Оператор персональных данных

Содержание

Статья 18. Обязанности оператора при сборе персональных данных
 

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см. текст в предыдущей редакции) 1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона. 2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. 4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если: 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц. 5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. (часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ) Открыть полный текст документа

Защита персональных данных

Материал из RSU WiKi Перейти к: навигация, поиск

Введение

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных .

Подача уведомления об обработке персональных данных

  • Уведомление об обработке (о намерении осуществлять обработку) персональных данных

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица .

Наименование оператора

Типичные ошибки :

  • не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН
  • несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая — номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов .

  • Конституция РФ (ст. 23-24, ч.1 ст.26);
  • Трудовой кодекс РФ (ст. 65, ст.85-90);
  • Гражданский кодекс РФ;
  • Закон РФ «Об образовании» от 10.07.1992 N 3266-1;
  • Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (ст. 7-9);
  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ст.5-22);
  • Федеральный закон от 27.08.2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации» (ред. от 13.05.2008);
  • Федеральный закон от 22.09.1996 г. N 125-ФЗ «О высшем и послевузовском профессиональном образовании»;
  • Приказ Минобрнауки РФ от 21.10.2009 №442 «Об утверждении Порядка приема граждан в имеющие государственную аккредитацию образовательные учреждения высшего профессионального образования» (Зарегистрировано в Минюсте РФ 10.12.2009 №15495);
  • Приказ Минобрнауки РФ от 15.04.2009 №133 «Об утверждении Порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации» (Зарегистрировано в Минюсте РФ 29.06.2009 №14147)
  • Постановление Правительства РФ «Об утверждении Положения о воинском учете» от 27.11.2006 № 719 (разделы III, VI);
  • Устав учреждения … (утвержден приказом Министерства образования и науки Российской Федерации от …);
  • Лицензия от …, серия …, регистрационный номер …;
  • Положение об архиве … от …;

Цель обработки персональных данных

По сути, цель обработки — указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности .

  • удовлетворение потребностей личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования;
  • удовлетворение потребностей общества и государства в квалифицированных специалистах с высшим и средним профессиональным образованием, в научно-педагогических кадрах высшей квалификации;
  • подготовка, переподготовка и повышение квалификации работников с высшим образованием, научно-педагогических работников высшей квалификации, руководящих работников и специалистов по профилю вуза;
  • распространение знаний среди населения, повышение его образовательного и культурного уровня;
  • выполнение требований законов и других нормативных правовых актов РФ;
  • обработка персональных данных для целей кадрового делопроизводства;
  • обеспечение выполнения условий трудового договора;
  • выполнение требований закона о воинском учёте;
  • создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;
  • создание условий для начисления заработной платы, оплаты листков нетрудоспособности, пособий и предоставления льгот, установленных законодательством;
  • создание условий, требуемых законом для подготовки документов для присуждения учёной степени, присвоении учёного звания, прохождения конкурсного отбора.

Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве .

Категории субъектов, персональные данные которых обрабатываются

Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях .

  • Работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (соискатели должности; абитуриенты, студенты, бывшие струдники), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором);

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

  • сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), уничтожение.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах),
  • защита паролем компьютеров с персональными данными,
  • использование системы паролей при работе в сети (портале)
  • ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях .

  • Защита от несанкционированного физического доступа к информации (хранение ПД в закрытых шкафах, ящиках, сейфах), защита паролем компьютеров с персональными данными, использование системы паролей при работе в сети, ограничение доступа к компьютерной технике, использование межсетевых экранов.

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными .

  • Дата основания организации или дата присвоения ИНН.

Условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» .

  • Прекращение деятельности юридического лица.

Сертифицированное ПО

Способы удешевления сертификации:

  1. Перевод рабочих мест, обслуживающих и хранящих ПД на клиент-серверные технологии, например Microsoft Terminal Services; т.о. можно сократить затраты на приобретение спец. ПО в разы;

Kaspersky BusinessSpace Security Certified Media Pack

В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.

Медиа-пак – необходимый для установки, конфигурирования и использования продукта набор программ (дистрибутив). Поставляется в комплекте с лицензиями Kaspersky Business Space Security .

1C: Предприятие 8.2z

«1С:Предприятие, версия 8.2z» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну (сертификат соответствия № 213 от 20.07.2010 г., выданный ФСТЭК России) .

Примечания

  1. ↑ Федеральный закон «О персональных данных». Материал из Википедии — свободной энциклопедии
  2. ↑ 2,0 2,1 2,2 2,3 2,4 Управление Роскомнадзора по Республике Хакасия. Защита персональных данных. Разъяснения по заполнению уведомления об обработке персональных данных.
  3. ↑ 3,0 3,1 3,2 3,3 3,4 Управление Россвязькомнадзора по Воронежской области. Анализ типичных нарушений при заполнении уведомлений об обработке персональных данных в 2008 г. – январе 2009 г.
  4. ↑ http://www.softmark.ru/catalog/soft/element.php?ID=24384
  5. ↑ О выпуске защищенного программного комплекса «1С:Предприятие, версия 8.2z»

См. также

  • Антивирус Касперского
  • Консоль управления PERCo-S-20

Ссылки

  • Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
Университет
Правила Памятка • Электронная почта • Интернет • Бесплатный интернет в читальном зале • Правила именования рабочих машин и подачи списка IP-адресов в Отдел телекоммуникаций • Правила оформления списка литературы • Правила электронной переписки
Бланки Заправка картриджаПодключение компьютеров к локальной сетиЗаявление СОТРУДНИКА для подключения к интернету и электронной почтеЗаявление СТУДЕНТА для подключения к электронной почтеВидеосъемка силами Медиа-центраОбеспечение техническими средствами обученияДокладная о назначении уполномоченного по качеству
Почта Настройка почтовых клиентов • ЧаВО по работе с почтой • Документооборот на платформе CommuniGatePro • Сбор почты с внешних POP3 серверов •
IP-телефония Справочник IP-номеров • Настройка IP-телефонов • Настройка голосовой почты и переадресации звонков
Университетский портал Официальный сайт РГУ • Требования к содержанию и оформлению информационных материалов подразделений РГУ • Специфика «новостей» информационных агентств • Сервер точного времени ntp.rsu.edu.ru • Типичная настройка сети университета
Рекомендации Подключение к сети университета через VPN • Восстановление файлов на сетевом хранилище • Как создать документ PDF • Рекомендации по проведению видеоконференций • Рекомендации по телекоммуникационным узлам • Руководство по работе с сервером people.rsu.edu.ru • Миграция локальных учетных записей на доменные • • Правила именования документов • Правила электронной переписки • Создание обучающего курса в среде Moodle • Создание скриншота ошибки • Работа с самоподписным ssl-сертификатом

Как известно с 1 июля 2017 года по поправкам к Закону 152-ФЗ «О персональных данных» все, кто собирает персональные данные должны зарегистрироваться, как «обработчики персональных данных» в Роскомнадзоре в реестре операторов обработки персональных данных.

Подробнее о поправках к Закону 152-ФЗ, о том, как его соблюдать, какие действия с сайтами нужно произвести я рассказала в статье и видео «Как оформить сайт с учётом требований Закона 152-ФЗ «О персональных данных».

Уже не раз наблюдала у людей панику по поводу регистрации в Роскомнадзоре, но всё не так сложно и печально, как кажется на первый взгляд.

У меня процесс регистрации занял 4 дня: 1 день я подготовила информацию и заполнила форму на сайте Госуслуг и 3 дня ушло на рассмотрение и принятие моего заявления и присвоение регистрационного номера 55-17-001476.

Я хочу поблагодарить Ярослава Мирошникова, который написал о том, как он проходил регистрацию и я, по его подсказкам и шаблонам, смогла сделать это уже без возвратов, очень быстро и просто.

Сейчас разберёмся, как пройти регистрацию в Роскомнадзоре.

В видео я показываю, как заполнить заявление и какой должен быть ответ от Роскомнадзора. А под этим видео размещены шаблоны от Ярослава для заполнения Заявления.

В общем, смотрите видео и всё станет просто и понятно…

Ниже прописаны тексты для заполнения Заявления. Копируйте, корректируйте под себя и подставляйте в соответствующие поля в форму на сайте Госуслуги.

Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных

Шаг 1. Порядок подачи заявления
Согласие с порядком (птичка в чекбоксе)
Шаг 2. Личные данные заявителя
2.1 Сведения о заявителе
2.2 Паспортные данные
2.3 Адрес регистрации
Шаг 3. Правовое основание обработки персональных данных
Руководствуясь Конституцией Российской Федерации; Трудовым кодексом Российской Федерации (Федеральным законом от 30.12.2001 № 197-ФЗ); Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя Ваш номер ОГРНИП от дата регистрации.
Шаг 3. Цель обработки персональных данных
C целью обработки, регистрации сведений, необходимых для оказания услуг в области образования и маркетинга (Для подготовки образовательных материалов, а также для индивидуальной подачи материалов в обучающей емейл-рассылке, информационной емейл-рассылке и в статьях на сайте. Для выполнения договорных обязательств (например : ФИО и адрес для доставки оплаченного товара).
Шаг 3. Описание мер, предусмотренных статьями 18.1. и 19
По Статье 18.1. – 1) Ответственное лицо назначено; 2) Документация составлена, и издана; 3) Технические меры обеспечения подготовлены и применены (например использование Сертификатов Безопасности, для подключения к Сайту по https протоколу); 4) Внутренний контроль и аудит мер обеспечения безопасности проводится, и будет проводиться регулярно; 5) Вред в случае нарушения ФЗ — оценён, ущерб будет минимальный, меры предотвращения подготовлены; 6) Работники ознакомлены; По Статье 19. – Угрозы определены; Меры противодействия нарушению закона определены и применены; Контроль и учёт машинных носителей ведётся; Меры обнаружения и контроля за безопасностью данных — применены; Хранение сведений (базы данных) организовано на электронных носителях с паролем, на бумажных носителях — в сейфе. Средства обеспечения безопасности: пароли, строгое разграничение доступа, использование средств антивирусной защиты.
Шаг 3. Средства обеспечения безопасности
Использование только легального лицензионного ПО; Использование подключений по защищённым протоколам к сайтам и базам данных; Хранение ключей-доступов к сайтам и базам данных в защищённом зашифрованном хранилище, с ограниченным доступом; Утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц осуществляющих обработку персональных данных.
Шаг 3. Сведения об обеспечении безопасности персональных данных…
Определены угрозы безопасности персональных данных; установлен уровень защищенности персональных данных при их обработке в информационной системе; назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; организован режим обеспечения безопасности помещения, в котором размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этом помещении лиц, не имеющих права доступа в это помещение; обеспечена сохранность носителей персональных данных. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места.
Шаг 3. Дата начала обработки персональных данных
Ставьте дату регистрации ИП или ООО.
Если Вы физ.лицо, то дату начала работы с персональными данными.
Шаг 3. Условие прекращения обработки
Прекращение деятельности ИП; Удаление сайта; Закрытие сайта; Сообщение предоставившего персональные данные, отправленное по емейл, почте, в личные сообщения в соц.сети о том, что он не желает более предоставлять свою персональную информацию и хочет её удалить, или нажатие на специальную кнопку в письме отправленному по емейл, которое мгновенно приведёт к удалению персональных данных в Базе Данных.
Шаг 3. Наименование используемых криптографических средств
SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации.
Шаг 4.2. Сведения об информационной системе
Наименование ИС: Собственная ИС

Категории персональных данных: Выбираете из предложенного списка (ставите галочки)

Специальные категории персональных данных: Не заполнено

Биометрические персональные данные: Нет (если есть, прописываете)

Другие категории персональных данных, не указанные в данном перечне: Адрес электронной почты (e-mail адрес); Телефон (добавляете то, что Вам нужно и чего не было в перечне)

Категории субъектов, персональные данные которых обрабатываются: Физические лица; Юридические лица (если работаете только с физ.лицами, то юр. лица не пишите и наоборот)

Перечень действий с персональными данными, способы обработки: уничтожение, обезличивание, уточнение (обновление, изменение), использование, систематизация, хранение, сбор, накопление.

автоматизированная

Без передачи по внутренней сети юридического лица

С передачей по сети Интернет

Осуществление трансграничной передачи персональных данных: Нет

Использование шифровальных (криптографических) средств: Да (если не используете, то «нет»)

Наименование используемых криптографических средств: SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации

Класс СКЗИ: КС2

Шаг 4.3. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Адрес физического расположения серверов хостинга.
Шаг 4.4. Сведения об организации, ответственной за хранение данных
Наименование и юридический адрес, ОГРН/ОГРНИП хостера.

Ответственный за организацию обработки персональных данных: Индивидуальный предприниматель (или физ.лицо)

Наименование: Фамилия Имя Отчество

Контактная информация: полный адрес, номер телефона, эл. почта

ФИО лица, подписавшего заявление: Ваше ФИО

Направить в территориальное управление Роскомнадзора по: Ваш регион

Ссылки о которых говорится в видео:

Сайт Госуслуги: https://www.gosuslugi.ru

Примеры региональных сайтов Роскомнадзора: