Автоматизированная обработка персональных данных: что это такое, с использованием каких средств ее проводят, а также как составить положение об этом процессе?

В век новых технологий и интернета любая информация распространяется с огромной скоростью. Социальные сети здорово «помогают» процессу, делая общедоступными персональные данные гражданина. Чаще всего личную информацию предоставляют при устройстве на работу. Для этого существует закон об обработке персональных данных в организации. Этот закон и обсудим в статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации:

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении должностных обязанностей, так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях.

Относится ли заработная плата к персональным данным читайте в нашей статье.

• Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.
• Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.
• Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные, если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

• Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
• Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

1. Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.
2. Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств: применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

• сбор;
• фиксирование;
• использование;
• уничтожение.

Правила и порядок работы

Личные данные трудящегося, которые необходимы руководителю, состоят из нескольких пунктов:

• Информация об образовании.
• Информация о трудовом опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
• Краткая информация о членах семьи и их рабочих местах.
• Информация об имеющихся заболеваниях и о здоровье в целом.

В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:

1. Обрабатывать личную информацию сотрудника организации только с учетом регламентов законодательства, помогать трудящимся с устройством на работу. А также оказывать помощь с обучением и повышением по карьерной лестнице, и следить за качеством выполняемых поручений. Помимо этого необходимо обеспечить сохранность имущества.
2. Всю личную информацию должен предоставлять сам сотрудник. Если в какой-то момент эту информацию нельзя получить непосредственно у сотрудника, а только у третьего лица, то нужно предварительно получить от гражданина согласие в письменной форме о том, что он не против разглашения сведений.



3. Работник кадрового отдела не может самостоятельно пользоваться информацией о религиозной направленности, либо профсоюзной деятельности сотрудника, если это не имеет отношения к работе. Если эти данные напрямую касаются рабочих отношений, то необходимо согласие сотрудника в письменной форме.
4. Контроль над работниками кадрового отдела и соблюдение настоящего регламента несет их непосредственный руководитель.
5. Все работники должны поставить свои подписи в качестве подтверждения, что они ознакомлены с регламентом.

Зачем нужно согласие?

Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.

Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.

Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.

Ответственный за персональные данные в организации

Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.

Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным. Этот документ лучше всего оформить отдельным приказом. Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:

Образец приказа об ответственных лицах за персональные данные в организации можете скачать здесь.

1. Руководитель кадрового отдела.
2. Кадровый инспектор.
3. Руководитель по персоналу.
4. Заместитель руководителя по персоналу.
5. Специалист по работе с персоналом.
6. Либо допускается введение иной должности.

Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.

Передача и хранение

Хранение важных бумаг, в которых содержатся личные сведения о сотрудниках, происходит в огнеупорных шкафах, т.е. сейфах. Ключи от сейфа должны находиться все время у директора кадрового отдела. Если директор в какой-то из дней отсутствует, то ключи должны быть у его заместителя.

Если необходимо передать личные данные трудящегося, то работник кадрового отдела обязан придерживаться определенных правил:

• Нельзя предоставлять третьему лицу личную информацию о трудящемся без его согласия в письменном виде.

Исключения могут быть в случае, когда информация нужна для предотвращения вреда для здоровья сотрудника и в случаях, которые закреплены законодательством. Кроме этого нельзя разглашать персональные данные сотрудника в коммерческих целях без его разрешения.

• Если приходится передавать личные сведения сотрудников, то нужно сообщить тем, для кого предназначается эта информация, что данные сведения можно применять только в тех целях, для которых давался запрос.
• Работник кадрового отдела имеет право доступа исключительно к той информации, которая нужна, чтобы выполнять рабочие обязанности.
• Работник кадрового отдела не имеет таких полномочий, чтобы выяснять информацию о состоянии здоровья сотрудника.

Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей.

• Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.
• В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных.

При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки. И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время.

Руководитель должен знать об определенных сроках, которые требуются для сохранности некоторой информации. А персональные данные сотрудника необходимо хранить в течение 75 лет.

Узнайте общий порядок организации и перечень действий обработки персональных данных на предприятии из ролика:

Источник: https://bizakon.ru/kadry/zakon-ob-obrabotke-personalnyh-dannyh.html

Что это такое — автоматизированная обработка персональных данных? Все о процессе от специалистов

Персональные данные в Российской Федерации считаются особенной категорией информации. На всех кто работает с такими сведениями, накладываются определенные обязательства. Все дело в том, что распространение персональной информации может навредить ее субъектам и привести к негативным последствиям.

Свои нормативы и правила предусматривает и обработка ПДн – она может быть, как автоматизированной, так и неавтоматизированной (ручной). В материале мы поговорим об особенностях автоматизированной обработки ПДн, расскажем о средствах автоматизации и о том, как она происходит.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67. Это быстро и бесплатно!

Скрыть содержание

Что это такое?

• Средства автоматизации. Под средствами автоматизации понимаются приборы, устройства, которые могут использоваться как по отдельности, так и в совокупности, способные выполнять ряд поставленных задач без вмешательства человека, однако, возможно, под его руководством.Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение. При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.Если компьютер используется в качестве печатной машинки без дальнейшего сохранения на диске данных, то такое техническое средство не следует называть автоматизированным (хотя подобные возможности оно имеет) в контексте.
• Автоматизированная обработка. Компьютерная обработка данных – это обработка информации при помощи вычислительной техники, другими словами, с использованием средств компьютеризации. Речь идет об электронных машинах, вспомогательных устройствах, программном обеспечении и других аппаратах.

Разница между автоматизированной и неавтоматизированной

Неавтоматизированная (ручная) обработка осуществляется при непосредственном участии человека, согласно Постановлению правительства РФ «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации.»

Такая формулировка нередко приводит к ошибочной трактовке процессов компьютеризированной и ручной обработки. Оператор может предположить, что любая операция, в которой участвует человек является ручной – такой подход значительно сокращает перечень по-настоящему самостоятельных процессов, однако, отметим сразу, он в корне неправильный.

Предположим, человеку следует нажать на клавишу, чтобы сохранить папку с ПДн сотрудников на компьютере. Какой будет такая обработка? Автоматизированной, поскольку в процессе участвует компьютер? Или ручной в связи с тем, что оператор инициирует и контролирует процедуру сохранения? В данном случае более важно то, что компьютер будет «хранить» сведения без участия человека – процесс будет полностью автоматизированным.

Чтобы не путаться, скажем сразу, что компьютеры и другой софт, как правило, всегда способствуют переводу процесса обработки в класс компьютеризированной. Исключением из правила назовем только использование компьютера в роли печатной машинки.

Обработка с участием человека чаще всего происходит на бумажных носителях. Сортировка папок с документами, выписка пропусков сотрудников и многие другие действия относятся к обработке информации без средств автоматизации.

Справка: все сведения при неавтоматизированной работе с документами проходят только через человека, ответственного за ПДн.

Как происходит?

Автоматизированные средства работы с данными облегчают задачу с большими объемами сведений и существенно облегчают сортировку и другие манипуляции с информацией. Когда определенный блок данных оказывается загруженным на диск компьютера или в специализированную программу – следует говорить о начале компьютеризированной процедуры.

Наиболее распространенной разновидностью обработки является хранение данных. Однако начинается весь цикл, зачастую, со сбора сведений. Если они записываются в каком-угодно формате на цифровой носитель, то такая обработка становится автоматизированной. Огромный сегмент связан с сортировкой сведений, в чем помогают специализированные программы.

Например, программное обеспечение позволяет следить за тем, чтобы собранная информация удалялась после 90 дней хранения, обезличивалась или уничтожалась.

Положение об этом процессе – как составить и что должно в себя включать?

Положение об обработке ПДн в автоматизированных системах – документ, который регламентирует основные процессы с конфиденциальными сведениями, определяет принципы и меры для обеспечения безопасности таких данных. К его составлению следует подойти грамотно. Мы расскажем об обязательных пунктах такого документа и правилах его составления:

1. Требования при обработке информации. С информацией должны работать специально обученные люди, в должностной инструкции которых необходимо указать права и обязательства. Желательно уточнить, что цели сбора информации с последующим хранением ее в автоматизированных системах должны соответствовать или способствовать реализации положений Конституции России, федеральных законодательных актов, гражданско-правовых договоров и других документов (подробнее о правовом обеспечении обработки персональных данных читайте тут).

   Следует указать, что операторы ПДн должны всегда брать разрешение на операции с ПДн у непосредственных владельцев информации. Желательно информировать их и о том, при помощи каких средств автоматизации планируется осуществлять обработку данных.

2. Принципы обработки ПДн. Тут следует указать о том, что ПДн могут использоваться только для удовлетворения целей, которые были озвучены заранее и являются законными. Не допускается объединять информацию, собранную с разными целями.

   Желательно, чтобы оператор следил за достаточностью данных и в то же время контролировал соответствие их объему заданным целям. Одним словом, принципы призваны обезопасить граждан от недобросовестного сбора и использования конфиденциальных сведений.

3. Порядок получения персональных данных. Желательно прописать, что в большинстве случаев разрешение субъекта данных является обязательным. Использовать данные без разрешения можно в исключительных случаях, все они прописаны в законе «О персональных данных» и, например, включают в себя следующие ситуации: для защиты жизни и здоровья, для исполнения гражданско-правового договора, осуществления правосудия, статистических и научных целей (обезличенные данные).
4. Обработка ПДн. Здесь необходимо указать, как осуществляется сбор данных, в каких объемах и с какой целью.
5. Хранение и защита данных. Раздел предназначен для ответа на такие вопросы:
   • На каких носителях хранят ПДн?
   • Как оборудовано помещение, где хранятся данные?
   • Кто имеет доступ?
   • Используется ли парольная система доступа для вычислительных машин?
   • Перечень мероприятий по внешней защите.

Как видите, в Российской Федерации четко разграничены понятия автоматизированной и неавтоматизированной обработки данных.

В первом случае не обойтись без участия компьютеров, а вторая основана на обработке сведений человеком.

Чтобы понять, чем отличаются эти процессы, следует осознать основную характеристику автоматизированного процесса – выполнение операции без участия человека.

Наиболее простым и распространенным примером такой обработки можно назвать копирование ПДн на диск компьютера. Предприятие, использующее автоматизированные средства для работы с ПДн, должно составить Положение об обработке ПДн и четко придерживаться его положений.

• Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 
• +7 (800) 350-22-67Это быстро и бесплатно!

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/avtomatizirovannaya.html

Неавтоматизированная обработка персональных данных в организации

В этой статье речь пойдёт о правилах обработки персональных данных с участием человека.

Обработка персональных данных бывает:

• автоматизированная — процесс обработки происходит посредством эксплуатации вычислительных средств;
• неавтоматизированная — процесс обработки происходит с использованием человеческих ресурсов;
• смешанная — интеграция в процессе обработки персональных данных вычислительных средств и человеческих ресурсов.

Правила неавтоматизированной обработки персональных данных закреплены в нормативном акте «ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённом постановлением Правительства РФ №687 от 15 сентября 2008 г.

В этом положении применяются основные Принципы обработки персональных данных, указанные в статье 5 федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных»:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Итак, подробнее о правилах неавтоматизированной обработки данных.

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) — действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

4. Персональные данные при их обработке, осуществляемой безиспользования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

5. При фиксации персональных данных на материальных носителяхне допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

7.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Ведение журналов, реестров, книг при организации пропускного режима

8.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

О несовместимости целей обработки и уничтожении персональных данных

9.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обеспечение безопасности обработки персональных данных

13.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Основные термины и определения, используемые при неавтоматизированной обработке персональных данных

Термины и определения содержатся в статье 3 федерального закона «О персональных данных»:

• персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В следующих статьях речь пойдёт о мерах по обеспечению сохранности персональных данных, исключении несанкционированного доступа к ПДн, о порядке принятия этих мер, и ответственности за их реализацию.

автор: юрист Демешин С.В.

Источник: https://zen.yandex.ru/media/id/5b1fe8014bf161ea0168ce1f/5bf815edbddd2800abc11f9d

Какие НПА распространяются на автоматизированную обработку персональных данных?

• Нет, не присутствует.
• Обработка персональных данных, которые содержатся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
• Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, само по себе это не означает, что данная обработка производится с помощью средств автоматизации.
• В Вашем случае обработка осуществляется при непосредственном участии человека, поэтому автоматизированной такая обработка не является.
• Если на сайте используются персональные данные сотрудников и их телефоны, необходимо согласие субъектов персональных данных.
• Соглашение о неразглашении заключать не нужно, поскольку обязанность соблюдать конфиденциальность дается в поручении оператором персональных данных при их обработке третьим лицом.
• Вышеуказанные нормативные правовые акты распространяются на автоматизированную обработку персональных данных.
• ***
• Рекомендация: Какие обязанности должен выполнить оператор персональных данных
• «8. Защитить персональные данные
• Оператор обязан принять необходимые правовые, организационные и технические меры, чтобы защитить персональные данные:
• 1) от неправомерного или случайного:
•  доступа к ним,
•  уничтожения,
•  изменения,
•  блокирования,
•  копирования,
•  предоставления,
•  распространения и
• 2) иных неправомерных действий в отношении персональных данных.
• На это указывает часть 1 статьи 19 Закона о персональных данных.
• Меры безопасности зависят от способа обработки данных.

Способ 1. Автоматизированная обработка.

Чтобы определить, какие меры безопасности применять, оператор должен:

1) установить тип угрозы.

Выделяют три типа угрозы, которые создают актуальную опасность несанкционированного и случайного доступа к персональным данным при их обработке (п. 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, которые утвердило Правительство постановлением от 01.11.2012 № 1119; далее – Требования № 1119).

1. Тип угрозы оператор определяет сам (п. 7 Требований № 1119);
2. 2) установить уровень защищенности.
3. Исходя из типа угрозы и вида персональных данных, оператор применяет один из четырех уровней их защиты (п. 8 Требований № 1119);
4. 3) принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.
5. Перечень таких мер содержат:
6.  Требования № 1119;

 приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Источник: https://www.law.ru/question/84497-kakie-npa-rasprostranyayutsya-na-avtomatizirovannuyu-obrabotku-personalnyh-dannyh

Разрабатываем положение о персональных данных

«Отдел кадров коммерческой организации», 2012, N 8

РАЗРАБАТЫВАЕМ ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные работника — это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников.

Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации.

В статье расскажем, как разработать Положение о персональных данных, что в него включить и на что еще обратить внимание.

Помимо таких данных, как фамилия, имя, отчество, возраст, образование, место жительства, семейное положение, национальность, к персональным данным можно отнести религиозные и политические убеждения, сексуальную ориентацию и т. п.

Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями.

Это, в первую очередь, информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). То есть работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности. И когда в некоторых организациях на собеседованиях с претендентами задают подобные вопросы, тем самым нарушается право на неприкосновенность частной жизни.

В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств.

Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.

Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа — обо всем этом говорится в положении о персональных данных (далее — Положение), которое должно быть разработано в каждой организации.

К сведению. Для государственных учреждений положения разрабатываются нормативными правовыми актами. Так, Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.

Порядок утверждения Положения

372 ТК РФ (если данное требование установлено коллективным договором или соглашением): работодатель направляет проект положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения отсылает работодателю мотивированное мнение по проекту в письменной форме.

Если оно не содержит согласия с проектом положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения.

При недостижении согласия оформляется протокол разногласий, после чего работодатель имеет право принять Положение, но оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора.

Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом.

Если же нет ни того, ни другого, работодатель утверждает положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации.

Как правило, принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом работодателя.

• Приведем примерный образец такого приказа.
• Общество с ограниченной ответственностью
• «САТУРН»

25 июня 2012 г. г. Москва

1. Приказ N 203
2. об утверждении Положения о персональных данных
3. работников ООО «САТУРН»

Во исполнение гл. 14 ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других действующих нормативно-правовых актов, а также в целях приведения локальных нормативных актов ООО «САТУРН» в соответствие с действующим законодательством РФ

ПРИКАЗЫВАЮ:

1. Ввести в действие с 26.06.2012 Положение о персональных данных работников ООО «САТУРН» (далее — Положение).

Источник: https://hr-portal.ru/article/razrabatyvaem-polozhenie-o-personalnyh-dannyh

Часто задаваемые вопросы при проведении работ по защите персональных данных

1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах? >>
2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД? >>
3. Как определить категорию персональных данных, обрабатываемых на предприятии? >>
4. Как классифицировать ИСПДн? Какие относятся к типовым, а какие к специальным? >>
5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет? >>
6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления? >>
7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
8. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже? >>
10. Как реализовывать технические меры по защите ПД на основе сформированных требований? >>
11. Где найти перечень сертифицированных средств защиты информации? >>
12. Когда проводят аттестацию ИСПДн и каким образом? >>
13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств? >>

Ссылаться нужно в первую очередь на следующие нормативно-правовые акты:

• Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»   

• Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при 
• их обработке в информационных системах персональных данных»  
• Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»  
• В случае обработки биометрических данных: Постановление Правительства РФ № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»  
• Приказ ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»  
• Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 18 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»  
• Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзора) № 482 «Об утверждении образца формы уведомления об обработке персональных данных»

Методические документы регуляторов:

• ФСТЭК России – «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
• ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
• ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
• ФСТЭК России – «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн»
• Данные документы ФСТЭК – с грифом ДСП. Заказать их можно в территориальном управлении ФСТЭК  
• ФСБ РФ – «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
• ФСБ РФ – «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Данные документы ФСБ. Трудовой кодекс РФ (14 глава)

2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД?

Можно направить официальные запросы и письма контролирующим органам:

• территориальные управления ФСТЭК
• территориальные органы Россвязькомнадзора
• ФСБ России

Также можно (и зачастую целесообразнее) обратиться к специализированным компания, занимающимся защитой персональных данных.

3. Как определить категорию персональных данных, обрабатываемых на предприятии?

Законом установлены следующие категории ПД:

• категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
• категория 3 персональные данные, позволяющие идентифицировать субъекта ПД;
• категория 4 обезличенные и (или) общедоступные ПД.

Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн (информационной системой персональных данных), предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн.

Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов (автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.).

4. Как классифицировать ИСПДн? Какие относятся к типовым а какие к специальным?

• Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»
• Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
• Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
• К специальным информационным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных»: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» к специальным ИСПДн можно отнести все ИСПДн.

5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет?

Согласно закону «О персональных данных»:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

• относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
• являющихся общедоступными персональными данными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Но даже если оператор не должен уведомлять Россвязькомнадзор, он обязан защищать персональные данные.

6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления?

Форму и рекомендации по заполнению уведомления можно посмотреть на сайте Россвязькомнадзора. Туда же можно обратиться по вопросам ее заполнения.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса?

1. Система защиты должна разрабатываться на основании модели угроз (модель угроз разрабатывается и для специальных, и для типовых ИСПДн).

2. Для типовых систем мероприятия по защите ПДн в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений определены в документе ФСТЭК России — «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», заказать его можно в территориальном управлении ФСТЭК.
3. При использовании оператором криптографических средств при обеспечении защиты персональных данных нужно также руководствоваться документами ФСБ России:

• «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
• «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

8. Мы определили, что ИСПДн нашего предприятия относится к классу специальных. Как провести анализ угроз безопасности ПД, чтобы потом сформировать набор обязательных требований по ИБ?

Анализ угроз безопасности производится на основании документов ФСТЭК:

• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Заказать их можно в территориальном управлении ФСТЭК

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСБ:

• «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
• «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже?

Прежде всего, необходимо разработать документы, регламентирующие защиту ПД в организации: положение об обработке ПД, регламенты, руководства пользователям и администраторам ИСПДн, акт классификации ИСПДн, перечень применяемых средств защиты информации и т.д.

• Разработать форму и порядок письменного согласия субъектов персональных данных на обработку своих персональных данных, определить сроки хранения персональных данных, разработать план мероприятий по защите персональных данных (и выполнить эти
• мероприятия):

• ограничение доступа к персональным данным;
• определение круга лиц, допущенного к обработке персональных данных, контроль обработки персональных данных;
• установление персональной ответственности за нарушения правил обработки персональных данных;
• организация доступа в помещения, где осуществляется обработка персональных данных.

10. Как реализовывать технические меры по защите ПД на основе сформированных требований?

К данным работам правильнее привлекать специализированную организацию, имеющую опыт реализации проектов в области защиты информации с применением сертифицированных средств защиты информации и обладающую необходимыми лицензиями для осуществления этой деятельности.

11. Где найти перечень сертифицированных средств защиты информации?

 Государственный реестр сертифицированных средств защиты информации

12. Когда проводят аттестацию ИСПДн и каким образом?

После окончания работ по построению системы защиты персональных проводят аттестацию ИСПДн на соответствие требованиям утвержденной регулирующими органами РФ нормативной и методической документации по безопасности информации. Для проведения аттестации привлекается аттестационный орган ФСТЭК.

13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств?

1. В случае ИСПДн – 1-го, 2-го класса или распределенной 3-го класса надо получать лицензию на деятельность по технической защите конфиденциальной информации (это определено в документах ФСТЭК).
2. Деятельность по внедрению шифровальных (криптографических средств), как и по разработке систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ.
3. Правильнее передать деятельность по технической защите и обслуживанию СЗИ на аутсорсинг компании, которая имеет все необходимые лицензии и сертификаты, а так же опыт проведения подобных работ.
4. Подготовлено с использованием Справочно-правовойСистемы КонсультантПлюс
5. За подробной консультацией обращайтесь по телефонам +7 (495) 737-42-22 или пишите на it@tls-group.ru

Источник: https://www.tls-cons.ru/services/data-security/faq/