Является ли система системой персональных данных

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Является ли система системой персональных данных" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных? (ответ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций)

Является ли веб-сайт информационной системой обработки персональных данных?

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Федеральная служба по надзору в сфере связи,

информационных технологий и массовых коммуникаций

9 февраля 2012 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/57468351/

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

>
Рекомендации по составлению Политики
Содержание
Политика оператора персональных данных (В.В. Данилова, журнал «Отдел кадров государственного (муниципального) учреждения».

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Читайте так же:  Некоммерческое партнерство список

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/77714269/741609f9002bd54a24e5c49cb5af953b/

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

    Перечень персональных данных: что к ним относится и при каких условиях?

    В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.

    Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.

    Какие сведения являются такой информацией?

    Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

    Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

    Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

    • фамилия, имя, отчество;
    • место жительства или регистрация;
    • дата и место рождения;
    • семейное, социальное или имущественное положение;
    • сведения об образовании, доходах, профессии и пр.

    Существует несколько видов ПДн, которые разделяются по степени информативности.

    1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
    2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
    3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
    4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.
    Читайте так же:  Мнимая сделка недвижимости

    Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

    У граждан

    Персональными данными физических лиц считаются:

    • фамилия, имя и отчество;
    • дата рождения;
    • идентификационный номер;
    • место рождения;
    • гражданство;
    • информация о регистрации по месту жительства или месту проживания;
    • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
    • сведения о семейном положении (о супруге, детях и родителях);
    • информация об образовании;
    • информация о роде занятий;
    • о пенсии;
    • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
    • о налоговых обязательствах;
    • об исполнении воинской обязанности.

    У юридических лиц?

    • Наименование юридического лица.
    • Организационно-правовая форма.
    • Ююридический адрес.
    • Адрес местонахождения юридического лица.
    • ОГРН (основной государственный регистрационный номер).
    • ИНН (идентификационный номер).
    • КПП (код причины постановки на учет).
    • Расчетный счет.

    Также в некоторых случаях учитываются ПДн руководителя юридического лица.

    Что не входит в ПД?

    В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

    Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

    Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что может быть отнесено в данную категорию при выполнении определенных условий?

    1. Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
    2. В примерно таком же положении находиться и email адрес.

    Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.

    Некоторые email адреса, такие как «[email protected]» или «[email protected]», также не считаются ПДн, поскольку пользоваться этими адресами могут сразу несколько человек. Если же в электронной почте указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес попадает под категорию персональных данных.
    Логин и пароль, в свою очередь, также не попадают под эту категорию, в независимости от того, какая информация указывается в графе логина или пароля.

    Страницы в социальных сетях в этом случае имеют определенные сложности, так как многие люди, несмотря на то, что они выставляют свои фотографии, подписываются под другими, зачастую выдуманными, именами.

  • Фотографии и видеозаписи считаются персональными данными только в том случае, если по ним возможно идентифицировать человека. Исключением являются фото и видеозаписи, сделанные на массовых и публичных мероприятиях, на что указывает пункт 1 статьи 152 Гражданского Кодекса Российской Федерации.
  • Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.

    Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Видео (кликните для воспроизведения).

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya

    Типичные ошибки при построении системы защиты ПДн (СЗПДн)

    Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

    Как рождается ошибка?

    Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

    Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

    Распространенные ошибки при построении СЗПДн:

    1. Неверно определено число информационных систем, обрабатывающих персональные данные.

    Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

    Читайте так же:  Частичный судебный приказ

    Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

    Экспресс-обследование СЗПДн от проекта Контур.Безопасность

    2. Неверный выбор средств защиты информации.

    Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

    • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
    • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
    • перечень используемых средств защиты информации будет избыточным;
    • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

    При этом первый вариант развития событий возможен в крайне редких случаях.

    Советы:

    • используйте известный алгоритм создания системы защиты персональных данных;
    • проведите обследование информационной системы;
    • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
    • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
    • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

    3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

    Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

    4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

    Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

    Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

    Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

    В ходе обследования собираются данные:

    • об организационно-штатной структуре заказчика;
    • о мерах физической безопасности;
    • о структуре, техническом и программном составе информационных систем;
    • об архитектуре информационных систем;
    • о технологических процессах обработки ПДн;
    • о существующих средствах и механизмах обеспечения безопасности ПДн.

    В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.


    Источник: http://kontur.ru/articles/1744

    Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?

    Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

    Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
    Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

    Что это такое государственные и частные ИСПДн?

    Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

    1. Совокупности сведений, которые хранятся в базе.
    2. Технических средств, применяющихся для работы с данными сведениями.
    3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).
    • Фамилия, имя, отчество.
    • Дата рождения.
    • Адрес прописки и фактического проживания.
    • Материальное, семейное и социальное положение.
    • Размеры доходов.
    • Профессия.
    • Иные данные.

    Особенности частных

    Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

    • зарплате сотрудников;
    • пенсионных, страховых налоговых отчислений;
    • социальных пособиях;
    • добровольных взносах (к примеру, негосударственное страхование пенсионеров);
    • принудительных платежах (например, алиментах).

    В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

    1. автоматизированные банковские системы;
    2. биллинговые системы или абонентские базы;
    3. базы страховых компаний;
    4. системы, хранящие данные коллекторских агентств;
    5. бюро кредитных историй с информацией о гражданах;
    6. амбулаторные электронные карты в медицинских организациях и пр.

    Все перечисленные системы обслуживают бизнес-процессы.

    Государственные

    Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

    Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

    Читайте так же:  Образец бланка на право подписи

    Обработка ПДн

    Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

    Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

    Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

    Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

    Аттестация

    Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

    Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

    Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

    Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

    Матрица доступа

    Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

    Доступы бывают следующие:

    • К чтению.
    • Для записи.
    • На исполнение и другие.

    Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

    Действия регламентируются и фиксируются в матрице:

    1. R – чтение.
    2. CR – создание объекта.
    3. W – запись внутри объекта.
    4. D – избавление от объекта.
    5. Знак «+» определяет доступность для конкретного субъекта.
    6. Знак «-» определяет недоступность для субъекта.

    На примере предприятия объектами будут:

    • Технические средства, обрабатывающие, принимающие и передающие информацию.
    • Коммерческая тайна.
    • Личные данные клиентов.
    • ПДн работников.
    • Документация.
    • Личные дела сотрудников.
    • Электронные БД персонала и клиентуры.
    • Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
    • Средства защиты данных: антивирусы, сигнализационная система и др.
    • Личные данные бывших сотрудников и клиентов.

    В роли субъектов доступа к данным выступают:

    Инструкция пользователя

    Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:

    1. Обязанности пользователя ИСПДн.
    2. Запрещенные для пользователя ИСПДн действия.
    3. Права оператора ИСПДн.
    4. Ответственность пользователя.
    5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
    6. Перечень документации, использованной при разработке инструкции.
    • Скачать бланк инструкции пользователя информационных систем персональных данных
    • Скачать образец инструкции пользователя информационных систем персональных данных

    Как происходит обработка личных сведений?

    Процесс обработки ПДн в системе должен соответствовать следующим принципам:

    1. Обработка данных выполняется только на законных основаниях.
    2. Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
    3. Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
    4. Обрабатываются только те ПДн, которые соответствуют целям обработки.
    5. Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.

    Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/informatsionnaya-sistema.html

    Персональные данные шире, чем вы думали: номер телефона и email

    Правительство отнесло e-mail и номер телефона к персональным данным.

    Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании «Рафиков и Партнёры». В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.

    Время прочтения: 1,5 мин.

    13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

    Что является персональными данными?

    Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

    Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

    По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию . Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).

    Номер телефона и e-mail — персональные данные?

    Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

    Читайте так же:  Порядок рассмотрения уголовного дела судом кассационной инстанции

    Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

    Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

    Система идентификации граждан и «скоринг»

    Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring — подсчет очков).

    К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:

    «Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»

    Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.

    Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

    Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).

    За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

    Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.

    Материал опубликован пользователем.
    Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

    С этими персональными данными — просто беда.

    Уже три года пытаюсь перезапустить свой маркетплейс, на который потратил более 35 тысяч евро чужих и своих денег, и каждый раз спотыкаюсь на этих ПД !

    Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.

    А в закон разве требует хранить данные только на территории РФ?

    Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.

    Верно. Если данные россиян, то серверы должны находится на территории РФ.

    необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

    Вот это обязательные шаги для интернет магазинов?

    Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки «согласен» не достаточно — нужно смотреть текст документа.

    Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.

    Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении

    Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.

    Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными.

    1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).

    2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.

    3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.

    Видео (кликните для воспроизведения).

    Источник: http://vc.ru/legal/83665-personalnye-dannye-shire-chem-vy-dumali-nomer-telefona-i-email

    Является ли система системой персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here