Постановление Правительства № 211

Вот и вышел первый и долгожданный документ, уточняющий нормы ФЗ "О персональных данных": Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и  принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Разберемся по пунктам, какие требования предъявляются. Мои примечания выделены синим цветом.

1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа; 

(Данный пункт регламентируется ст. 18.1 ФЗ «О персональных данных»:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.)

б) утверждают актом руководителя государственного или муниципального органа следующие документы:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
(ст. 18.1 ФЗ «О персональных данных»

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений);

а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, 

(ст. 3 ФЗ "О персональных данных"

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;)

сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

(по смыслу из статьи Статья 21. "Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных").

правила рассмотрения запросов субъектов персональных данных или их представителей;

(с. 22.1 ФЗ "О персональных данных" 

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.)

правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; 

(ст. 18.1 ФЗ «О персональных данных»

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора);

правила работы с обезличенными данными;)

перечень информационных систем персональных данных;

(новое. Стандартный документ, присутствует у многих операторов.)

перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

(новое. По сути сюда должны попадать все персональные данные.)

перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

(новое. Видимо обезличивание теперь необходимо производить комиссионно.)

перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

(Важно! Составляется не список лиц с ФИО, а список должностей, т.е. при увольнении и приеме на работу документ не переделывается.)

должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

(Важно! Инструкция должна быть согласована со Статьей 22.1. Лица, ответственные за организацию обработки персональных данных в организациях.)

типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

(новое. Похоже на форму по неразглашению КТ.)

типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных,

(Статья 9. Согласие субъекта персональных данных на обработку его персональных данных)

 а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

(Статья 18 ФЗ "О персональных данных:

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.)

порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

(новое. Думаю, можно добавить раздел в инструкцию о пропускном режиме.)

в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

(Должны приниматься меры защиты ст. 19. ФЗ "О персональных данных")

г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

(Роскомнадздор ориентировался на этот документ и раньше.)

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

(по ФЗ в обязанности лица, ответственного за организацию обработки персональных данных входит осуществление контроля.)

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

(также обязанности ответсвенного лица, обучение регламентируется статьей 18.1)

ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных»;

(ст. 22 ФЗ "О персональных данных".)

з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

(Непонятно, где указаны методы и требования к обезличиванию.)

2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

(ст. 18.1. ФЗ "О персональных данных"

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;)

На мой взгляд, в документе нет неожиданных пунктов. Однако где же оценка вреда субъекту?..

Также заметки о новом Постановлении можно прочитать здесь:

Персональные данные. Правоприменение

Бизнес без опасности

ИБ на Кубани

Оценка вреда субъекту

Пришла недавно мысль, а что если вред субъекту персональных данных оператору оценивать с помощью вербально-числовой шкалы Харрингтона:

1 год моему блогу :)

Спасибо всем, кто читает мой блог, постоянным читателям, тем, кто что-то искал и нашел  здесь полезную для себя информацию, просто случайным гостям! Работа над блогом заставляет меня постоянно изучать что-то новое, анализировать свои знания и учиться делиться опытом. Надеюсь в следующем году мои заметки станут вам только интереснее и полезнее!

Интервью Заместителя руководителя Роскомнадзора Романа Шередина

Текст интервью можно посмотреть здесь. О результатах работы Роскомнадзора и планах на будущее.

Анонс апрельского номера журнала "Директор по безопасности"

В апрельском номере ожидаются следующие темы:

• Черный рынок персональных данных

• Защита персональных данных в системах контроля доступа

• Телохранитель XXI века  (Часть II)

• Выбор сертифицированных систем защиты информации от несанкционированного доступа

• Уголовное преследование недобросовестных контрагентов

Моя статья:
• Положительные моменты нарушения режима ИБ на предприятии

Что может быть хорошего в нарушениях режима информационной безопасности? Прямая обязанность специалиста по защите информации их предотвращать. Но как бы мы не старались, инциденты происходят регулярно и чем организация больше, тем чаще приходится с этим сталкиваться. Выход здесь только один – научиться извлекать даже из критических ситуаций выгоду!

• Проверка контрагентов онлайн

• Невыгодные условия в договорах с банками: навязанная «свобода договора. Часть II»

В каких случаях допустимо установление и взимание банками комиссий, а в каких нет? Как оспорить невыгодные условия договоров с банками?  Когда суды встают на сторону клиентов в споре с банками?

• Зачем сотрудники пересылают тексты в графических файлах?

• Должна ли распределяться ответственность за управление информационными рисками в организации?

Интересная точка зрения представителя регулятора на оценку вреда субъекту

Интересная информация была мною найдена в интервью Александра Михайловича Никитина, начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Самарской области:

"...– Скажите, каким образом оценивается вред, который мог быть причинен или был причинен работнику? Дифференцировано ли наказание в зависимости от степени вреда?

– Вред, причиненный субъекту персональных данных в результате неправомерной деятельности оператора, оценивает суд. На сегодняшний день в российском законодательстве нет дифференцированного подхода к ответственности за нарушения законодательства о персональных данных.

Учитывая эти обстоятельства, Роскомнадзор вышел с предложениями об увеличении размера штрафных санкций до 500 тыс. рублей с обязательной дифференциацией их размера в зависимости от степени причиненного субъекту вреда...."

Так стоит ли Оператору самостоятельно производить оценку вреда субъекту персональных данных?..

Информация взята с сайта: http://sambukh.ru.

Интервью с представителем Роскомнадзора

Наткнулась на интернет-интервью с заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Р.В. Шерединым по вопросам защиты персональных данных.

Наиболее интересная, на мой взгляд, часть доклада:

"Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором:

• это общий документ, определяющий политику оператора в отношении обработки персональных данных;
• локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений."

Информация взята с сайта http://www.garant.ru/.

Лояльность персонала

В работе специалиста по защите информации очень важно отслеживать уровень лояльности персонала. Выше лояльность - меньше ограничений и строгого контроля, ниже лояльность - больше инструктажей и проверок. Выделила для себя следующие стадии развития недовольством  компанией:

• сотрудники бездельничают большую часть своего рабочего времени;
• сотрудники пытаются навредить компании;
• сотрудники увольняются.

Если Вы заметили,что некоторые работники постоянно пьют чай и ведут неспешные беседы, на мой взгляд на них нужно обратить усиленное внимание, они могут стать инсайдерами...

Обнаружена крупная утечка персональных данных медицинских учреждений

На сайте Роскомнадзора 13 марта была опубликована следующая новость:

"...московская полиция сообщила о задержании преступной группы, которая через сотрудников коммерческих медицинских учреждений получала доступ к базам данных с персональными данными пациентов. В частности, их интересовали люди, приобретавшие БАДы. Затем участники ОПГ обзванивали пожилых людей, представлялись сотрудниками судов РФ, Генеральной прокуратуры, Роспотребнадзора и Сбербанка России, рассказывая, что задержаны преступники, продававшие некачественные БАДы, а всем пострадавшим, якобы, выделена компенсация из бюджета РФ.

Чтобы ее получить, злоумышленники предлагали пенсионерам оплатить 10-15% от суммы выплаты в качестве «страховых взносов, налоговых выплат или расходов, связанных с инкассацией денежных средств пострадавшему». Деньги переводили на лицевые счета банковских карт различных банков или с помощью других систем переводов.

ОПГ просуществовала два года. Доход от преступной деятельности превысил 100 млн рублей. По предварительным данным, пострадали более 1 тыс. человек, хотя сыщики считают, что жертв намного больше...".

Полный текст новости: http://www.pd.rsoc.ru/press-service/subject1/news1341.htm.

Еще информация: http://www.rsoc.ru/news/rsoc/news14900.htm.

Этот конкретный пример показывает важность создания адекватной системы защиты базы данных клиентов, в том числе контроль работы персонала с персональными данными. Интересно, как будет оценен ущерб пострадавшим лицам и кто будет его компенсировать? Ведь с июля в законе появился пункт о возможности взыскания морального вреда субъектом персональных данных непосредственно с оператора...

Англоязычный ресурс по защите информации

В попытках улучшить свой английский, натолкнулась на интересный ресурс по защите информации. Есть статьи в открытом доступе, например. 

Немного личной радости :)

Сегодня пришел по почте февральский номер журнала "Директор по безопасности" с моей статьей! Очень приятно держать в руках настоящий бумажный журнал и знать, что приложил руку (и голову) к его созданию :) Всем желаю таких же позитивных эмоций, верьте в себя и все получится!:)

Статья в мартовском номере

Вышла моя статья в журнале "Директор по безопасности".

"С чего начать защиту информации на предприятии?"

Еще сравнительно недавно в России проблема защиты информации была связана исключительно с государственной и служебной тайной и касалась в основном государственных учреждений. Однако в настоящее время во многих частных организациях осознают, что информация – это ценнейший ресурс, который необходимо оберегать. В СМИ постоянно появляются сообщения о новых вирусах, хакерских атаках, утечках конфиденциальной информации и т. д. Принятие закона о персональных данных и проверки Роскомнадзора в этой области также многим специалистам по защите информации помогли найти работу. В совокупности это привело к тому, что многие руководители задумались, как оградить свой бизнес от угроз информационной безопасности и соблюсти требования действующего законодательства.

http://www.s-director.ru/magazine/archive/viewdoc/2012/3/488.html


Надеюсь, Вы найдете в ней для себя полезную информацию!