Нормативная база

Нормативная база

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили своё дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.

28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее — Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европарламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам — членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.)

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет уровни защищенности и новые типы информационных систем.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В 2008 году были приняты следующие документы (согласно Постановлению Правительства РФ № 781 — в настоящее время действие данного постановления отменено, однако методические материалы используются).

В 2012 году было принято новое Постановление Правительства № 1119[2][3], а в 2013 году введён в действие новый Приказ ФСТЭК № 21, а также очередные правки в Федеральном законе № 152 от 27.07.2011. Данные документы предъявляют новые требования к оператору персональных данных[4][5].

http://26.rkn.gov.ru/ Роскомнадзор по СКФО

Нормативно-правовая база по работе с персональными данными

 

 

 

 

 

 

 

 

 

Документы по персональным данным

 

  1. Приказ о приведении в соответствие с требованиями законодательства в области персональных данных

 

  1. Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных

 

  1. План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных

 

  1. Перечень должностей и третьих лиц, допущенных к обработке персональных данных

 

  1. Форма Обязательства о неразглашении персональных данных

 

  1. Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку

 

  1. Перечень обрабатываемых персональных данных

 

  1. Форма Согласия на обработку персональных данных

 

  1. Перечень информационных систем персональных данных

 

  1. Перечень применяемых средств защиты

 

  1. Технический паспорт информационных систем персональных данных

 

  1. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных

 

  1. Инструкция администратора безопасности информационных систем персональных данных

 

  1. Инструкция менеджера обработки персональных данных

 

  1. Положение по обработке персональных данных

 

  1. Политика компании в отношении обработки персональных данных

 

  1. Положение о защите персональных данных

 

  1. Уведомление об обработке персональных данных

 

  1. Регламент по проведению классификации информационных систем персональных данных

 

  1. Модель угроз безопасности персональных данных

 

  1. Протокол определения ущерба

 

  1. Акты классификации информационных систем персональных данных

 

  1. Техническое задание на систему защиты персональных данных

 

  1. Приказ об утверждении инструкции пользователя информационных систем персональных данных

 

  1. Инструкция пользователя информационных систем персональных данных

 

  1. Регламент по учёту, хранению и уничтожению носителей персональных данных

 

  1. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных

 

  1. Регламент по реагированию на запросы субъектов персональных данных

 

  1. Регламент по взаимодействию с органами государственной власти в области персональных данных

 

  1. Регламент по резервному копированию персональных данных

 

  1. Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности

 

Обработка персональных данных

Государственная услуга по ведению реестра операторов, осуществляющих обработку персональных данных, реализуется в соотвествии с Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных». Утвержден приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346. (DOC.)

Уведомление об обработке (о намерении осуществлять обработку) персональных данных.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1.01.2008.

Операторы, которые осуществляли обработку персональных данных до 1.07.2011, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1,10 и 11 части 3 статьи 22 Федерального закона, не позднее 1.01.2013.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит необходимые сведения, указанные в уведомлении в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

В случае предоставления неполных или недостоверных сведений, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Образцы документов:

  1. форма уведомления об обработке (о намерении осуществлять обработку) персональных данных (DOC)
  2. форма информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных (DOC)
  3. примерная форма уведомления об обработке (о намерении осуществлять обработку) персональных данных
  4. форма заявления о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных (DOC.,HTML.)
  5. форма заявления об исключении сведений об операторе из реестра операторов, осуществляющих обработку персональных данных (DOC.,HTML.)

Рекомендации по заполнению уведомлений по обработке персональных данных

Обратите внимание на характерные ошибки при оформлении Уведомлений об обработке персональных данных

Примерная форма Положения об обработке персональных данных (DOC.HTML.)