Способы обработки персональных данных это

Способы обработки персональных данных

Защита персональных данных
с помощью DLP-системы

С овременный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

• сбор – это фактическая передача персональных данных от их субъекта оператору;
• запись – может происходить и ручным, и машинным способом;
• систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
• накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
• хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
• уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
• извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
• использование;
• передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
• обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
• блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
• удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
• уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

• с использованием средств автоматизации;
• без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

• законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
• конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
• недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
• точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
• минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1. обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2. в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3. она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Источник

Способы обработки персональных данных это

ПАМЯТКА ОПЕРАТОРАМ ПЕРСОНАЛЬНЫХ ДАННЫХ о форме, способах и механизмах получения согласия на обработку персональных данных .PDF

Уважаемые заявители!

Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т.д.

К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов.

По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.

Внимание! Временно, распечатку заполненной электронной формы заявления на фирменном угловом (продольном) бланке оператора производить через: «Файл» — «Печать» — «Весь диапазон страниц» — «Печать».

Уважаемые заявители!

Для исполнения ч.2.1. ст.25 Федерального закона №152-ФЗ (в редакции от 25.07.2011 N 261-ФЗ )»О персональных данных» необходимо представлять информационное письмо (вариант письма смотри ниже).

Методика составления информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных

В случае изменения сведений, указанных в уведомлении об обработке персональных данных оператор, зарегистрированный на территории Свердловской области, обязан направить в адрес Управления Роскомнадзора по Уральскому федеральному округу информационное письмо о внесении изменений сведений в реестре операторов, осуществляющих обработку персональных данных, в течение десяти рабочих дней с даты возникновения таких изменений.

Порядок внесения изменений:

— зайти на сайт Управления 66.rkn.gov.ru (вкладка «Направления деятельности», раздел «Персональные данные»);

— заполнить электронную форму информационного письма (заполнять только те поля, которые изменяются или дополняются) При этом обязательно заполнить: реквизиты организации (наименование, адрес, регистрационный номер записи в Реестре, основание изменений, регион, ИНН, ОГРН, ОКВЭД, ФИО и контактная информация исполнителя); поле «ОСНОВАНИЕ внесения изменений»; поле «Срок или условие прекращения обработки ПД»;

— ввести защитный код;

— распечатать письмо в 2х экземплярах на бланке организации (или поставить угловой штамп на отпечатанных листах);

— подписать (законный представитель организации);

— зарегистрировать письмо в журнале исходящих документов (при наличии);

2. Подготовить заверенную печатью организации копию документа – основания изменения данных об организации (Указ Губернатора, Постановление Правительства СО, или другое).

3. Направить заказным письмом указанные документы в адрес Управления Роскомнадзора по Уральскому федеральному округу.

Справки можно получить по телефону (343) 227-24-56 доб. 647 — специалист по работе с РОПД, или по телефону (343) 227-24-38 доб. 648, 649.

Методические рекомендации по составлению уведомления об обработке персональных данных

(сопроводительный документ не делать. )

Угловой штамп, бланк организации

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых комму­никаций по Уральскому федеральному округу

Исх. №, дата

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

Тип оператора: юридическое лицо (выбрать: государственный, муниципальный орган, юридическое или физическое лицо)

Наименование (фамилия, имя, отчество — для физ. лица), адрес оператора, филиалы:

Общество с ограниченной ответственностью «Совинтел» (сокращённое — ООО «Совинтел») — писать в точном соответствии со свидетельством ФНС (последним изменением в налоговом органе) ;

Стачек ул., д.1, г. Заречный, Каменский р-н, Свердловская обл., РФ, 620014.

ИНН7717036194; ОГРН1056601892159; ОКВЭД 45.2; КПП 663001001.

Если есть филиалы ( только в другом регионе РФ! ), то указать — Челябинский филиал ООО «Совинтел»; Мира ул., д.13, Челябинск, РФ, 740014; Ф.И.О. руководителя, тлф. №; КПП, ОКВЭД.

Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии и другие цели):

Предоставление услуг связи ; выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями; обеспечение кадрового резерва.

Правовое основание обработки персональных данных (обязательно указать соответствующие статьи, пункты определяющие обработку персональных данных) например:

Ст.ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003г. № 126-ФЗ «О связи»; п. 4.5 Лицензии № 33799 от 10.08.2005г., выдана ООО «Совинтел» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.3 Устава ООО «Совинтел», утверждённого на общем собрании акционеров 20.01.2006г., протокол № 1.

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» ( обязательно заполнить два поля: а) описание мер и б) средства обеспечения безопасности ):

а) Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных. Технические меры : обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также по специально выделенной сети.

б) Средства обеспечения безопасности (обязательно заполнить поле!) :

Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения; сигнализация; видеонаблюдение; сетевые экран; решетки на окнах.

C ведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Лица, осуществляющие обработку персональных данных, обучены и проинструктированы под роспись. Хранение носителей баз данных, содержащих персональные данные, обеспечено. Несанкционированный доступ к базам персональных данных, исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Контроль учета лиц, допущенных к работе с персональными данными, ведётся. Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана.

(п. 11 введен Федеральным законом от 25.07.2011г. № 261-ФЗ). (В соответствии с ПП РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и ПП РФ от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).

Дата начала обработки персональных данных (число, месяц, год): 31.05.2006г.

Срок или условие прекращения обработки ПД: выбрать по условию:

Ликвидация (реорганизация) ООО «Совинтел».

Сведения об информационной системе

Категории персональных данных: ! выбрать из разделов:

непосредственно персональные данные (фамилия, имя, отчество; год, месяц, дата рождения; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы);

специальные категории персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, состояние интимной жизни);

биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность, например: — фото, отпечатки пальцев, ДНК и т.д.).

Обязательно заполнить поле « Другие категории персональных данных, не указанные в перечне» (например: Данные документов: паспорта РФ, военного билета, свидетельства о рождении, свидетельства о браке/расторжении брака, об образовании, пенсионного удостоверения, водительского удостоверения, ИНН; СНИЛС; номер контактного телефона).

4. Категории субъектов, персональные данные которых обрабатываются: Сотрудники, с которыми заключены трудовые договоры; ближайшие родственники сотрудников; граждане, обратившиеся с жалобами, заявлениями; граждане, направившие мини-резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; клиенты и их законные представители; физические лица, состоящие в договорных или иных гражданско-правовых отношениях;

6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Обязательно заполнить поле «Перечень действий с персональными данными»! :

Сбор, анализ, обобщение, хранение, изменение, дополнение, передача, уничтожение персональных данных.

способ обработки персональных данных: смешанная обработка персональных данных; без передачи (или с передачей) по внутренней сети юридического лица; c передачей (или без передачи) по сети Интернет.

осуществление трансграничной передачи: — осуществляется (или нет) трансграничная передача персональных данных (т.е. за границу РФ).

использование шифровальных (криптографических) средств :

выбрать «используются» — «не используются» (Если используются, то указать наименования указанных средств).

Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ:

выбрать: страну, адрес ЦОДа и указать имеется ли собственный ЦОД

Ответственные за организацию обработки персональных данных: фамилия, имя, отчество физического лица или наименование юридического лица, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

Директор подпись (И.И.Иванов)

Исполнитель: ФИО; номер контактного (рабочего) телефона.

Информация размещена на сайте: 66.rkn.gov.ru

Регистрацию в РОПД можно посмотреть на сайте: pd.rsoc.ru (набирать только ИНН. )

Адрес: 620000, Екатеринбург, Ленина пр-т, д. 39, а/я 337.

Подписанное Уведомление на бумажном носителе направлять обязательно!

Первоочередные задачи оператора персональных данных по организации обработки персональных данных

1. Проверить, как ведется в организации обработка ПД на данный момент, устранить выявленные нарушения, не ждать проверки надзирающего органа исполнительной власти.

2. Подготовить требуемую действующим законодательством в области персональных данных документацию по обработке ПД, разработать инструкции для сотрудников, довести. Разработать (уточнить в соответствии с новой редакцией 152-ФЗ и подзаконными актами) и утвердить положение об обработке ПД в организации.

3. Получить согласие субъектов ПД на обработку ПД (в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в соответствии с ч. 4 ст. 9).

4. Утвердить списки лиц, допущенных к обработке ПД.

5. Довести до сотрудников , которые допущены к обработке ПД:

— факт допуска их к обработке ПД;

— о способе обработки ПД;

— о перечне категорий персональных данных, которые они будут обрабатывать.

Обязать работников (сотрудников), обрабатывающих ПД, обеспечить безопасность обработки ПД.

6. Обеспечить надежное хранение носителей ПД.

7. Зарегистрироваться в установленном порядке в Реестре операторов ПД.

8. Дополнить договоры с организациями, которым оператор поручил обработку ПД, перечнем действий (операций) с ПД, целями обработки ПД, обязанностью обеспечения конфиденциальности при обработке ПД переданных им для выполнения условий данного договора, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9. Привести в соответствие с требованиями действующего законодательства в области персональных данных деятельность по обработке ПД (если этого ещё не сделано).

10. Организовать периодический контроль руководства организации за работой лиц, допущенных к обработке персональных данных.

11. Проверить порядок хранения документов, содержащих персональные данные, и порядок их уничтожения по достижению цели обработки этих персональных данных.

12. Представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

— п.5 ч.3 ст.22 – правовое основание обработки персональных данных;

— п.7.1. ч.3 ст.22 – фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных ( это, например, ЕРЦ, РИЦ, объединённые бухгалтерии – то есть обработчик персональных данных, который не определяет цели обработки персональных данных) , и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

— п.10 ч.3 ст.22 – сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

— п.11 ч.3 ст.22 – сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленные Правительством Российской Федерации (ст.19 ещё не установлены! С июня 2012).

13. Представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пункте 10.1 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» — «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации».

* Типичные ошибки при составлении Уведомления об обработке персональных данных см. здесь

Время публикации: 16.12.2015 08:42
Последнее изменение: 23.05.2019 10:58

© 2009-2021, Версия 2.15.18

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Источник