Защита персональных данных при автоматизированной обработке

Информационная поддержка по вопросу: "Защита персональных данных при автоматизированной обработке" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

№ 4. Автоматизированная и неавтоматизированная обработка персональных данных

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. С автоматизированной обработкой персональных данных всё понятно, но вопрос о том, что же является неавтоматизированной обработкой остается открытым.

В соответствии с пунктом первым Положения, утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Указанные понятия при первом прочтении сбивают с толка, но при тщательном изучении всё становится более-менее понятным. Так, видимо, наши нормотворцы подразумевали, что использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Данная статья отредактирована с учетом изменений Федерального закона «О персональных данных», вступивших в силу 27 июля 2011 года.

Источник: http://data-sec.ru/personal-data/processing/

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 15 сентября 2008 г. N 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением.

3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

Председатель Правительства
Российской Федерации

15 сентября 2008 г.

Положение
об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
(утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

I. Общие положения

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

Читайте так же:  Выезд за границу при смене

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Любые сведения о гражданине (фамилия, имя, отчество, дата и место рождения, адрес, семейное положение и т.п.) составляют персональные данные о нем. Законодательством РФ допускается их обработка, в том числе сбор, хранение, уточнение, использование и уничтожение.

Определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации. При этом действия с такими сведениями в отношении каждого из лиц производятся при непосредственном участии человека. Предусмотрено, что в таком случае данные должны отделяться от другой информации (путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм). При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.

Лица, работающие со сведениями без использования автоматизированных средств, должны знать о способе и особенностях их обработки, категориях данных. При этом в отношении каждой категории следует определить место хранения материальных носителей и установить перечень лиц, причастных к обработке.

Постановление вступает в силу по истечении 1 месяца со дня его официального опубликования.

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования

Текст постановления опубликован в «Российской газете» от 24 сентября 2008 г. N 200, в Собрании законодательства Российской Федерации от 22 сентября 2008 г. N 38 ст. 4320

Читайте так же:  Статья о вынесении судебного приказа

Источник: http://base.garant.ru/193875/

Защита персональных данных при автоматизированной обработке

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

«Лекторы – ведущие эксперты, непосредственные разработчики законов:
В. В. Витрянский, Л. Ю. Михеева, Е. А. Суханов, А. А. Маковская. Принять участие можно очно/ онлайн или в записи, в любой точке страны!»

Сообщение МИД России от 21 мая 2013 г. О вступлении в силу для РФ Конвенции о защите физических лиц при автоматизированной обработке персональных данных

Постоянный представитель Российской Федерации при Совете Европы А.Ю. Алексеев передал в Страсбурге 15 мая 2013 года на хранение Генеральному секретарю Совета Европы (СЕ) Т. Ягланду грамоту о ратификации нашей страной Конвенции СЕ о защите физических лиц при автоматизированной обработке персональных данных (документ № 108 в Серии договоров Совета Европы — СДСЕ 108).

Тем самым Россия завершила процедуру ратификации одного из важнейших международных договорно-правовых актов в области защиты прав человека в процессе использования современных информационно-коммуникационных технологий (ИКТ).

Это является значительным шагом на пути к полноформатному участию Российской Федерации в усилиях государств-членов Совета Европы по укреплению безопасности человека в киберпространстве и общеевропейского правового пространства.

Присоединение к Конвенции позволит нашей стране активно участвовать в работе по модернизации её нынешнего текста.

Конвенция СЕ, принятая в 1981 году, является исторически первым международным договором, по сути глобального значения, который содержит юридически обязывающие нормы в области защиты персональных данных. Его задача — обеспечение реализации прав человека на уважение частной жизни и свободу информации, зафиксированных в Статьях 8 и 10 Европейской конвенции о защите прав человека и основных свобод.

Для решения этой задачи Конвенция предусматривает обязанность государств-участников соблюдать при автоматизированной обработке персональных данных принципы справедливости, законности, пропорциональности, адекватности, точности, конфиденциальности, уведомления субъекта данных и его права на доступ к данным о себе.

Устанавливается свободный характер трансграничной передачи персональных данных, однако допускаются ограничения в отношении отдельных категорий данных либо в отношении государств, не участвующих в Конвенции и не имеющих аналогичного уровня гарантий защиты данных. Учреждается специальный механизм сотрудничества между Сторонами Конвенции, предусмотрена возможность оказания помощи субъектам данных, постоянно проживающим за границей.

Конвенция подписана Россией 7 ноября 2001 года, после чего была проведена значительная работа по имплементации положений Конвенции в российское законодательство.

Последним этапом этой работы стало подписание Президентом Российской Федерации 7 мая 2013 года Федерального закона № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Внесены изменения в 14 законодательных актов, среди которых Трудовой кодекс, Гражданский процессуальный кодекс, федеральные законы о прокуратуре, об актах гражданского состояния, о негосударственных пенсионных фондах, о государственной социальной помощи, о государственном банке данных о детях, оставшихся без попечения родителей, о связи, о лотереях и другие. Изменения направлены на соблюдение конфиденциальности и обеспечение защиты персональных данных в регулируемых этими актами сферах, а также уточнение случаев получения согласия субъекта персональных данных на их обработку либо случаев, когда такого согласия не требуется.

В рамках ратификационного процесса в российском законодательстве сформулированы правила передачи персональных данных абонентов третьим лицам, которые позволяют эффективно и оперативно организовать работу системы вызова экстренных оперативных служб через единый номер «112», обеспечить введение принципа переносимости мобильных номеров (MNP) и упростить процедуру присоединения сетей электросвязи.

В результате внесения поправок в российское законодательство усилена защита персональных данных в сфере трудовых отношений. В частности, все персональные данные работника или соискателя необходимо получать у него самого или от третьих лиц при письменном согласии указанного лица. Не допускается обработка работодателем персональных данных работника о его политических, религиозных и иных убеждениях. Также указана обязанность государственных органов соблюдать конфиденциальность дактилоскопической информации и обеспечивать ее безопасность.

Конвенция вступит в силу для России с 1 сентября 2013 года.

Присоединение Российской Федерации к Конвенции создает условия для продолжения модернизации российского законодательства в области защиты персональных данных и наработки практического опыта гражданами Российской Федерации, федеральными органами власти и представителями ИКТ-сообщества в выстраивании государственно-частного партнерства в рамках дальнейшего совершенствования в Российской Федерации безопасной киберсреды.

Обзор документа

15 мая 2013 г. Россия завершила процедуру ратификации Конвенции СЕ о защите физлиц при автоматизированной обработке персональных данных.

Она была подписана Россией 7 ноября 2001 г. По ее условиям государства-участники обязаны соблюдать при автоматизированной обработке персональных данных принципы справедливости, законности, пропорциональности, адекватности, точности, конфиденциальности, уведомления субъекта данных и его права на доступ к данным о себе.

В рамках ратификационного процесса в российском законодательстве сформулированы правила передачи персональных данных абонентов третьим лицам, которые позволяют организовать работу системы вызова экстренных оперативных служб через единый номер «112», обеспечить введение принципа переносимости мобильных номеров (MNP) и упростить процедуру присоединения сетей электросвязи.

В результате внесения поправок в российское законодательство усилена защита персональных данных в сфере трудовых отношений. В частности, все персональные данные работника или соискателя необходимо получать у него самого или от третьих лиц при письменном согласии указанного лица. Не допускается обработка работодателем персональных данных работника о его политических, религиозных и иных убеждениях. Также указана обязанность госорганов соблюдать конфиденциальность дактилоскопической информации и обеспечивать ее безопасность.

Читайте так же:  Повестка суд приставов

Конвенция вступит в силу для России с 1 сентября 2013 г.

Видео (кликните для воспроизведения).

Источник: http://www.garant.ru/products/ipo/prime/doc/70281462/

Неавтоматизированная обработка персональных данных

«Бухгалтерия и банки», 2010, N 9

Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных Российская Федерация подписала в Страсбурге 7 ноября 2001 г. и ратифицировала 19 декабря 2005 г. .

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.
Федеральный закон от 19.12.2005 N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Примечание. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Но, несмотря на то что основной целью Конвенции является «обеспечение права на неприкосновенность личной сферы в связи с автоматизированной обработкой персональных данных» , Российская Федерация заявила, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если ее применение соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации .

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.
Федеральный закон от 19.12.2005 N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее — Положение).

Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Примечание. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Согласно Положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Примечание. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.

Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.

Типовые формы также должны:

  • при необходимости получения письменного согласия на обработку персональных данных содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных;
  • быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться только со своими персональными данными;
  • исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.


При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Уточнение персональных должно осуществляться путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.

При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.

Чтобы выполнить требования Положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.

Примечание. В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур — потеря доверия клиентов и падение конкурентоспособности.

Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.

В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.

Читайте так же:  Встречное исковое заявление в мировой суд

В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.

Лучше установить строго определенный перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.

Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учетом требований Положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.

В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.

Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объемного пакета документов, который должен содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.

Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространенных замечаний Роскомнадзора по результатам проверок операторов — это несоответствие типовых форм документов законодательству).

Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется Положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учета, контроля доступа к ним и т.д.

Примечание. Законодательством РФ предусмотрены следующие санкции:

  • меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
  • направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
  • административное приостановление деятельности, приостановка действия или лишение лицензий;
  • конфискация несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования;
  • штрафные санкции;
  • лишение права занимать определенные должности или заниматься определенной деятельностью;
  • обязательные работы;
  • исправительные работы;
  • арест;
  • лишение свободы на определенный срок;
  • дисциплинарная и материальная ответственность.

При реализации требований Федерального закона «О персональных данных» необходимо помнить, что обработка персональных данных включает два аспекта: формирование информационной системы персональных данных и последующую обработку с использованием средств автоматизации или без использования таких средств.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».

При необходимости обработки персональных данных оператор должен выполнять определенную последовательность действий, в том числе уведомить по предусмотренной форме уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор — о намерении осуществлять обработку данных, удостовериться, что персональные данные получены с соблюдением требований законодательства и соответствуют заявленным целям обработки, т.е. данные получены либо из открытого источника, либо во исполнение федерального закона, либо с соответствующим согласием субъекта и т.д.

При этом не стоит забывать, что персональные данные относятся к категории конфиденциальной информации и могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.д.). В режиме личной тайны — сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных.

ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

На этапе выбора конкретных мер по обеспечению безопасности персональных данных в зависимости от способа их обработки необходимо руководствоваться соответствующими нормативно-правовыми актами.

При этом следует обратить внимание на нечеткость в терминологии:

  • Закон не определяет понятие «автоматизированная обработка»;
  • в соответствии с Положением обработка считается неавтоматизированной, если она осуществляется при непосредственном участии человека;
  • в соответствии с ГОСТ 34.003-90 автоматизированным считается процесс, осуществляемый при совместном участии человека и средств автоматизации;
  • Конвенция же гласит, что «автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или (и) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение».

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера».

Возможно, чтобы понять разницу между автоматизированной и неавтоматизированной обработкой, необходимо обратиться к цели защиты персональных данных и причинам разделения этих понятий, которые заключаются в различии технологий, а соответственно, и в способах получения несанкционированного доступа к персональным данным в зависимости от способа их обработки. А ведь именно защита прав и свобод человека и гражданина при обработке его персональных данных является целью Федерального закона «О персональных данных».

Читайте так же:  Ревизионная комиссия нотариальной палаты

В любом случае защиту персональных данных необходимо обеспечивать вне зависимости от способов обработки. Для того чтобы избежать негативных последствий, в том числе гражданской, уголовной и административной ответственности за нарушение требований по обработке персональных данных, сделать это нужно до 1 января 2011 г. .

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».

Источник: http://wiseeconomist.ru/poleznoe/60572-neavtomatizirovannaya-obrabotka-personalnyx-dannyx

Статья 7. Порядок обработки персональных данных без использования средств автоматизации

Статья 7. Порядок обработки персональных данных без использования средств автоматизации

1. Обработка персональных данных без использования средств автоматизации (далее — неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

3. При неавтоматизированной обработке персональных данных на бумажных носителях:

1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовые формы), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, — при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

>
Цели обработки персональных данных (ст.ст. 8)
Содержание
Постановление Главы муниципального образования — Пеньковское сельское поселение Пителинского муниципального района Рязанской.

Вы можете открыть актуальную версию документа прямо сейчас.

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Видео (кликните для воспроизведения).

Источник: http://base.garant.ru/36131768/e88847e78ccd9fdb54482c7fa15982bf/

Защита персональных данных при автоматизированной обработке
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here