Защита персональных данных

О защите персональных данных

Правовые основы обработки персональных данных в РФ
Федеральные законы Российской Федерации:
• федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• федеральный закон РФ от 27.07.2006 № 149-ФЗ «О персональных данных»;  
• федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
• федеральный закон РФ от 27.12.2009 № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»;
• федеральный закон РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;  
Постановления и распоряжения правительства:

 • постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»; 
 • постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;  
 • постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;   
Организационно-методические и распорядительные документы регулирующих структур:
 •Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
 •Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; 
• приказ руководителя Роскомнадзора от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»;
• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн» (утверждена директором ФСТЭК от 15.02.2008);
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» (утверждена директором ФСТЭК от 15.02.2008);
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации» (утверждены директором ФСБ от 21.02.2008); 
• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн» (утверждены директором ФСБ от 21.02.2008);
• «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» (утверждены минздравсоцразвития 23.12.2009) ОБРАТИТЕ ВНИМАНИЕ!!! По ссылке можно найти сам документ, перечень документов, которые необходимо разработать в каждом учреждении и типовые формы этих документов в приложении  www.minzdravsoc.ru/docs/mzsr/informatics/5
  • «Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке в ИСПДн учреждений здравоохранения, социальной сферы, труда и занятости» (утверждены минздравсоцразвития 23.12.2009)  www.minzdravsoc.ru/docs/mzsr/informatics/5

Общий порядок действий учреждения по выполнению требований
федерального закона № 152-ФЗ «О персональных данных»

1. Определить структурное подразделение или должностное лицо,ответственное за обеспечение безопасности ПДн (персональных данных).
2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн.
3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме.
4. Определить порядок реагирования на запросы со стороны субъектов персональных данных.
5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление в Роскомнадзор. Для удобства предоставления уведомления создана электронная форма, размещенная на официальном сайте Роскомнадзора (www.rsoc.ru) или на Портале государственных услуг (www.gosuslugi.ru)
6. Выделить и классифицировать ИСПДн (информационные системы персональных данных) в соответствии с приказом ФСТЭК, ФСБ, мин информсвязи РФ от 13.02.2008 №55/86/20.
7. Разработать модель угроз для ИСПДн.
8. Спроектировать и реализовать систему защиты персональных данных
9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие.
10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации.
11. Обеспечить постоянный контроль защищѐнности ПДн.

Ответственность и риски за неисполнение требований закона
При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников. Что в свою очередь может привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению учреждения и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях - к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):
Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11–13.14, 13.19, 19.4–19.7, 19.20, 20.25, 32.2);
Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).