2Алгоритм организации системы защиты персональных данных
Для организации системы защиты персональных данных необходимо провести ряд последовательных мероприятий. Суть мероприятий описана в соответствующих разделах.
Для организации системы защиты персональных данных (далее - СЗПДн) вам необходимо ответить на следующие вопросы и, в зависимости от результата, реализовать рекомендуемые действия:
производится ли обработка персональных данных (раздел 3)?
обработка производится с помощью средств автоматизации (автоматизированная обработка) или без использования средств автоматизации (неавтоматизированная обработка) (раздел 4)?
кто является владельцем ИСПДн (раздел 5)?
необходимо определить к какому типу относится ваша ИСПДн (раздел 6)?
к какой категории и в каком объеме обрабатываются персональные данные? Как категорировать ИСПДн (раздел 7)?
требуется ли уведомление уполномоченного органа по защите прав субъектов персональных данных об осуществлении обработки персональных данных (раздел 8)?
какие меры защиты (организационные и технические) уже действуют в Учреждении (раздел 9)?
После того, как вы получите ответ на эти вопросы, вам необходимо:
заполнить необходимый комплект нормативно-организационных документов для автоматизированной обработки (раздел 10) и для неавтоматизированной обработки (раздел 11);
ввести в действие и поддерживать в актуальном состоянии необходимые журналы и формы учета (раздел 12);
определить, можно ли понизить класс ИСПДн (раздел 13);
определить какие меры защиты необходимо внедрить, чтобы выполнить требования законодательства по организации СЗПДн (раздел 14);
определить потребуется ли аттестация ИСПДн во ФСТЭК России или достаточно декларирования соответствия (раздел 15).
Во всех других случаях, связанных с персональными данными, необходимо обращаться к соответствующим разделам:
в случае введения новых информационных систем персональных данных к разделу 16;
в случае прихода плановой и внеплановой проверки к разделу 17.
3Обработка персональных данных в Учреждениях в соответствии с 152-ФЗ «О персональных данных»
Прежде чем начать выполнять требования законодательства в области защиты персональных данных, необходимо выяснить, являетесь ли вы оператором персональных данных, т.е. производите ли обработку персональных данных.
Персональные данные – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект.
Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны. Подробно категории ПДн рассмотрены в разделе 7.
К персональным данным относятся:
ФИО;
дата рождения;
место рождения;
адрес прописки;
адрес фактического проживания;
паспортные данные;
информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
телефонный номер (домашний, рабочий, мобильный);
семейное положение и состав семьи (муж/жена, дети);
форма допуска;
данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
информация о приеме на работу, перемещении по должности, увольнении;
информация о трудовой деятельности до приема на работу;
информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
размер оклада;
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
данные об аттестации работников;
данные о повышении квалификации;
данные о наградах, медалях, поощрениях, почетных званиях;
информация о болезнях;
информация о негосударственном пенсионном обеспечении;
другие данные.
Также персональными данными считаются биометрические персональные данные, т.е. сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Например, в биометрическим персональным данным относятся фото, видеонаблюдение и т.п.
Не все данные являются персональными сами по себе, но их совокупности могут быть ПДн. Различные совокупности этих данных (при их обработке в ИСПДн), порождают различные требования к их защите (об этом подробнее в разделе 7).
Перечень персональных данных, а так же данных, подлежащих защите, можно найти в Приложении «Перечень персональных данных, подлежащих защите».
Таким образом, если вы осуществляете обработку персональных данных, то вы обязаны обеспечить защиту ПДн. За редким исключением (оно будет рассмотрено в разделе 5), каждое действие сопрягается с другими, так использование ПДн сопряжено со сбором, накоплением и хранением данных и так далее.
Таким образом, если вы работаете с физическими лицами и/или у вас работают наемные сотрудники, то вы осуществляете обработку.
Под действиями с персональными данными понимается следующее:
сбор – взятие у субъектов ПДн их данных;
систематизация – произведение действий по сортировке ПДн для выполнения целей обработки;
накопление – произведение действий по хранению ПДн после их сбора;
хранение – длительное хранение ПДн в базе данных ИСПДн для выполнения целей обработки;
уточнение (обновление, изменение) – внесение изменений в базу данных ИСПДн о субъекте ПДн;
использование – осуществление с помощью ПДн основной (производственной) и сопутствующей деятельности;
распространение – передача ПДн в другие организации и ИСПДн;
обезличивание – процесс деперсонализации ПДн (подробнее в разделе 13);
блокирование – действие по приостановке процесса обработки ПДн;
уничтожение – изъятие ПДн из ИСПДн.
Уничтожение персональных данных, позволяющих определить субъекта персональных данных, производится по достижении целей обработки, в случае утраты необходимости в достижении целей, по письменному заявлению субъекта персональных данных или по истечению срока обработки персональных данных.
Персональные данные должны быть удалены из ИСПДн, однако могут быть занесены в архив.
Об уничтожении персональных данных необходимо уведомить субъекта персональных данных письменно (Бланк уведомления о завершении обработки персональных данных 12.1.1.13), по телефону или электронной почте.Уведомлять субъекта необходимо в случае его обращения или запроса.
При уничтожении персональных данных нужно составлять «Акт об уничтожении персональных данных», причем в Акте фиксируется одно событие уничтожения персональных данных независимо от объема уничтоженных данных.
Если вы производите обработку ПДн, то по Закону вы являетесь оператором персональных данных, и, следовательно, должны выполнить следующие действия:
Подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (раздел 9).
Присвоить категории своим ИСПДн (раздел 7).
Создать систему защиты персональных данных (раздел 14).
Ниже мы рассмотрим эти этапы и предшествующие им.
|
