Сроки и порядки

Защита персональных данных обрабатываемых с применением средств автоматизации

Защита персональных данных обрабатываемых с применением средств автоматизации

Персональные данные в Российской Федерации считаются особенной категорией информации. На всех кто работает с такими сведениями, накладываются определенные обязательства. Все дело в том, что распространение персональной информации может навредить ее субъектам и привести к негативным последствиям.

Свои нормативы и правила предусматривает и обработка ПДн – она может быть, как автоматизированной, так и неавтоматизированной (ручной). В материале мы поговорим об особенностях автоматизированной обработки ПДн, расскажем о средствах автоматизации и о том, как она происходит.

Скрыть содержание

Что это такое?

  • Средства автоматизации. Под средствами автоматизации понимаются приборы, устройства, которые могут использоваться как по отдельности, так и в совокупности, способные выполнять ряд поставленных задач без вмешательства человека, однако, возможно, под его руководством.Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение. При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.Если компьютер используется в качестве печатной машинки без дальнейшего сохранения на диске данных, то такое техническое средство не следует называть автоматизированным (хотя подобные возможности оно имеет) в контексте.
  • Автоматизированная обработка. Компьютерная обработка данных – это обработка информации при помощи вычислительной техники, другими словами, с использованием средств компьютеризации. Речь идет об электронных машинах, вспомогательных устройствах, программном обеспечении и других аппаратах.

Разница между автоматизированной и неавтоматизированной

Неавтоматизированная (ручная) обработка осуществляется при непосредственном участии человека, согласно Постановлению правительства РФ «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации.»

Такая формулировка нередко приводит к ошибочной трактовке процессов компьютеризированной и ручной обработки. Оператор может предположить, что любая операция, в которой участвует человек является ручной – такой подход значительно сокращает перечень по-настоящему самостоятельных процессов, однако, отметим сразу, он в корне неправильный.

Предположим, человеку следует нажать на клавишу, чтобы сохранить папку с ПДн сотрудников на компьютере.

Какой будет такая обработка? Автоматизированной, поскольку в процессе участвует компьютер? Или ручной в связи с тем, что оператор инициирует и контролирует процедуру сохранения? В данном случае более важно то, что компьютер будет «хранить» сведения без участия человека – процесс будет полностью автоматизированным.

Чтобы не путаться, скажем сразу, что компьютеры и другой софт, как правило, всегда способствуют переводу процесса обработки в класс компьютеризированной. Исключением из правила назовем только использование компьютера в роли печатной машинки.

Обработка с участием человека чаще всего происходит на бумажных носителях. Сортировка папок с документами, выписка пропусков сотрудников и многие другие действия относятся к обработке информации без средств автоматизации.

Справка: все сведения при неавтоматизированной работе с документами проходят только через человека, ответственного за ПДн.

Как происходит?

Автоматизированные средства работы с данными облегчают задачу с большими объемами сведений и существенно облегчают сортировку и другие манипуляции с информацией. Когда определенный блок данных оказывается загруженным на диск компьютера или в специализированную программу – следует говорить о начале компьютеризированной процедуры.

https://www.youtube.com/watch?v=lX9A25Ebg48\u0026pp=ygWTAdCX0LDRidC40YLQsCDQv9C10YDRgdC-0L3QsNC70YzQvdGL0YUg0LTQsNC90L3Ri9GFINC-0LHRgNCw0LHQsNGC0YvQstCw0LXQvNGL0YUg0YEg0L_RgNC40LzQtdC90LXQvdC40LXQvCDRgdGA0LXQtNGB0YLQsiDQsNCy0YLQvtC80LDRgtC40LfQsNGG0LjQuA%3D%3D

Наиболее распространенной разновидностью обработки является хранение данных. Однако начинается весь цикл, зачастую, со сбора сведений. Если они записываются в каком-угодно формате на цифровой носитель, то такая обработка становится автоматизированной. Огромный сегмент связан с сортировкой сведений, в чем помогают специализированные программы.

Например, программное обеспечение позволяет следить за тем, чтобы собранная информация удалялась после 90 дней хранения, обезличивалась или уничтожалась.

Положение об этом процессе – как составить и что должно в себя включать?

Положение об обработке ПДн в автоматизированных системах – документ, который регламентирует основные процессы с конфиденциальными сведениями, определяет принципы и меры для обеспечения безопасности таких данных. К его составлению следует подойти грамотно. Мы расскажем об обязательных пунктах такого документа и правилах его составления:

  1. Требования при обработке информации. С информацией должны работать специально обученные люди, в должностной инструкции которых необходимо указать права и обязательства. Желательно уточнить, что цели сбора информации с последующим хранением ее в автоматизированных системах должны соответствовать или способствовать реализации положений Конституции России, федеральных законодательных актов, гражданско-правовых договоров и других документов (подробнее о правовом обеспечении обработки персональных данных читайте тут).

    Следует указать, что операторы ПДн должны всегда брать разрешение на операции с ПДн у непосредственных владельцев информации. Желательно информировать их и о том, при помощи каких средств автоматизации планируется осуществлять обработку данных.

  2. Принципы обработки ПДн. Тут следует указать о том, что ПДн могут использоваться только для удовлетворения целей, которые были озвучены заранее и являются законными. Не допускается объединять информацию, собранную с разными целями.

    Желательно, чтобы оператор следил за достаточностью данных и в то же время контролировал соответствие их объему заданным целям. Одним словом, принципы призваны обезопасить граждан от недобросовестного сбора и использования конфиденциальных сведений.

  3. Порядок получения персональных данных. Желательно прописать, что в большинстве случаев разрешение субъекта данных является обязательным. Использовать данные без разрешения можно в исключительных случаях, все они прописаны в законе «О персональных данных» и, например, включают в себя следующие ситуации: для защиты жизни и здоровья, для исполнения гражданско-правового договора, осуществления правосудия, статистических и научных целей (обезличенные данные).
  4. Обработка ПДн. Здесь необходимо указать, как осуществляется сбор данных, в каких объемах и с какой целью.
  5. Хранение и защита данных. Раздел предназначен для ответа на такие вопросы:
    • На каких носителях хранят ПДн?
    • Как оборудовано помещение, где хранятся данные?
    • Кто имеет доступ?
    • Используется ли парольная система доступа для вычислительных машин?
    • Перечень мероприятий по внешней защите.

Как видите, в Российской Федерации четко разграничены понятия автоматизированной и неавтоматизированной обработки данных.

В первом случае не обойтись без участия компьютеров, а вторая основана на обработке сведений человеком.

Чтобы понять, чем отличаются эти процессы, следует осознать основную характеристику автоматизированного процесса – выполнение операции без участия человека.

Наиболее простым и распространенным примером такой обработки можно назвать копирование ПДн на диск компьютера. Предприятие, использующее автоматизированные средства для работы с ПДн, должно составить Положение об обработке ПДн и четко придерживаться его положений.

Способы обработки персональных данных

Современный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность.

Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку.

Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.
Читайте также:  Что такое северная надбавка

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники.

Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение.

Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Защита персональных данных обрабатываемых с применением средств автоматизации

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России.

Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников.

Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1.обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2.в отсутствие согласия обработка допускается в строго определенных законом случаях.

Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3.она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека.

Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы.

Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу.

Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности. 

Защита персональных данных в облаке: что нужно знать компаниям, чтобы не нарушать закон

Привет! Меня зовут Макс Плеханов. Я работаю в крупной российской компании, предоставляющей хостинг. Занимаюсь развитием продукта. Одним из важных вопросов, с которыми я сталкиваюсь практически каждый день, — это защита персональных данных.

https://www.youtube.com/watch?v=lX9A25Ebg48\u0026pp=YAHIAQE%3D

Обычно мы сами — источники персональных данных, но давайте в этот раз окажемся по ту сторону баррикад: взглянем на процесс взаимодействия с личной информацией с точки зрения бизнеса. Делюсь с вами разбором, как российская компания должна работать с персональными данными (в том числе, в облаке) и защищать их, при этом не нарушая закон. 

В России правила обращения с персональными данными граждан определяются федеральным законом «О персональных данных» от 27.06.2006 года №152-ФЗ и перечнем других законодательных актов.

Любые организации, которые взаимодействуют с персональными данными, обязаны соблюдать эти законодательные акты, чтобы избежать штрафа от Роскомнадзора.

Компании должны заботиться не только о данных своих клиентов или подрядчиков, но и сотрудников.

Нарушить статью 152-ФЗ не так сложно, и это касается не только несанкционированной передачи данных третьим лицам. Чтобы во всём разобраться, нужно знать терминологию и законодательную базу. С них и начнём.

Основная терминология

Согласно пункту 1, статьи 3, 152-ФЗ:

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).  

Здесь же вводится определение субъекта персональных данных:

Субъект — это «владелец» персональных данных, а персональные данные (ПДн) — это информация, которая относится к конкретному человеку или по которой можно установить личность человека.

Важный момент: не всегда информация, которая на первый взгляд кажется персональными данными, ими является. 

Для примера возьмём какое-то распространённое ФИО — Василий Иванович Ушаков. Скорее всего, таких Василиев по всей стране наберётся больше одного и конкретно установить его личность нельзя.

Это понимают и компании, собирающие персональные данные, поэтому для осуществления своей деятельности они запрашивают у субъекта дополнительную информацию: номер телефона или электронную почту.

По этому набору из ФИО и номера компания будет определять того самого Василия, и этот набор информации будет считаться персональными данными.

Персональные данные разделяются на 4 категории: общедоступные, иные, специальные и биометрические.

Общедоступные персональные данные. Это информация о субъекте, размещённая в общедоступных источниках с его согласия (согласия не на обработку, а на отнесение его данных к категории общедоступных). 

Если наш Василий дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие ПДн будут считаться общедоступными. Общедоступные персональные данные характеризуются именно размещением в общедоступных источниках, а не содержащейся в них информацией.

При этом не следует путать общедоступную информацию (статья 7, 149-ФЗ) и персональные данные, опубликованные в общедоступных источниках (статья 8, 152-ФЗ). В отличие от обычной информации, неограниченный доступ к персональным данным не делает их автоматически общедоступными.

Соцсети — отличное тому подтверждение. Судебная практика выработала позицию, согласно которой социальные сети — не общедоступные источники. Как минимум потому, что при регистрации пользователи не дают письменное согласие на размещение персональных данных в общедоступных источниках, как этого требует закон.

Иные персональные данные. В категорию иных ПДн относят данные, которые не подпадают под остальные категории. В целом, эта категория самая распространённая и в неё входят ФИО, номер телефона, электронная почта, дата рождения и тому подобная информация. Пока такие данные не разместили в общедоступных источниках, они иные. 

Специальные персональные данные. Специальные персональные данные характеризуют человека как личность: отношение к религии, расовая принадлежность, подробности об интимной жизни или состоянии здоровья.

Биометрические персональные данные. Это данные, которые описывают биологические и физические особенности человека, по которым его идентифицируют: ДНК, отпечаток пальца, группа крови, характеристики голоса, радужка глаза. Фотографии или видео с человеком тоже будут считаться биометрическими персональными данными, если по этим материалам его идентифицируют. 

Любые действия с персональными данными, в том числе сбор и хранение, называются обработкой. Согласно пункту 3, статьи 3, 152-ФЗ:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В зависимости от степени применения компьютерных систем при обработке персональных данных она разделяется на 3 типа: автоматизированная, смешанная и неавтоматизированная.

Организация, которая обрабатывает персональные данные, является оператором персональных данных (пункт 2, статья 3, 152-ФЗ):

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информационная система персональных данных (ИСПДн) — это система с персональными данными и технологическими средствами их обработки (пункт 10, статья 3, 152-ФЗ):

Читайте также:  Где можно узнать задолженность по алиментам и взять справку

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Это основная терминология. Теперь перейдём к законодательным актам, которые касаются обработки персональных данных.

Законодательная база

Всего можно выделить 5 основных законодательных актов, которые регулируют те или иные аспекты работы с персональными данными:

  • Федеральный закон «О персональных данных» от 27.06.2006 года №152-ФЗ: вводит основные термины, определяет принципы и условия обработки персональных данных, описывает обязанности оператора и права субъекта;
  • Постановление Правительства №1119 от 01.11.2012 года: определяет типы угроз и уровни защищённости, классифицирует ИСПДн;

Обработка персональных данных без использования средств автоматизации

В ходе своей многолетней деятельности по защите персональных данных мы столкнулись с одним важным парадоксом: когда речь идет о выполнении требований законодательства о персональных данных, большинство операторов считают, что речь идет только о тех персональных данных, которые обрабатываются в электронном виде.

Звучит сомнительно, но это так. Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «что, содержание личного дела в отделе кадров это тоже персональные данные?».

Особенно это интересно выглядит, когда нам говорят: «а у нас ответственным за организацию обработки персональных данных будет ай-ти-шник Валерий».

За нашим вопросом: «а хорошо ли он знаком с трудовым законодательством?» — следует немая сцена на несколько минут, и потом коронные: «Валерий, вы же сказали что закон о персональных данных – это только средства защиты на ПК поставить и все».

Итак, чтобы не возникало подобных вопросов, запоминаем основу статьи 1 Федерального закона «О персональных данных»: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации…, или без использования таких средств…».

До сих пор ведется полемика: обработка любого ли бумажного носителя подпадает под действие законодательства о персональных данных? Однозначного ответа нет. И попытка в нем разобраться это не цель данной статьи. Главное другое – именно за нарушения при обработке персональных данных без использования средств автоматизации Роскомнадзор РФ (орган по защите прав субъектов персональных данных) выписывает больше всего предписаний.

Одной из причин, почему обработке без использования средств автоматизации уделяется меньше внимания, является сложность в определении границ такой обработки. Многие операторы даже не задумываются, что может под нее подпадать. Если изучить судебную практику, можно выделить много интересных случаев.

Конечно деятельность отдела кадров и бухгалтерии это святая святых обработки без использования средств автоматизации, но еще можно выделить ряд типичных случаев, о которых забывают операторы. Например, архив. Часто операторы ссылаются на часть 2 статьи 1 Федерального закона «О персональных данных», что, мол, архив не подпадает под действие закона.

Однако, выясняется что никакой это не архив на предприятии, а просто склад с табличкой архив и архивное законодательство не соблюдается. Соответственно, этот склад в полной мере подпадает под действие закона и все что в нем хранится, должно обрабатываться в соответствии с установленными требованиями. Другой клад для проверяющих органов находится у секретаря.

Чего там только нет. И списки сотрудников со всеми контактными телефонами и адресами, и ксерокопии паспортов для покупки билетов, и даты дней рождений детей сотрудников, и анкеты соискателей, и конечно приказы, лежащие на подпись.

Все это материальные носители персональных данных, к которым, в соответствии с Постановлением Правительства № 687, должен ограничиваться несанкционированный доступ и должна обеспечиваться конфиденциальность и безопасность персональных данных, находящихся в них. Следующее интересное место, это служба безопасности. Сами понимаете, что там может быть.

В том числе анкеты, со сведениями о судимости, которые «обычный» оператор обрабатывать не имеет права. Так же часто забывают про проходную, заведующего гаражом, кабинет медицинской сестры, выпускающей водителей в рейс. Такие случаи можно перечислять очень долго и у всех они свои.

Самое главное понять, что именно с определения границ обработки персональных данных необходимо начинать работы по выполнению законодательных требований, то есть определить объем данных и все случаи их обработки.

Отдельно можно довольно долго говорить о законности обработки тех или иных материальных носителей (например, ксерокопии паспорта в личном деле работника), но в данной статье будем исходить из того, что ваши материальные носители персональных данных обрабатываются строго в соответствии с принципами, закрепленными статьей 5 Федерального закона «О персональных данных».

Вообще закон почти не разделяет требования для разных видов обработки персональных данных, кроме статьи 19, в которой почти в каждом пункте части 2 речь идет об обработке в информационных системах.

Главное, чтобы обработка персональных данных без использования средств автоматизации выполнялась с соблюдением принципов и в случаях, установленных законом.

Но кроме закона, существует подзаконный акт, специально регулирующий обработку персональных данных без использования средств автоматизации – Постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 (далее по тексту — ПП 687). На нем и задержим ваше внимание. Разбирать все пункты ПП 687 не имеет смысла. Обратим внимание на «самые важные» и на те, несоблюдение которых чаще всего приводит к нарушениям.

Перейдем сразу к пункту 6. В нем говорится: «Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных,…, категориях обрабатываемых персональных данных,…, а так же об особенностях и правилах осуществления такой обработки…».

Данный пункт часто является поводом для наказания операторов. Он не так уж прост, как кажется.

На заре формирования практики выполнения законодательства о персональных данных существовало мнение, что все эти сведения – факт обработки персональных данных, категории персональных данных и правила осуществления обработки – должны быть в должностных инструкциях соответствующих лиц.

Но данная практика не показала своей дееспособности, так как должностные инструкции каждого работника менять не очень удобно (мягко сказано), тем более, что если, например, поменяются внутренние правила обработки, придется менять опять все должностные инструкции.

Более удобно создать общие документы, с которыми проще всех ознакомить под роспись и решить требования пункта 6 ПП 687. Разберем подробнее, с чем же именно нужно ознакомить работников и как это лучше сделать.

Проинформировать о факте обработки персональных данных и о категориях обрабатываемых данных можно, ознакомив работников с перечнем должностей, участвующих в обработке персональных данных, разделив этот перечень на обработку с использованием средств автоматизации и без использования средств автоматизации.

Этим мы убьем двух зайцев: И ПП 687 и Постановление Правительства РФ 1119 от 01.11.2012 г. содержат требование об определении работников, участвующих в определенном виде обработки.

Кроме того, ознакомив работников с перечнем персональных данных оператора, мы проинформируем его как о факте обработки, так и о категориях обрабатываемых данных. Соответственно, перечень персональных данных оператора лучше разделить по категориям персональных данных.

Закон «О персональных данных» прямо нигде не указывает, какие бывают категории. Но Постановление 1119 выделяет 4 их вида: общедоступные, специальные, биометрические и иные (то есть все, кроме первых трех).

Дальше, мы рекомендуем в локальный нормативный акт оператора, регулирующий порядок обработки персональных данных (Например,- положение), включить раздел: «Особенности и правила обработки персональных данных без использования средств автоматизации», описывающий подобную обработку у оператора и, так как работники должны быть ознакомлены с этим актом, автоматически знакомим их с тем, что требует от нас пункт 6.

Дальше переходим к пункту 7 ПП 687, который часто игнорируется операторами, так как не все понимают, что же такое типовая форма. Одни считают что это, например, карточка Т-2.

Но встает вопрос как выполнять подпункты «а» и «б» этого пункта? Вообще регуляторы не дают объяснений — что же это такое, но мы встречали случаи, когда оператора наказывали за несоблюдение требований к типовой форме документов.

Исходя из судебной практики и текста этого пункта, можно выделить следующие особенности, характеризующие типовые документы: 1) Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя. 2) Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных.

Отсюда и требования подпункта «б» о наличии поля для согласия. То есть, мы отметаем мысли о том, что карточка Т-2 это типовой документ оператора. Вообще, если решите создавать у себя типовые формы документов, — отнеситесь серьезно к этому пункту и ничего из него не забывайте.

Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора.

Пункт 13 определяет наличие трех перечней: перечня персональных данных, перечня мест хранения носителей персональных данных и перечня лиц, осуществляющих обработку персональных данных (у нас есть образцы этих перечней с примерами заполнения).

Здесь часто операторы забывают, что места хранения нужно определить в отношении каждой категории персональных данных.

Соответственно, если вы медицинское учреждение, то в перечне мест хранения нужно определить где лежат те или иные материальные носители определенной категории: карточки Т-2- в отделе кадров, договоры с платными пациентами – в регистратуре, медицинские карты пациентов в ординаторских, или же все это хранится в архиве. Тогда так и пишем: архив – персональные данные и специальные категории персональных данных.

14 пункт обязывает нас обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

Часто на семинарах люди задают вопрос – а что значит раздельное хранение? Для ответа на этот вопрос, сначала, необходимо определить цели обработки тех или иных материальных носителей. Например, цели обработки карточек Т-2 и договоров с клиентами будут разные.

Читайте также:  Кредитные каникулы для мобилизованных

Соответственно, исходя из требований 14 пункта, нам необходимо обеспечить раздельное их хранение. И здесь этот пункт тесно пересекается с 13 и 15. Здесь вступают в бой те самые, очень не простые, организационные и режимные меры.

Пункт 15 обязывает нас соблюсти условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Что это значит? Возьмем грубый пример – в одном помещении сидят: специалист по работе с кадрами, по работе с клиентами и медсестра организации.

У них у всех будут свои персональные данные, своих категорий и отдельных субъектов. С точки зрения правильной организации хранения носителей, обеспечивающего защиту от несанкционированного доступа, каждый работник должен иметь свой запирающийся шкаф, где хранит свои документы. Это и будет раздельное хранение, обеспечивающее сохранность и исключающее несанкционированный доступ.

В законодательстве не указано, как должны храниться материальные носители персональных данных. Нигде не указано, что это должны быть сейфы или железные шкафы. Нигде не говорится про пожарную или охранную сигнализацию.

Вы должны понимать: пункт 15 построен так, что если из бронированного, несгораемого сейфа с четырьмя кодовыми замками украли материальные носители персональных данных и вы не сможете режимными мерами обеспечить доказательства, что это был электрик Владимир, то наказание будет неминуемо.

Поэтому, при организации хранения материальных носителей персональных данных исходите из принципа ценности этой информации. Сейчас, при проведении проверочных мероприятий, Роскомнадзор будет удовлетворен, даже если у вас будут шкафы со стеклянными дверями и с элементарными замочками. Замочки должны быть обязательно.

Понятно, что это не обеспечит 100%-ую защиту, но доказать, что вы не выполнили требования законодательства будет невозможно.

Существуют альтернативные варианты обеспечения защиты от несанкционированного доступа. Приведу два примера. В муниципальных медицинских учреждениях общая проблема – катастрофическая нехватка места для хранения документов.

Одной из больниц мы помогали готовиться к проверке и столкнулись с такой проблемой. В маленькой комнате отдела кадров устроились четыре сотрудника и несколько тысяч личных дел. И ни одного шкафа. Ставить шкафы негде. Переселять людей некуда.

В кабинете постоянно толкутся посторонние люди. В итоге решили закрыть дверь на засов и в двери сделать окно выдачи документов. Самое дешевое и простое решение проблемы. Несанкционированный доступ устранен? Да. В комнате находятся только те, кто допущен приказом.

Больше ничего не надо. Получился большой шкаф с людьми и материальными носителями.

В другом случае мы помогали организовать работу с персональными данными в коллекторском агентстве. У них отдел по работе с должниками завален десятками тысяч дел на стеллажах. Хранить в шкафах в их условиях было невозможно. Решение было простое. На дверь в кабинет поставили электронный замок. Пароли раздали сотрудникам под роспись.

Прописали приказами необходимые сведения, в том числе невозможность проникновения посторонних лиц, и все: несколько тысяч рублей решили проблему защиты от несанкционированного доступа для огромного массива документов. Шкафы бы вышли намного дороже, да и проверка прошла без замечаний.

Главное, вы должны понимать, что комплекс режимных мер, основа которых – перечень должностей, перечень информации, перечень мест хранения, назначение ответственных, контроль и разграничение доступа – это не бесполезные фантазии, а очень важный элемент защиты информации, который, при грамотном построении, может сэкономить вам кучу денег и нервов. Но это большая тема для отдельного разговора.

Дальше пункт 15 подложил свинью для многих операторов, которые пострадали при проверках. Он содержит требование определить: перечень мер, порядок их принятия, перечень лиц ответственных за их реализацию.

Если перечень мер и порядок их реализации можно косвенно выискать в положениях и инструкциях, то ответственных за их реализацию назначают редко.

Мы встречались с такими формулировками в актах проверок: «не назначено лицо, ответственное за обеспечение сохранности персональных данных и исключение несанкционированного к ним доступа». Таким образом, это уже будет третий ответственный, указанный в законодательстве, которого вы должны не забыть назначить.

Как видите, обработка персональных данных без использования средств автоматизации имеет свои секреты и нюансы. В этой статье освещены не все, но наиболее интересные. Надеюсь, что данная статья поможет вам реализовать законодательные требования в своих организациях.

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Мисник Николай Анатольевич
Директор ООО «РЭАЦ «Эксперт»

Обработка персональных данных с использованием средств автоматизации в информационных системах

Повсеместное использование средств автоматизации для операций с ПДн, с одной стороны, позволяет значительно ускорить их фиксацию, копирование, изменение, блокирование и распространение, но при этом создает дополнительные трудности из-за необходимости обеспечения информационной безопасности. При отсутствии тщательно продуманной защиты есть опасность утечки или несанкционированного использования сведений, и как результат — судебных исков от субъектов и штрафных санкций со стороны государственных служб.

Наиболее удобным способом решения проблемы является обращение к специалистам, которые возьмут на себя оценку рисков, проработку документальной базы, подбор техники и обучение персонала.

Но даже в случае делегирования полномочий по организации системы и построению СЗПДн руководителю необходимо иметь представление о том, какие существуют принципы обработки ПДн и что требует законодательство от операторов.

Немногие знают, что принимать меры защиты следует в отношении любой информации о гражданах, за исключением той, которая является общедоступной и не привязанной к конкретному субъекту.

Даже если вы просто просите у посетителя сайта заполнить форму для обратной связи, нужно предупредить незаконное применение/изменение/распространение Ф.И.О., телефонного номера, электронной почты и т.д. Больше того, для легального сбора и оперирования данными нужно согласие их владельца в письменном или электронном виде.

В Федеральном Законе № 152-ФЗ указано, что автоматизированная обработка информации — это действия с ПДн, в которых используется вычислительное оборудование: компьютеры, ноутбуки, планшеты, мобильные и т.д. Для АС, как и для неавтоматизированных операций, предусмотрен ряд требований:

  • лимитированное время использования (до момента достижения конкретной цели);
  • запрет на объединение баз персональных данных, собранных для обработки в разных целях;
  • создание условий, в которых становится невозможным несанкционированный доступ;
  • назначение ответственных за безопасность лиц, разработка внутренней нормативной документации;
  • обязанность уничтожить ПДн после того, как потребность в них исчезает (нельзя хранить дольше необходимого);
  • сообщение субъекту, для чего требуются личные сведения, и получение согласия на последующие действия.

Использование средств автоматизации при обработке персональных данных в ИСПДн

Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы.

В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование. ИП или юридическое лицо может позаботиться об информационной защите самостоятельно либо заключить договор на делегирование полномочий.

Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого.

Аутсорсинговое обслуживание обходится дешевле и позволяет оперативно решать текущие вопросы.

В список главных обязанностей, которые ложатся на оператора, входят:

  • профилактика несанкционированного доступа (НСД);
  • мониторинг на предмет утечек или незаконного проведения операций;
  • поддержание необходимого уровня защищенности системы автоматической обработки данных;
  • предупреждение воздействия на вычислительную технику со стороны персонала и сторонних лиц;
  • восстановление утерянных сведений в кратчайшие сроки;
  • определение ответственного лица (или нескольких сотрудников), который будет отслеживать положение дел, уведомлять о проблемах и заниматься их урегулированием.

Дополнительно приходится тратить усилия, время и денежные ресурсы на подбор, установку, настройку и техническое обслуживание оборудования и программного обеспечения, а также отслеживать изменения в законодательной базе, чтобы своевременно вносить коррективы и осуществлять модернизацию.

Основные меры защиты

Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:

  • установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
  • формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
  • составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
  • подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
  • ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
  • разработка детального описания системы.

Специфика организации СЗПДн

Разбираясь в том, что такое автоматизированная обработка информации, особое внимание нужно уделить именно защите.

Во-первых, этого требует действующее российское законодательство, во-вторых, только так можно завоевать положительные отзывы от партнеров и клиентов, и, наконец, бесперебойно работающая СЗПДн — гарантия отсутствия претензий от Роскомнадзора, ФСТЭК и других проверяющих органов.

По-настоящему хорошая система защиты должна:

  • отвечать актуальным правовым нормативам;
  • иметь разные уровни, которые будут в равной степени защищены от угроз;
  • быть ориентированной на профилактику НСД;
  • соответствовать характеристикам используемого ПО и вычислительной техники;
  • базироваться на комбинации результативных методов и технологий;
  • адаптироваться под вероятные системные изменения;
  • предполагать контроль по всем направлениям;
  • отвечать потребностям конкретной деятельности;
  • функционировать без сбоев до окончания жизненного цикла ИС.
Adblock
detector