вторник, 13 мая 2014 г.

Законодательство в области защиты персональных данных

Добрый день, дорогие читатели! В связи с тем, что законодательство в области персональных данных довольно-таки часто меняется, решила составить шпаргалку актуальных нормативно-правовых актов. Естественно, с полнотой списка можно спорить, я выделила для себя в качестве основных следующие документы (в скобках приведены мои посты в тему):

1. Федеральный закон от 19 декабря 2005 г. №160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" - документ с которого все собственно говоря и началось, рекомендую к прочтению начинающим защитникам персональных данных для общего развития и формирования "комплексного подхода". 

2. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" - без этого закона мы с вами никуда, почитать нужно, но если очень торопитесь, то документ не первой важности.

3. Федеральный закон от 7 мая 2013 г. №99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных" - здесь про то, на что Конвенция повлияла, интересное чтение для общего развития.

4. Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" - очень важный и очень короткий документ. Вы будете ссылаться на него при проведении служебных проверок и оформлении писем в надзорные органы.

5. Указ Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" - для госслужащих обязательно.

6. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" - основа основ, с каждым прочтением открываю для себя новые смыслы, хоть и занимаюсь защитой персональных данных 5 лет. Что радует, только вроде бы начинаешь понимать что-то, как вносятся изменения и можно снова углубиться в чтение и приятные раздумья :)

7. Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" - очень-очень важный документ, про который часто забывают, но Роскомнадзор в своих проверках на него часто ссылается.

8. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 - трудный для чтения и понимания документ, пока действующий, но статус его несколько непонятен.

9. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - см. пункт 8.

10. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" - все меры защиты здесь (ссылка).

11. Приказ "Об утверждении требований и методов по обезличиванию персональных данных" от 05.09.2013 года N 996 - очень интересный документ, но чур не читать его без пункта 12 (ссылка).

12. "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" - ключ к пониманию пункта 11.

13. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - про классификацию систем все найдете здесь (ссылка).

14. Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" - важно прочитать, чтобы знать, насколько нежелательно хранить биометрические данные в электронном виде.

15. Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" - для госслужащих (ссылка).

16. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» - о том, как вас будут проверять.

17. Приказ Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" - как заполнить самый первый документ - уведомление об обработке персональных данных, не читать без пункта 18.

18. Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» - важное дополнение пункта 17 (ссылка).

Добавлено по рекомендации Андрея Прозорова (блог):
19. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" - для госслужащих.

20. Методический документ ФСТЭК России от 11 февраля 2014 "Меры защиты информации в государственных информационных системах" - для госслужащих (ссылка на сайте ФСТЭК).

21. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве  - интересное чтение (ссылка на сайте Роскомнадзора). 

22. Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным  - решение спорного вопроса (сылка на сайте Роскомнадзора). 


Вот и весь список, напишите мне, если забыла что-то важное, обязательно поправлю. 
Если кому-то интересно, то можно посмотреть насколько изменилась ситуация в законодательстве за 2 года - ссылка на мою старую презентацию по защите персональных данных здесь.


9 комментариев:

  1. Привет! Я бы еще добавил приказ 17 от ФСТЭК (если в ГосИС есть ПДн, то защищаем по нему), рекомендации ФСТЭК по защите ГосИС (меры из 21 приказа разъяснения в нем), 2 разъяснения РКН по ПДн (про работников и биометрию). Подробнее посмотри тут http://80na20.blogspot.ru/2014/04/blog-post_17.html

    ОтветитьУдалить
    Ответы
    1. + проверь редакции фз (а лучше их вообще убери). Наизусть не помню, но вроде указала старые версии

      Удалить
  2. + надо помгить, что для многих отраслей (а не только госов) есть доп.рекомендации и требования по защите ПДн, это и в медицине и в страховании, и в пенсионном и пр.

    ОтветитьУдалить
  3. Поправила, Андрей, спасибо за дельные замечания! А вот такое информационное сообщение - http://www.consultant.ru/document/cons_doc_LAW_149358/ - видел?

    ОтветитьУдалить
  4. Мне кажется эти разъяснения тоже нужно добавить, только сначала найду ссылку на текст, в консультанте документ закрыт :)

    ОтветитьУдалить
  5. Документ доступен нс сайте ФСТЭК, на мой взгляд, он ничего особо нового не дает, а скорее пересказывает

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. Есть ещё такой документ ФСБ - "Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных"

    ОтветитьУдалить