн...»

«Администрация муниципального образования Новомариинское сельское поселениеПАСПОРТНОВОМАРИИНСКОГО СЕЛЬСКОГОПОСЕЛЕНИЯ за 2015 годПАСПОРТ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ НОВОМАРИИНСКОЕ СЕЛЬСКОЕ ПОСЕЛЕНИЕ1) Справочная информацияНОВОМАРИИНСКОЕ   СЕЛЬСКОЕ  ПОСЕЛЕНИЕ  Юридический адрес: 636935,Томская обл...»

«Закон Алтайского края от 31 августа 2011 года N 100-ЗС Статья 1. Сфера действия настоящего Закона1. Настоящий Закон устанавливает дополнительную меру государственной поддержки семей при рождении (усыновлении) третьего ребенка или последующих детей в виде выплаты материнского (семейного) капита...»

«ТЕХНОЛОГИЧЕСКАЯ КАРТА УРОКА АНГЛИЙСКОГО ЯЗЫКА ласс: 5 Тема урока: Нам нравится Уэльс! Базовый учебник: В.П. Кузовлев, Н.М.Лапа, И.П.Костина, О.В.Дуванова, Английский язык. 5 класс ("English 5"). Москва, "Просвещение", 2012 г.Цели: образовательная: формирование грамматических...»

«Знаки препинания в предложениях с причастными и деепричастными оборотами Задание: выпишите цифры, на месте которых должны стоять запятые.1. Разноцветные заросли (1) образованные одиночными (2) и колониальными коралловыми полипами (3) хорошо видны сквозь прозрачные воды тёплых тропических морей (4) в тих...»

«ПОЛОЖЕНИЕ о центре общественного доступа к социально-значимой информации, действующем на базе муниципального учреждения "Пикалёвская центральная библиотека"1. Общие положения Положение о центре общественного доступа, к социально-значимой...»










 
2017 www.ru.i-docx.ru - «Бесплатная электронная библиотека - электронные документы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.