Главная » Разное

Автоматизированный способ обработки персональных данных это

Содержание
  1. Автоматизированный способ обработки персональных данных это
  2. Способы обработки персональных данных
  3. Нормативно-правовое регулирование
  4. Классификация действий с персональными данными
  5. Способы обработки
  6. Принципы обработки
  7. Условия обработки
  8. Способы обработки персональных данных государственными и муниципальными органами
  9. Обработка персональных данных с использованием средств автоматизации
  10. Использование средств автоматизации при обработке персональных данных в ИСПДн
  11. Основные меры защиты
  12. Специфика организации СЗПДн

Автоматизированный способ обработки персональных данных это

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 3

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Источник

Способы обработки персональных данных

Защита персональных данных
с помощью DLP-системы

С овременный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.
Читайте также:  Решение неравенства алгебраическим способом

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.
Читайте также:  Способ приготовления риса без варки

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1. обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2. в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3. она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Источник

Обработка персональных данных с использованием средств автоматизации

Повсеместное использование средств автоматизации для операций с ПДн, с одной стороны, позволяет значительно ускорить их фиксацию, копирование, изменение, блокирование и распространение, но при этом создает дополнительные трудности из-за необходимости обеспечения информационной безопасности. При отсутствии тщательно продуманной защиты есть опасность утечки или несанкционированного использования сведений, и как результат — судебных исков от субъектов и штрафных санкций со стороны государственных служб.

Наиболее удобным способом решения проблемы является обращение к специалистам, которые возьмут на себя оценку рисков, проработку документальной базы, подбор техники и обучение персонала. Но даже в случае делегирования полномочий по организации системы и построению СЗПДн руководителю необходимо иметь представление о том, какие существуют принципы обработки ПДн и что требует законодательство от операторов. Немногие знают, что принимать меры защиты следует в отношении любой информации о гражданах, за исключением той, которая является общедоступной и не привязанной к конкретному субъекту. Даже если вы просто просите у посетителя сайта заполнить форму для обратной связи, нужно предупредить незаконное применение/изменение/распространение Ф.И.О., телефонного номера, электронной почты и т.д. Больше того, для легального сбора и оперирования данными нужно согласие их владельца в письменном или электронном виде.

Читайте также:  Заложенность носа лечение народными способом

В Федеральном Законе № 152-ФЗ указано, что автоматизированная обработка информации — это действия с ПДн, в которых используется вычислительное оборудование: компьютеры, ноутбуки, планшеты, мобильные и т.д. Для АС, как и для неавтоматизированных операций, предусмотрен ряд требований:

  • лимитированное время использования (до момента достижения конкретной цели);
  • запрет на объединение баз персональных данных, собранных для обработки в разных целях;
  • создание условий, в которых становится невозможным несанкционированный доступ;
  • назначение ответственных за безопасность лиц, разработка внутренней нормативной документации;
  • обязанность уничтожить ПДн после того, как потребность в них исчезает (нельзя хранить дольше необходимого);
  • сообщение субъекту, для чего требуются личные сведения, и получение согласия на последующие действия.

Использование средств автоматизации при обработке персональных данных в ИСПДн

Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы. В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование. ИП или юридическое лицо может позаботиться об информационной защите самостоятельно либо заключить договор на делегирование полномочий. Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого. Аутсорсинговое обслуживание обходится дешевле и позволяет оперативно решать текущие вопросы.

В список главных обязанностей, которые ложатся на оператора, входят:

  • профилактика несанкционированного доступа (НСД);
  • мониторинг на предмет утечек или незаконного проведения операций;
  • поддержание необходимого уровня защищенности системы автоматической обработки данных;
  • предупреждение воздействия на вычислительную технику со стороны персонала и сторонних лиц;
  • восстановление утерянных сведений в кратчайшие сроки;
  • определение ответственного лица (или нескольких сотрудников), который будет отслеживать положение дел, уведомлять о проблемах и заниматься их урегулированием.

Дополнительно приходится тратить усилия, время и денежные ресурсы на подбор, установку, настройку и техническое обслуживание оборудования и программного обеспечения, а также отслеживать изменения в законодательной базе, чтобы своевременно вносить коррективы и осуществлять модернизацию.

Основные меры защиты

Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:

  • установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
  • формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
  • составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
  • подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
  • ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
  • разработка детального описания системы.

Специфика организации СЗПДн

Разбираясь в том, что такое автоматизированная обработка информации, особое внимание нужно уделить именно защите. Во-первых, этого требует действующее российское законодательство, во-вторых, только так можно завоевать положительные отзывы от партнеров и клиентов, и, наконец, бесперебойно работающая СЗПДн — гарантия отсутствия претензий от Роскомнадзора, ФСТЭК и других проверяющих органов.

По-настоящему хорошая система защиты должна:

  • отвечать актуальным правовым нормативам;
  • иметь разные уровни, которые будут в равной степени защищены от угроз;
  • быть ориентированной на профилактику НСД;
  • соответствовать характеристикам используемого ПО и вычислительной техники;
  • базироваться на комбинации результативных методов и технологий;
  • адаптироваться под вероятные системные изменения;
  • предполагать контроль по всем направлениям;
  • отвечать потребностям конкретной деятельности;
  • функционировать без сбоев до окончания жизненного цикла ИС.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.