В статье раскрываются основные положения российского законодательства относительно правового режима персональных данных. Операторы персональных данных. Защита персональный данных в организации. Примерный перечень документов по защите персональных данных. Порядок оформление доступа к персональным данным лиц
Содержание
- # Что представляют собой уровни угроз и уровни защищенности ПДн?
- Организация защиты персональный данных в организации.
- Какие существуют уровни защищенности?
- Административная ответственность за разглашение персональных данных.
- Состав персональных данных работника
- Персональные данные работника
- Категории персональных данных
- Является ли ваша организация оператором персональных данных?
- Защита персональный данных в организации.
- Что это такое?
- Какие предпринимаются меры и мероприятия?
- Вопросы и ответы
# Что представляют собой уровни угроз и уровни защищенности ПДн?
При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз.
Уровень защищенности ПДн – это комплексный показатель, который характеризует выполнение требований, способных нейтрализовать угрозы безопасности информационных систем персональных данных (ИСПДн).Таблица 2. Три уровня актуальных угроз
Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенности персональных данных при их обработке в информационных системах, а также требования для каждого из них.
Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:
- типа персональных данных, обрабатываемых информационной системой;
- типа актуальных угроз;
- количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.
Таблица 3. Категории обрабатываемых персональных данных
Организация защиты персональный данных в организации.
Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.
ВАЖНО! Для справки рекомендуется ознакомиться с документом:
Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.
Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»
П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.
Примерный перечень документов по защите персональных данных.
В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.
Какие существуют уровни защищенности?
В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от года, Правительство РФ устанавливает 4 уровня защищенности:
- УЗ-1 – максимальный.
- УЗ-2 – высокий.
- УЗ-3 – средний.
- УЗ-4 – низкий.
Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.
Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от N 1119.
Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.Административная ответственность за разглашение персональных данных.
С 1 июля 2019 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.
Поправки в КоАП РФ внесены Федеральным законом от № 13-ФЗ. На основании Федерального закона от № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.
Состав персональных данных работника
На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:
- Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
- Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.
Персональные данные работника
В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:
- Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
- Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
- Обеспечение субъективного права работника на защиту личных персональных данных.
В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:
- свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
- определение личного представителя для защиты своих персональных данных;
- получение полной информации о ПДн и их обработке;
- выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
- обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.
Категории персональных данных
В российском законодательстве определены различные категории персональных данных, в число которых входят:
1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.
2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ
3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).
4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.
Является ли ваша организация оператором персональных данных?
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от № 152-ФЗ «О персональных данных».
Защита персональный данных в организации.
Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.
Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.
ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Что это такое?
Постановление Правительства РФ от N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.
Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от N 1119).
СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.
Какие предпринимаются меры и мероприятия?
Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.
Организационные меры включают:
- Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.
- Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.
- Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.
- Подписание соглашений с третьими лицами, которые участвуют в обработке информации.
- Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.
- Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.
- Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:
- предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
- предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.
Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.
Из наших специальных публикаций вы также сможете узнать о том, что такое политика защиты и обработки ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.Вопросы и ответы
Источники
Использованные источники информации.
- https://iaas-blog.it-grad.ru/bezopasnost/obrabotka-i-zashhita-personalnyx-dannyx-chasto-zadavaemye-voprosy/
- http://hr-elearning.ru/organizaciya-zashhity-personalnyy-dannyx-organizacii/
- https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html
- https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/