Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.
Основные положения Закона «О персональных данных»
- Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
- Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
- В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
- Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
- Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.
Комплекс мероприятий по обеспечению защиты персональных данных
Организационные меры по защите персональных данных включают в себя:
- Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
- Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
- Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
- Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
- Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.
Технические меры по защите персональных данных предполагают внедрение и использование программно - аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.
Требования к информационным системам персональных данных
Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.
Помимо этого, детализированные требования по защите персональных данных установлены, в частности:
- приказом ФСТЭК № 21 от 18.02.2013 г;
- приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).
Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.
Контроль
Контроль за выполнением законодательства возложен на следующие органы:
- Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
- ФСБ – основной надзорный орган в части использования средств шифрования;
- ФСТЭК – надзорный орган в части использования технических средств защиты информации.
Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных (docx, 79.3 Кб)
Положение о защите персональных данных работника 2 (pdf, 347.9 Кб)
Согласие на обработку персональных данных работника (docx, 20.7 Кб)
Согласие на обработку персональных данных ученика (doc, 30.5 Кб)
Положение о защите персональных данных обучающихся (pdf, 345.3 Кб)