Реализация организационных мер защиты персональных данных  в соответствии с требованиями законодательства о персональных данны презентация

Реализация организационных мер защиты персональных данных  в соответствии с требованиями законодательства о персональных данных

Законодательство о персональных данных Основными нормативными правовыми актами в области регулирования и защиты персональных данных являются: Конституция (ст. 23 и ст. 24); Трудовой кодекс РФ (Глава 14); Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»; (далее 152-ФЗ) Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; Постановление Правительства РФ от 06.07.08 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства РФ от 15.09.08 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства РФ от 17.11.07 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России, ФСБ России, Минсвязи России №55/86/20 от 13.02.08 «Об утверждении порядка проведения классификации информационных системах персональных данных». Приказ ФСТЭК от 05.02.10 №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных - утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) - утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации - утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года №149/54-144. При осуществлении контроля и надзора за соблюдением требований законодательства о персональных данных также применяются: Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден Приказом №630 от 01.12.2009).

Основные мероприятия Оператора ПД (1) К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся: Определение состава, целей и условий обработки ПД (в том числе сроков их обработки и необходимости получения письменного согласия). Уведомление уполномоченного органа по защите прав субъектов ПД о своем намерении осуществлять обработку ПД до начала обработки ПД , за исключением случаев, предусмотренных 152-ФЗ, а также в случае изменения указанных данных в течение 10 рабочих дней. Осуществление передачи ПД третьим лицам с согласия субъекта ПД(за исключением случаев п.2 ст. 6 152-ФЗ). Если обработка ПД поручается третьему лицу на основании договора, существенным условием такого договора должна являться обязанность обеспечения третьим лицом конфиденциальности и безопасности ПД при их обработке (например, договор обязательного медицинского страхования, договор аренды). -

Основные мероприятия Оператора ПД (2) В локальных организационно-распорядительных документах необходимо установить: перечень мест хранения ПД; требования по обеспечению безопасности ПД при хранении материальных носителей ( в том числе порядок допуска и учета лиц); перечень лиц, обрабатывающих ПД с указанием их правомочий; порядок уничтожения ПД(в том числе и отдельных материальных носителей ПД); порядок обработки обращений субъектов ПД (или их законных представителей) по вопросам обработки их персональных данных; порядок действий в случае запросов уполномоченного органа по защите прав субъектов ПД или иных надзорных органов, осуществляющих контроль и надзор в области ПД; перечень информационных систем ПД. Работники, осуществляющие обработку ПД в ИСПДн, должны быть письменно ознакомлены с категориями обрабатываемыми ими ПД и их правомочиями, а также со всеми требованиями по обработке и обеспечению безопасности ПД, в части касающейся их должностных обязанностей.

Основные мероприятия Оператора ПД (3) Назначение структурного подразделения или должностного лица(лиц), ответственного (ых) за проведение мероприятий по обеспечению безопасности ПД и поддержание необходимого уровня информационной безопасности, за установку, настройку и обслуживание средств защиты информации. Классификация всех автоматизированных информационных систем, используемых в целях обработки ПД. Проведение анализа условий, факторов, создающих опасность несанкционированного доступа к ПД и разработка частной модели угроз безопасности ПД, содержащей перечень актуальных угроз безопасности ПД. Выбор (разработка) методов и способов защиты информации в ИСПДн и их реализация. Регулярное проведение аудита и иных контрольных мероприятий за реализацией мер защиты при обработке ПД.

Особенности обработки персональных данных работников Необходимые меры: Обработка ПД осуществляется только в целях, установленных в Трудовом Кодексе РФ (ст. 86): в целях обеспечения соблюдения законов и иных НПА, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Разработка и утверждение Положения об обработке ПД работников. Ознакомление работников с документами, регулирующими порядок обработки ПД работников и регламентирующими их права и обязанности в этой области. Архивное хранение документов (срок хранения до 75 лет). Установление порядка обработки ПД, обрабатываемых до/без заключения трудового договора (резюме). Передача ПД работников только с письменного согласия работников, за исключением случаев грозы жизни и здоровью и случаев, предусмотренных ФЗ. Письменное согласие на получение ПД работников у третьей стороны. Обезличенное хранение ПД уволенных работников в ИСПДн (рекомендация).

Перечень организационных мер защиты ПД Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя: Утверждение перечня лиц, обрабатывающих ПД, сроков и мест хранения материальных носителей ПД. Наличие перечня лиц, имеющих допуск в помещение. Утверждение порядка допуска в помещение. Регламентация порядка обработки ПД в ИСПДн, в том числе инструкции по обработке персональных данных уполномоченными лицами. Включение в договор условия о конфиденциальности ПД. Наличие электронного журнала обращений на получение ПД. Наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, акта о вводе ИСПДн в эксплуатацию, модели угроз.

Трансграничная передача ПД Проверка наличия трансграничной передачи ПД. В случае ее осуществления принимаются следующие меры: Выявляются иностранные государства, на территорию которых передаются ПД; К государствам, обеспечивающим адекватную защиту прав субъектов ПД относятся (разъяснение на сайте Роскомнадзора): -страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. (Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония). -страны, имеющие общенациональные НПА в области защиты ПД и уполномоченный орган по защите прав субъектов ПД (Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония). Если государство не обеспечивает адекватной защиты прав субъектов ПД, передача ПД возможна только в случаях: - наличия письменного согласия субъекта ПД; - исполнения договора, стороной которого является субъект ПД; - предусмотренных международными договорами и федеральными законами.

Основные мероприятия Оператора ПД Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя: Выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта, обязательного социального страхования).

Хранение носителей ПД В отношении хранения носителей ПД должны быть определены: Перечень носителей ПД и их места и сроки хранения. Раздельное хранение носителей с различными целями обработки. Учет имеющихся и переданных носителей ПД. Порядок уничтожения носителей ПД. Утвержденный состав органа, в полномочия которого входит уничтожение документов.

Обработка ПД без использования средств автоматизации Обработка ПД без использования средств автоматизации должна осуществляться при соблюдении следующих условий: Утверждения перечня обрабатываемых ПД. Отдельные материальные носители для каждой категории ПД. Ознакомление работников Оператора с порядком обработки ПД без использования средств автоматизации. Наличие порядка уничтожения или обезличивания ПД. Организации раздельного хранения ПД различных категорий. Наличие инструкций и регламентов для работников, осуществляющих данный вид обработки. При необходимости правила ведения журнала для пропуска субъекта ПД на территорию Оператора.

Примерный перечень документов, касающихся обработки ПД К документам, регулирующим или касающимся обработки персональных данных относятся: Положение об обработке ПД работников; Положение о неавтоматизированной обработке ПД; Утвержденный перечень лиц, обрабатывающих ПД; Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку; Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;

Примерный перечень документов, касающихся обработки ПД Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении; Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД; Положение о порядке работы с документами, содержащими конфиденциальную информацию; Журнал для пропуска субъекта ПД на территорию Компании; Акт классификации информационных систем ПД (ИСПДн); Приказ о назначении комиссии по классификации ИСПДн; Перечень технических средств, участвующих в обработке ПД; Инструкции и регламенты для работников, непосредственно осуществляющих обработку ПД.

Законодательные основы проведения проверки Роскомнадзора Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В исключительных случаях может быть пролонгирован еще на 20 рабочих дней. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах. Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.09 №141). Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения. Обращение Оператора рассматривается 30 дней с даты регистрации (срок может быть пролонгирован на 30 дней).

ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовила: Долганова Наталья Станиславовна – Заместитель начальника Юридического департамента ООО «Управляющая компания «КапиталЪ»