Защита персональных данных является одной из основополагающих задач системы обеспечения информационной безопасности в организации любых видов деятельности и любой организационно-правовой формы.
Законодательство Российской Федерации в области персональных данных (далее – ПДн) возлагает на государственный орган, муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку ПДн, обязанности по принятию мер, необходимых и достаточных для обеспечения адекватной защиты ПДн, исключения нарушения их конфиденциальности.
Процесс организации обработки ПДн в соответствии с требованиями законодательства Российской Федерации может быть условно разделен на несколько этапов:
Изучение основополагающих нормативно-правовых актов в сфере защиты
ПДн:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Определение состава обрабатываемых ПДн, целей, условий и законных оснований их обработки, сроки хранения различных категорий ПДн, а также границ, в пределах которых будут осуществляться мероприятия по реализации требований законодательства.
Назначение лица, ответственного за организацию обработки персональных данных, с возложением на него обязанностей, предусмотренных ч. 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Разработка организационно-распорядительных документов (локальных актов) по вопросам защиты ПДн, обрабатываемых как автоматизированным (с помощью электронно-вычислительной техники), так и неавтоматизированным способом. Такими документами являются:
- политика оператора персональных данных в отношении обработки ПДн, содержащая сведения о реализуемых требованиях к защите ПДн. При осуществлении сбора ПДн с использованием сайта в сети Интернет, оператор обязан разместить на соответствующем сайте документ, определяющий его политику в отношении обработки ПДн, сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу.
- перечень обрабатываемых ПДн;
- перечень лиц (должностей), допущенных до обработки ПДн;
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДН, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
- перечень информационных систем ПДн;
- перечень мест хранения персональных данных и требования к обеспечению безопасности ПДн при их хранении;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- перечень информационных систем персональных данных и их характеристики;
- типовые формы документов, характер информации в которых предполагает или допускает включение в них ПДн, соответствующие условиям, предусмотренным Постановлением Правительства РФ от 15.09.2008 № 687;
и др.
Ознакомление сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательстваРоссийской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
Уведомление уполномоченного органа на защите ПДн – Роскомнадзор (территориальный орган Роскомнадзора в субъекте Российской Федерации) об обработке (намерении осуществлять обработку) ПДн.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать сведения, предусмотренные ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае изменения указанных сведений, а также в случае прекращения обработки ПДн оператор обязан уведомить об этом уполномоченный орган в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных, путем направления информационного письма.
Формы уведомления, информационного письма о внесении изменений и порядок заполнения размещены на портале персональных данных (http://pd.rkn.gov.ru) и на интернет-странице Управления Роскомнадзора по Калужской области (http://40.rkn.gov.ru).
После заполнения формы уведомления или информационного письма на портале персональных данных или официальном сайте Управления Роскомнадзора по Калужской области и отправки их в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Калужской области по адресу: Дзержинского ул., д. 1/46, г. Калуга, 248000.
Консультацию по заполнению можно получить по телефону: (4842) 27-73-15.
Управление Роскомнадзора по Калужской области обращает внимание операторов, включенных в реестр операторов персональных данных, на необходимость проверки актуальности сведений, внесенных в реестр, и подачи информационных писем в случае изменений внесенных сведений. Ознакомиться с информацией, содержащейся в общедоступной части реестра, можно на портале персональных данных по адресу http://pd.rkn.gov.ru/operators-registry/operators-list/,
указав ИНН организации.