Обязанности оператора, обрабатывающего ПДн

1. Обязанности оператора при сборе ПДн.

2. Обязанности оператора, направленные на обеспечение выполнения оператором обязанностей, предусмотренных федеральным законом «О персональных данных».

3. Обязанности оператора по обеспечению безопасности ПДн при их обработке.

4. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.

5. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн.

6. Обязанности оператора уведомить уполномоченный орган по защите прав субъектов ПДн о своём намерении осуществлять обработку ПДн.

7. Обязанности оператора о назначении лица, ответственного за организацию обработки ПДн у юридического лица.

25. Общие обязательные требования по защите ПДн

1. ФЗ от 27.07.06 №152-ФЗ «О ПДн»

2. ПП РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в информационных системах…»

3. ПП РФ от 15.09.2008 №687 «Об утв. Положения об особенностях обработки ПДн, осуществляемых без использования средств автоматизации».

4. ПП РФ от 04.03.2010 №125 «О перечне ПДн, …».

5. Приказ Федеральной службы по техническому и экспертному контролю (ФСТЭК России) от 05.02.2010 №58 «Об утв. Положения о методах и способах защиты…».

6. Порядок проведения классификации инф систем Пдн, утверждённый приказом ФСТЭК, ФСБ, … от 13.02.2008 №55/86/20.

Общие обязательные требования по защите персональных данных

Обязательные требования – понятие

Обязательные требования – требования, установленные в нормативно-правовых актах.

Проверка – совокупность проводимых органом государственного контроля (надзора) в отношении ЮЛ и ИП мероприятий по контролю и оценке осуществления ими деятельности или действий (бездействий), производимых и реализуемых ими товаров (выполняемых работ, представляемых услуг) обязательным требованиям и требованиям, установленным муниципальными правовыми актами.

Контроль (надзор) за соблюдением требований технических регламентов – проверка выполнения юридическим лицом или индивидуальным предпринимателем требований технических регламентов к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации и принятие мер по результатам проверки.

Оценка соответствия, в т.ч. государственный контроль (надзор) за соблюдением обязательных требований к продукции (работам, услугам) - осуществляется в порядке, установленном Правительством РФ.

1.Общие обязательные требования по защите персональных данных

1. Наличие уведомления об обработке ПДн (ч.1 ст.22 ФЗ «О ПДн»).

2. Содержание уведомления (ч.3 ст.22 ФЗ «О ПДн», п.24 АР Роскомнадзора, утв.пр. Минкомсвязи России от 30.01.2010 №18).

3. Направление уведомления в случае изменения сведений о внесении изменений в него (ч.7 ст.22 ФЗ «О ПДн»).

4. Обработка ПДн может осуществляться Оператором с согласия субъектов ПДн, за исключением случаев, предусмотренных частью 2 статьи 6 (ч.1 ст.6 ФЗ «О ПДн»).

5. При поручении Оператором на основании договора обработки ПДн другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности ПДн и безопасности ПДн при их обработке (ч.4 ст.6 ФЗ «О ПДн»).

6. Операторами и третьими лицами, получающими доступы к ПДн, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7 (ч.1 ст.7 ФЗ «О ПДн»).

Обеспечение конфиденциальности ПДн не требуется:

· В случае обезличивания ПДн.

· В отношении общедоступных ПДн.

7. Обработка осуществляется только с согласия в письменной форме субъекта ПДн (ч.4 ст.9 ФЗ «О ПДн»).

8. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 (ч.1 ст.10 ФЗ «О ПДн»).

Обработка персональных данных допускается в случаях, если:

· СПДн дал согласие в письменной форме на обработку своих ПДн.

· ПДн являются общедоступными.

· ПДн относятся к состоянию здоровья субъекта ПДн и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия СПДн невозможно.

· …

9. Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические ПДн), могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных частью 2 статьи 11 (ч.1 ст.11 ФЗ «О ПДн»).

Обработка биометрических персональных данных может осуществляться без согласия СПДн в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ об оперативно-розыскной деятельности, законодательством РФ о гос.службе, уголовно-исполнительным законодательством РФ, …

10. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. Указанная обработка ПДн, если оператор не докажет, что такое согласие было получено (ч.1 ст.15 ФЗ «О ПДн»).

11. Если ПДн были получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены Оператору на основании федерального закона или если ПДн являются общедоступными, Оператор до начала обработки таких ПДн обязан предоставить субъекту ПДн информацию:

a. Наименование (ФИО) и адрес оператора или его представителя.

b. Цель обработки ПДн и её правовое основание.

c. Предполагаемые пользователи ПДн.

d. Установленные настоящим ФЗ права субъекта ПДн (ч.3 ст.18 ФЗ «О ПДн»).

12. При выявлении недостоверных ПДн или неправомерных действий с ними Оператора при обращении или по запросу субъекта ПДн или его законного представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование ПДн, относящихся к соответствующему субъекту ПДн, с момента такого обращения или получения такого запроса на период проверки (ч.1 ст.21 ФЗ «О ПДн»).

13. В случае подтверждения факта недостоверности ПДн Оператор на основании документов, представленных субъектом ПДн или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн и снять их блокирование (ч.2 ст.21 ФЗ «О ПДн»).

14. При выявлении неправомерных действий с ПДн Оператор в срок, не превышающий трёх рабочих дней с даты такого выявления, обязан устранить допущенные нарушения… (ч.3 ст.21 ФЗ «О ПДн»).

15. В случае достижения цели обработки ПДн …(ч.4 ст.21 ФЗ «О ПДн»).

16. При отзыве субъектом ПДн согласия на обработку своих ПДн Оператор …(ч.5 ст.21 ФЗ «О ПДн»).

26. Обязательные требования по защите информации при обработке ПДн в информационных системах ПДн (автоматизированная обработка) и без использования средств автоматизации

1. Проведение классификации информационной системы ПДн (п.6 ПП РФ от 17.11.2007 №781).

2. Наличие модели угроз безопасности ПДн (п.п. а) п.12 ППРФ от 17.11.2007 №781, п.16 приказа ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

3. Наличие приказа о составе комиссии по классификации информационных систем ПДн (п.18 приказа ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

4. Наличие акта оператора о классификации информационных систем ПДн (приказ ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

5. Наличие перечня технических средств, участвующих в обработке ПДн и их учёт (п.1 п.п. е) п.12 ППРФ от 17.11.2007 №781).

6. Обеспечение сохранности носителей ПДн и средств защиты информации, а также исключения возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (п.8 ППРФ от 17.11.2007 №781).

7. Наличие договоров о передаче обработки ПДн уполномоченному лицу (п.10 ППРФ от 17.11.2007 №781).

8. Меры (проведённые мероприятия), направленные на предотвращение НСД к ПДн (или) передачи их лицам, не имеющим права доступа к такой информации:
наличие помещения, выделенного для обработки ПДн (наименование, номер);
наличие перечня лиц, имеющих допуск в помещение;
наличие приказа о назначении сотрудников;
ответственных за обработку ПДн либо имеющих к ним доступ;
наличие отверждённого списка лиц, допущенных к ПДн для выполнения служебных (трудовых) обязанностей (п.п.а) п.11, п.14 ППРФ от 17.11.2007 №781, п.13 ППРФ от 15.09.2008 №687).

9. Меры по своевременному обнаружению фактов несанкционированного доступа к персональным данным (п.п.б) п.11 ППРФ от 17.11.2007 №781).

10. Меры по недопущению воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование; (п.п.в) п.11 ППРФ от 17.11.2007 №781).

11. Меры по возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним (п.п.г) п.11 ППРФ от 17.11.2007 №781).

12. Меры по постоянному контролю за обеспечением уровня защищённости ПДн (п.п.д) п.11 ППРФ от 17.11.2007 №781).

13. Наличие и содержание модели угроз безопасности ПДн при их обработке в ИС ПДн (п.п.а) п.12 ППРФ от 17.11.2007 №781).

14. Наличие разработанной на основе модели угроз, системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПД (п.п.б) п.12 ППРФ от 17.11.2007 №781).

15. Проведение проверки готовности средств защиты информации к использованию и наличие заключения о возможности их эксплуатации (п.п.в) п.12 ППРФ от 17.11.2007 №781).

16. Проведение установки и ввода в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией (п.п.г) п.12 ППРФ от 17.11.2007 №781).

17. Наличие обученных лиц, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними (п.п.д) п.12 ППРФ от 17.11.2007 №781).

18. Наличие учёта применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД и учёт лиц, допущенных к работе с ПДн в ИСПДн (п.п. е) и ж) п.12 ППРФ от 17.11.2007 №781).

19. Осуществление контроля за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией (п.п. з) п.12 ППРФ от 17.11.2007 №781).

20. Наличие разбирательств и составления заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищённости ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений (п.п. и) п.12 ППРФ от 17.11.2007 №781).

21. Наличие описания системы защиты ПДн (п.п. к) п.12 ППРФ от 17.11.2007 №781).

22. Наличие электронного журнала обращений на получение ПДн (п.15 ППРФ от 17.11.2007 №781).

23. Проведение тематических исследований и контрольных тематических исследований в целях проверки выполнения требований по безопасности информации в отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке в информационных системах (п.17 ППРФ от 17.11.2007 №781).

Обязательные требования при обработке ПДн без использования средств автоматизации

1. Наличие Правил обработки ПДн, осуществляемых без средств автоматизации (п.3 ППРФ от 15.09.2008 №687).

2. Наличие отдельных материальных носителей для каждой категории ПДн (п.4 и 5 ППРФ от 15.09.2008 №687).

3. Наличие типовых форм, в которых предполагается или допускается включение в них ПДн (п.7 ППРФ от 15.09.2008 №687).

4. Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПДн на территорию оператора (п.8 ППРФ от 15.09.2008 №687).

5. Организация раздельного хранения категорий ПДн (п.14 ППРФ от 15.09.2008 №687).

Информирование сотрудников, обрабатывающих ПДн о Правилах их обработки (п.6 ППРФ от 15.09.2008 №687).

27. Обязательные требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИС ПДн.

1. ФЗ от 30.12.2001 №197-ФЗ «ТК РФ».

2. ПП РФ от 04.03.2010 №125 «О перечне ПДн, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане РФ осуществляют выезд из РФ и въезд в РФ».

3. ПП РФ от 06.08.2008 №512 «Об утверждении…».

1. Выполнение требований к материальному носителю биометрическому носителю ПДн, который должен обеспечивать (п.4 ПП РФ от 06.07.2008 №612):

a. Защиту от несанкционированной повторной и дополнительной записи сведений после её извлечения из ИС ПДн.

b. Возможность доступа к записанным на материальный носитель биометрическим ПДн только уполномоченным лицам.

c. Возможность идентификации ИС ПДн, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществляющего такую запись.

d. Невозможность НСД к биометрическим ПДн, содержащимся на материальном носителе.

2. Наличие утверждённого порядка передачи материальных носителей уполномоченным лицам (п.5 ПП РФ от 06.07.2008 №512).

3. Определение срока использования носителя (п.6 ПП РФ от 06.07.2008 №512).

4. Наличие учёта количества экземпляров материальных носителей и присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических ПДн на материальный носитель (п.8 ПП РФ от 06.07.2008 №512).

5. Наличие электронных цифровых подписей или иных информационных технологий при записи дополнительной информации, имеющей отношение к биометрическим ПДн (п.10 ПП РФ от 06.07.2008 №512).

6. Наличие требований хранения ПДн вне ИС ПДн (п.9, 11, 12 ППРФ от 06.07.2008 №512).

28. Обязательные требования по защите ПДн работника.

Понятия

ПДн работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка ПДн работника – получение, хранение, комбинирование, передача или любое другое использование ПДн работника.

Не нашли, что искали? Воспользуйтесь поиском по сайту: