Информация

О защите персональных данных

Правовые основы обработки персональных данных в РФ
Федеральные законы Российской Федерации:
• федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
• федеральный закон РФ от 27.12.2009 № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»;
Постановления и распоряжения правительства:
• постановление Правительства РФ от 17.11.2007 № 781 «Положение об обеспечении безопасности ПДн при их обработке в ИСПДн»;
• постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
Организационно-методические и распорядительные документы регулирующих структур:
• Приказ ФСТЭК, ФСБ, министерства информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• приказ руководителя Роскомнадзора от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»;
• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн» (утверждена директором ФСТЭК от 15.02.2008);
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» (утверждена директором ФСТЭК от 15.02.2008);
• приказ директора ФСТЭК от 05.02.2010 №58 «Об утверждении положения о методах и способах защиты информации в ИСПДн»;
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации» (утверждены директором ФСБ от 21.02.2008);
• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн» (утверждены директором ФСБ от 21.02.2008);
  • «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» (утверждены минздравсоцразвития 23.12.2009) ОБРАТИТЕ ВНИМАНИЕ!!! По ссылке можно найти сам документ, перечень документов, которые необходимо разработать в каждом учреждении и типовые формы этих документов в приложении  www.minzdravsoc.ru/docs/mzsr/informatics/5
  • «Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке в ИСПДн учреждений здравоохранения, социальной сферы, труда и занятости» (утверждены минздравсоцразвития 23.12.2009)  www.minzdravsoc.ru/docs/mzsr/informatics/5

Общий порядок действий учреждения по выполнению требований
федерального закона № 152-ФЗ «О персональных данных»

1. Определить структурное подразделение или должностное лицо,ответственное за обеспечение безопасности ПДн (персональных данных).
2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн.
3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме.
4. Определить порядок реагирования на запросы со стороны субъектов персональных данных.
5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление в Роскомнадзор.
6. Выделить и классифицировать ИСПДн (информационные системы персональных данных) в соответствии с приказом ФСТЭК, ФСБ, мин информсвязи РФ от 13.02.2008 №55/86/20.
7. Разработать модель угроз для ИСПДн.
8. Спроектировать и реализовать систему защиты персональных данных
9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие.
10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации.
11. Обеспечить постоянный контроль защищѐнности ПДн.

Ответственность и риски за неисполнение требований закона
При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников. Что в свою очередь может привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению учреждения и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях - к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):
Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11–13.14, 13.19, 19.4–19.7, 19.20, 20.25, 32.2);
Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).