Технический паспорт на информационную систему персональных данных образец 2019 года

Защита персональных данных – Министерство образования Ставропольского края

Технический паспорт на информационную систему персональных данных образец 2019 года

Документы определяющие политику обработки персональных данных

Требования Закона «О персональных данных»распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью.

Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор(Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) – регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных.

Шаг 1. Создать специальную комиссию по защите персональных данных или назначить ответственного за обеспечение информационной безопасности.

В зависимости от величины организации целесообразно назначить либо одного человека, ответственного за обеспечение информационной безопасности, либо создать специальную комиссию по защите персональных данных.

В качестве председателя комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации.

В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений организации обрабатывающих персональные данные, так как они знают структуру обрабатываемых персональных данных, задачи проводимой обработки, а также сотрудников организации, ведущих обработку персональных данных.

В качестве лиц, обладающих специальным образованием в области защиты информации и необходимыми познаниями, в состав комиссии следует включить сотрудников организации, имеющей лицензию на техническую защиту конфиденциальной информации, если таковые имеются в штате организации.

Шаг 2. Произвести инвентаризацию информационной системы, обрабатывающей персональные данные.

Часто проведение этого этапа предпроектного обследования считают неразумным или нерациональным, но для построения сбалансированной системы защиты информации он необходим.

На этом этапе составляется перечень всех информационных и аппаратных ресурсов организации.

Данный перечень будет использоваться в дальнейшем для проведения категорирования, переконфигурирования локальной сети, выработки рекомендаций по построению системы защиты.

Выявляется топология локальной сети, ее архитектура и технологические связи внутренней сети, а также основные информационные потоки.

Также на данном этапе осуществляется определение физической и логической структуры будущей системы защиты информационной системы персональных данных.

Устанавливается наличие средств защиты и существующей системы разграничения доступа к информационным ресурсам.

Также изучаются имеющиеся сертификаты на средства защиты информации и выясняется необходимость сертификации уже установленных программных и программно-аппаратных комплексов защиты информации.

По итогам данного этапа составляется акт инвентаризации информационных ресурсов.

Шаг 3. Пересмотреть договоры с субъектами и контрагентами

Пересмотреть договоры с работниками и клиентами. Необходимо выяснить, содержаться ли в них пункты, касающиеся обработки и защиты персональных данных. В случае отсутствия подготовить дополнительные соглашения, ознакомить сотрудников и контрагентов. Подписать их.

Шаг 4. Сформировать перечень персональных данных.

В первую очередь, необходимо установить перечень персональных данных (далее ПДн) физических лиц, которые обрабатываются в учреждении. Если кадровый учет и бухгалтерия есть в любом учреждении, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные  посетителей, партнеров, контрагентов и т.п.

Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

Шаг 5. Составить и направить в Управление Роскомнадзора “Уведомление об обработке персональных данных”.

Начав деятельность, организация обязана подать уведомление о начале обработки персональных данных в Управление Роскомнадзора. На основании уведомления организация регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано руководителем или направлено в электронной форме и подписано электронной цифровой подписью.

Одной из самых распространенных ошибок операторов, не желающих выполнять требования Закона, является ссылка на начало п. 2 ст. 22 Закона:

Операторы ссылаются на оформление договорных отношений с субъектами и размышляют так: «Уведомление подавать не обязательно, значит, работы по созданию системы защиты персональных данных проводить излишне».

«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных…»

Ссылаясь на этот пункт статьи, забывают о том, что персональные данные сами отправляют в Управление Федеральной налоговой службы, Управление Пенсионного фонда России, в страховые компании, в аутсорсинговые компании и т.д., то есть третьим лицам.

Завершается п. 2 ст. 22 Закона словами:

«… если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных»

Таким образом, все юридические лица обязаны подавать уведомление в Управление Роскомнадзора субъекта Федерации и создавать систему защиты персональных данных.

Шаг 6. Получить согласие субъектов на обработку их персональных данных.

Необходимо разработать “Согласие субъекта на обработку персональных данных”, в котором обязательными полями будут перечень персональных данных, цель их обработки, а также методы и способы обработки персональных данных и получить подписи каждого субъекта, персональные данные которого обрабатывает Ваша организация.

Шаг 7. Документально регламентировать работу с персональными данными.

Разработать документы, регламентирующие работу с персональными данными.

Шаг 8. Ограничить доступ своих сотрудников и пользователей информационных систем к персональным данным.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании «Перечня лиц, допущенных персональным данным».

Шаг 9. Сформировать модель угроз персональным данным.

Частная модель угроз организации – оператора составляется в соответствии с руководящим документом ФСТЭК России от 14.02.

2008 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Поскольку данный документ имеет гриф «для служебного пользования», то получить его можно, отправив запрос в территориальное Управление ФСТЭК с просьбой о предоставлении комплекта документов по защите персональных данных.

Квалифицированное составление частной модели угроз имеет важное значение для организации – оператора. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор оборудования, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

Шаг 10.

Источник: http://stavminobr.ru/activities/informatizacziya-obrazovaniya/zashhita-personalnyix-dannyix.html

Обработка персональных данных в 2018: как избежать штрафа

Технический паспорт на информационную систему персональных данных образец 2019 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Статьи

Технический паспорт на информационную систему персональных данных образец 2019 года

  • Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным. Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:«персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»персональные данные, закон, как выполнить требования
  • 13 Февраля 2019 года вышло Постановление Правительства Российской Федерации № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данное постановление устанавливает правила проведения мероприятий контроля и проверок Роскомнадзором организаций операторов персональных данных и права регулятора в рамках этих мероприятий.Выделим основные моменты Постановления:ПДн, аналитика
  • Выполнение требований 152-ФЗ «О персональных данных» – это не пакет документов и не технические средства защиты, а непрерывный процесс, требующий вовлеченности всех сотрудников организации. С каждым днем в мире увеличивается ценность персональных данных. Если 10 лет назад главным трендом в бизнесе было освоение Интернета, то сейчас для бизнеса задача номер один – это сбор и управление данными, чтобы лучше понимать свою аудиторию и непрерывно адаптировать свои предложения для нее. Джек Ма, основатель интернет-гиганта Alibaba сказал: «Я не понимаю, как сегодня можно зарабатывать деньги без данных. Они чрезвычайно важны для развития общества. В будущем данные будут стоить, как нефть, и мы должны учитывать это уже сейчас».
  • Сейчас наверное нет тех, кто хотя бы «краем уха» не слышал про персональные данные и то, что юридическим лицам необходимо каким то образом их защищать.ЗПДн аналитика
  • Пример заполнения акта классификации информационной системы персональных данных, с учетом требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».ИСПДн документы
  • Роскомнадзор на своем сайте наконец-то дал разъяснения, которые касаются сложных моментов при обработке персональных данных. Теперь вопросы, которые касаются обработки персональных данных работников и соискателей имеют официальное разъяснение.ПДн Роскомнадзор
  • Процесс обработки персональной информации каждого гражданина регулируется ФЗ за № 152 «О персональных данных». Принят этот закон был с целью гарантировать защиту свобод и прав граждан легальными способами при обработке его личных сведений, в том числе гарантия неприкосновенности частной жизни гражданина, его личной и семейной тайны. Под персональными данными понимаются любые сведения, относящиеся прямым или косвенным образом к определенному (определяемому) физическому лицу, которое называется субъектом. Среди таких данных: ФИО, адреса места проживания и электронной почты, контактные номера телефонов, семейное положение, вероисповедание и т. д. Каждая организация, владеющая подобными сведениями, должна защитить информационные системы, где хранятся вышеупомянутые сведения.152-ФЗ ответственность требования проверки
  • Летом 2011 года был подписан Президентом РФ, опубликован и вступил в силу Закон о внесении изменений в ФЗ «О защите персональных данных». Впервые он был издан в 2006 году, и уже тогда вызывал множество споров и дискуссий, а теперь претерпел значительные поправки, которые были ориентированы на упрощение некоторых процедур, объяснение спорных моментов и снятие противоречивых положений. Однако проблемы реализации данного закона, в особенности у операторов, ограниченных материально и не обеспеченных необходимыми кадрами, остаются. В первую очередь мы говорим о среднем и малом бизнесе.152-ФЗ практика ЗПДн
  • Процесс обработки персональных данных любого гражданина прописан в Федеральном Законе № 152-ФЗ «О персональных данных». Первоначально данный закон был принят 27 июля 2006 года, и уже в последующем подвергался различным изменениям и дополнениям.ПДн 152-ФЗ
  • Руководитель Роскомнадзора Александр Жаров заявил о намерении Федеральной службы и далее снижать административное давление на добросовестный бизнес.Роскомнадзор проверки

Источник: http://www.ispdn.info/articles/

Рецепты безопасности от Емельянникова

Технический паспорт на информационную систему персональных данных образец 2019 года

После пяти попытоки трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146утверждены «Правила организации и осуществления государственного контроля инадзора за обработкой персональных данных», которые 15 февраля опубликованына Официальном интернет-портале правовой информации.

С проектами произошелпросто какой-то казус.

Предыдущий проект был «завернут» при регистрацииМинюстом из-за отсутствия в названии «государственный контроль и надзор» слова«федеральный», которое используется в том случае, если правила контроля инадзора определяют президент или правительство.

Именно с этим словом проектвисит до сих пор на официальном сайте раскрытия информации оподготовке нормативных правовых актов. А документ вышел без него. И Положениепревратилось в Правила. Но не в названии суть.

Я не буду сравнивать пятьверсий документа и анализировать, что и когда менялось, смысла нет. Самоеважное – чем Правила отличаются от действующего Административного регламентаРоскомнадзора, и что в них нового.

В Правилах четко иоднозначно указано, что их действие не распространяется на контроль и надзор завыполнением организационных и технических мер по обеспечению безопасностиперсональных данных, обрабатываемых в информационных системах персональныхданных, установленных в соответствии со статьей 19 Федерального закона «Оперсональных данных». Поэтому никаких экспертов и экспертных организаций приРоскомнадзоре для «обследования и определения уровня защищенностинегосударственных информационных систем персональных данных», о которых я писал четырегода назад. Они в правилах вообще не упоминаются.

Контроль и надзор осуществляетсявсе-таки за соблюдением закона «О персональных данных» и принятых всоответствии с ним нормативных правовых актов, как написано в части 1.

1 статьи23 закона, а не законодательства Российской Федерации в области персональныхданных, как написано в части 1 той же статьи. Почувствуйте разницу.

Снова придетсявозвращаться к вопросу о полномочиях по контролю и надзору засоблюдением требований главы 14 Трудового кодекса.

К плановым и внеплановымпроверкам и принятием мер по пресечению и (или) устранению последствийвыявленных нарушений добавились две новые формы надзорных мероприятий: контрольбез взаимодействия с операторами (который в планах деятельности территориальныхуправлений Роскомнадзора называется «мероприятиями систематическогонаблюдения») и профилактика нарушений. Систематическое наблюдение ведется годатак с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.

Закреплена сложившаяпрактика определения проверок не в планах проверок, а в планах деятельноститерриториальных органов.

Разница колоссальная: планы проверок согласовываются спрокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет,изменения вносятся приказом надзорного органа легко и просто.

Посмотрите,например, здесь. Годтолько начался, а в план внесены изменения уже 13-ю приказами.

Допустимаяпериодичность плановых проверок в отношении оператора по-прежнему составляет 3 года,но появились исключения, когда проверка может проводиться раз в два года:операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию;осуществляющих трансграничную передачу персданных в государства, необеспечивающие адекватную защиту прав субъектов персональных данных (вниманиюдочек американских, японских, китайских компаний и пользователей дешевойинфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручениюиностранного государственного органа, иностранного юридического лица,иностранного физического лица, которые не зарегистрированы в установленномпорядке на территории Российской Федерации (вниманию представительств и филиаловиностранных компаний, не образующих в России юрлиц). Как эти иностранные органыи лица могут быть зарегистрированы в России, я не знаю.

Из принципиальнонового.

Все-таки появилось такое основание внеплановых проверок (тольковыездных), как обращения граждан при условии наличия в обращении материалов,подтверждающих факт нарушения их прав действиями (бездействием) оператора,определенных статьями 14-17 закона «О персональных данных», чего надзорный органдобивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите правюридических лиц и индивидуальных предпринимателей при осуществлениигосударственного контроля (надзора) и муниципального контроля». Появилось и ещеодно новое основание для внеплановых проверок – нарушение, выявленное в ходемероприятия систематического наблюдения.

Таким образом, ситуацияменяется радикально – внеплановые проверки, которых было очень мало ввидужестких ограничений закона и Административного регламента, могут стать основнымвидом надзорной деятельности. Сдерживающим фактором может стать необходимостьсогласования проверок по новым основаниям с прокуратурой. Посмотрим.

Наконец-то вслед зазаконом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительнаяформулировка Административного регламента об уведомлении о плановых проверках («непозднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь этонадо делать не позднее чем за 3 рабочих дня до даты начала ее проведения.Уведомить о проверке теперь официально можно по электронной почте, что давноделается на практике, а также «иным доступным способом».

Срок проведениявнеплановой проверки сокращен до 10 рабочих дней, но может быть продлен натакой же период.

Установлены основаниядля продления сроков плановых и внеплановых проверок. Их четыре:

·        получениев ходе проведения проверки от правоохранительных органов, органов прокуратуры,из иных источников документов, свидетельствующих о нарушении операторомтребований;

·        обстоятельстванепреодолимой силы (затопление, наводнение, пожар и тому подобное) натерритории, где проводится проверка;

·        непредставлениеоператором в ходе проведения проверки необходимых документов;

·        выявлениев ходе проведения проверки обстоятельств, связанных с большим объемомпроверяемых и анализируемых документов, количеством осуществляемых видовдеятельности по обработке персональных данных, разветвленностью организационно-хозяйственнойструктуры оператора, сложностью технологических процессов обработки
персональных данных.

Последнее основаниеприменимо к деятельности любой большой компании, но продление сроков проверки,во всяком случае, в ЦФО, давно стало обыденным делом.

Еще из нового. Теперьприменять принадлежащую Роскомнадзору технику и оборудование можно только входе мероприятий систематического наблюдения.

Принимать меры поприостановлению или прекращению обработки персональных данных, осуществляемой снарушением требований, надзорный орган может только в установленномзаконодательством Российской Федерации порядке. Что это за порядок – загадка,как 12 лет назад, когда закон вступил в силу.

Протоколы обадминистративном правонарушении теперь можно составлять по материаламсистематического наблюдения, так что оператор сможет о привлечении к ответственностиузнать, только получив повестку в суд.

Однозначнозафиксировано, что запрос о получении информации по существу вопросов,указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, неявляется документарной проверкой.

Срок представленияматериалов для документарной проверки сокращен с 10 до 5 дней, если онипредставляются в электронной форме, то должны быть подписаны усиленнойквалифицированной электронной подписью. Как ее может проверить надзорный орган,по-прежнему неясно.

Если документы, в томчисле дополнительно запрашиваемые (для их представления отводится теперь всего3 дня, а не 10, как в действующем Административном регламенте), не предоставляютсяоператором в надзорный орган в установленный срок, документарная проверка может,как и ранее, превратиться в выездную.

Назначить выезднуюпроверку физлица, не являющегося индивидуальным предпринимателем (например,нотариуса), нельзя совсем.

Остальным проверяемымлицам на предоставление запрашиваемых при выездной проверке документовотводится не менее 2-х дней. Нынешний перечень запрашиваемых документовзанимает 6 листов. То есть 6 листов только наименований документов, которыенадо предоставить за два дня! Один из операторов, проверку которого мысопровождали, подготовил и передал больше 400 документов. 

В Правилах прямоустановлено, что в случае действий (бездействия) оператора, препятствующихпроведению выездной проверки, составляется акт о воспрепятствовании проведениювыездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.

Ну, и, наконец, что вПравилах так и не появилось, хотя этого очень ждали:

·        риск-ориентированныйподход при определении операторов, у которых планируется проверка;

·        использованиепроверочных листов (списков контрольных вопросов), предусмотренных законом294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдениязаконодательства о персональных данных;

·        срокиоформления актов проверок после их окончания;

·        основанияи порядок признания проверок недействительными (статья 20 закона 294-ФЗ).

Ждем теперь измененияАдминистративного регламента.

“,”author”:null,”date_published”:null,”lead_image_url”:null,”dek”:null,”next_page_url”:null,”url”:”http://emeliyannikov.blogspot.com/”,”domain”:”emeliyannikov.blogspot.com”,”excerpt”:”Блог российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким»…”,”word_count”:1154,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: http://emeliyannikov.blogspot.com/

Адвокат Соколов
Добавить комментарий