Памятка о порядке выполнения требований законодательства РФ при обработке персональных данных - файл n1.docx

Памятка о порядке выполнения требований законодательства РФ при обработке персональных данных
скачать (5905.7 kb.)
Доступные файлы (1):
n1.docx5906kb.20.11.2012 09:22скачать

n1.docx

  1   2   3   4

логотип1.jpg


Авторские права.


Данная Памятка защищена законодательством об авторском праве Российской Федерации.

Данная Памятка может распространяться без ограничений с условием сохранности исходного текста.

Разрешается вносить дополнения, разъяснения и комментарии и распространять Памятку с этими изменениями.

Авторы будут благодарны всем замечаниям и уточнениям.

Надеемся, что данный труд поможет в выполнении требований законодательства по вопросам персональных данных, окажет влияние на соблюдение конституционных прав граждан Российской Федерации и избавит читателей от штрафов и других санкций правоохранительных органов.
С Уважением,

коллектив ЦИБ КурскГТУ.

Картамышев А.В. Седых Е.Н. Бойцов А.В. Сергеев С.А.

ПАМЯТКА


о порядке выполнения требований

законодательства Российской Федерации

при обработке персональных данных


первая редакция

2008 г.
© Курский государственный технический университет, 2008

СОДЕРЖАНИЕ





  1. От авторов.


В данной Памятке Вы найдете ответы на вопросы практического применения законодательства Российской Федерации в части обработки персональных данных.

Вся информация, не подтвержденная соответствующими статьями законодательных актов, содержащаяся в данной Памятке, – есть личное мнение авторов, основанное на их жизненном опыте. Эта информация может быть в любой момент урегулирована законодательством, причем требования его могут оказаться диаметрально противоположными изложенному мнению.

Кроме того, количество законодательных актов в Российской Федерации столь велико, что охватить все аспекты даже одного направления не представляется возможным. В качестве примера можно привести объем и разноплановость приведенной в Памятке нормативной документации.

Еще одним фактором, влияющим на нормативную базу, является несогласованность действий и документов между федеральными органами исполнительной власти, регулирующими вопросы обработки и защиты персональных данных.

Перечень законов и нормативных документов, которыми регламентируется обработка персональных данных, приведенный в Памятке, постоянно изменяется и дополняется.

Необходимо учитывать и обратить особое внимание на то, что Памятка описывает только общие случаи применения законодательства, в котором имеется большое количество оговорок и исключений для частных случаев обработки персональных данных ведомствами, различными юридическими и физическими лицами.

Обозначения по тексту:




  1. Сфера действия ФЗ «О персональных данных».


Федеральный закон №152-ФЗ «О персональных данных» в статье 1 устанавливает следующую сферу своего действия:

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Данная статья определяет:

Если перечень органов и лиц не вызывает вопросов, то из условий следует, что Федеральный закон направлен на определение порядка обработки персональных данных средствами автоматизации.

Часть 3 статьи 4 Федерального закона №152-ФЗ «О персональных данных» устанавливает особенности обработки персональных данных, осуществляемой без использования средств автоматизации:

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

В соответствии с Распоряжением Правительства РФ №1055-р особенности порядка обработки персональных данных без использования средств автоматизации должны быть разработаны Мининформсвязи, Минэкономразвития и ФМС России в первом квартале 2008 г. На момент написания данной Памятки документов, регламентирующих данный вопрос, найдено не было.

Особое внимание стоит уделить определению понятия «обработки персональных данных», данному в части 3 статьи 3 Федерального закона №152-ФЗ «О персональных данных»:

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.



  1. Что такое персональные данные, какие сведения к ним относятся.


В соответствии с ФЗ №152-ФЗ «О персональных данных»:

Статья 3:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Статья 8:

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных

Статья 10:

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

В статье 85 Федерального закона №197-ФЗ «Трудовой кодекс Российской Федерации» имеется определение персональных данных работника:

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Развернутые списки сведений, отнесенных к персональным данным государственных служащих, даются в Указе Президента РФ №609 «Об утверждении положения о персональных данных государственного гражданского служащего российской федерации и ведении его личного дела» и ведомственных приказах «О защите персональных данных государственных гражданских служащих».



  1. Какими законами и нормативными документами регламентируется обработка персональных данных.


Работа с «персональными данными» регламентируется следующими основными документами:


Техническая защита персональных данных регламентируется следующими основными документами:


Нормативно-правовая база по смежным направлениям:


Ответственность за нарушение требований в части защиты персональных данных отражена в следующих документах:


В субъектах РФ и ведомствах издаются подзаконные акты по работе с персональными данными.


  1. Какие действия должна предпринять организация для выполнения требований законодательства Российской Федерации
    по обработке персональных данных.



В общем случае для обработки персональных данных в организации необходимо:

Подробнее об этих этапах, а также о законодательных основаниях на их проведение, рассказано далее.

Официальным разрешением обработки персональных данных в организации с использованием средств автоматизации является наличие в организации двух документов: «Аттестата по требованиям безопасности информации» и выписки из приказа о внесении организации в Реестр Операторов или выписка из этого Реестра.


  1. Что является основанием на законную обработку персональных
    данных техническими средствами.





    1. Виды экономической деятельности, заявляемые хозяйствующими субъектами при регистрации в учредительных документах.


В соответствии со статьей 22 ФЗ №152-ФЗ «О персональных данных» организация должна иметь правовое основание на обработку персональных данных:

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

5) правовое основание обработки персональных данных;

Таким основанием могут являться коды ОКВЭД.

В подтверждение этого в инструкции по заполнению Уведомления Приказа Россвязькомнадзора №08 «Об утверждении образца формы уведомления об обработке персональных данных» имеется следующая рекомендация:

а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

В соответствии с Постановлением Госстандарта России №454-ст «О принятии и введении в действие ОКВЭД»:

Общероссийский классификатор видов экономической деятельности ОК 029-2007 (КДЕС Ред. 1.1) … применяется при решении задач, связанных с:



Приложение А к ОКВЭД включает описания видов экономической деятельности, которые соответствуют характеру действий при обработке персональных данных:

72.30 Обработка данных. Эта группировка включает:

72.40 Деятельность по созданию и использованию баз данных и информационных ресурсов. Эта группировка включает:

Таким образом, в учредительные документы (Положение, Устав) необходимо ввести соответствующие виды деятельности, которые будут являться правовым основанием для обработки персональных данных в организации.


    1. Какие документы необходимо разработать в организации.


С учетом требований руководящих документов различного уровня и личного мнения авторов, с целью стандартизации подходов к созданию внутренней нормативной базы организации, регулирующей обработку и защиту персональных данных, предлагается создать строго регламентированный перечень организационно-распорядительной документации (ОРД) и требования к ее содержанию.

Возможный рабочий вариант структуры ОРД и примерных вопросов, которые должны быть отражены в документах, предлагается на рисунке 1.

Часть указанных документов разрабатывается специализированными организациями, имеющими лицензии в области защиты информации, и регламентируется руководящими документами федеральных органов исполнительной власти. Создание остальных документов следует из требований Федерального закона №152-ФЗ «О персональных данных», постановлений Правительства, Президента, федеральных органов исполнительной власти, в части их касающейся. Кроме этих документов в организации должны быть разработаны различные формы, в рамках положений и регламентов, а также другие документы.

В Приложении №1 предложено примерное содержание некоторых документов:







    1. Уведомление об обработке персональных данных с
      использованием средств автоматизации.



В соответствии с частью 1 статьи 22 ФЗ №152-ФЗ «О персональных данных» организация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Сведения, которые необходимо указать в Уведомлении, и порядок его подачи определяются частью 3 статьи 22 ФЗ №152-ФЗ «О персональных данных», Приказом Россвязьохранкультуры №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» и Приказом Россвязькомнадзора №08 «Об утверждении образца формы уведомления об обработке персональных данных» (последний приказ за последние полгода менялся не менее трех раз).

В Приказе Россвязькомнадзора №08 «Об утверждении образца формы уведомления об обработке персональных данных» приводится Рекомендации по заполнению образца формы уведомления об обработке персональных данных.

В качестве справочного материала форма Уведомления и Рекомендации из данного Приказа приведены в Приложении №2.

Обращаю внимание, что в Рекомендациях, из-за несогласованности действий федеральных органов исполнительной власти, в пункте об описании мер по обеспечению безопасности персональных данных, правильно указывать следующие сведения: «Аттестация по требованиям безопасности информации» (основание будет разъяснено далее).

В части 2 статьи 22 ФЗ №152-ФЗ «О персональных данных» указаны случаи, когда уведомлять уполномоченный орган контроля не требуется:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;



8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Отсюда следует, что для работы с персональными данными сотрудников и с персональными данными в бумажном виде уведомление не требуется.

Приказ Россвязьохранкультуры №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» определяет порядок внесения оператора в Реестр:

8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.

9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.

10. Датой внесения Оператора в Реестр считается дата подписания приказа.

11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

Этот же Приказ регулирует порядок исключения оператора из Реестра:

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

На основании вышеприведенных статей можно сделать вывод, что включение оператора в Реестр – есть разрешение на обработку персональных данных средствами автоматизации. Кроме того, в них указаны нарушения, которые лишают организацию права на обработку персональных данных средствами автоматизации.

В связи с тем, что правоохранительные органы с недоверием относятся к сведениям, отраженным в сети Интернет, рекомендуется запросить выписку из приказа о внесении в Реестр Операторов или выписку из Реестра.

Заполненное Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Россвяьохранкультуры, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Приказом Россвяьохранкультуры определены территориальные органы, осуществляющие внесение сведений об операторах в Реестр:


Федеральная служба по надзору в сфере массовых коммуникаций,
связи и охраны культурного наследия


(www.rsoc.ru)

Управление Россвязьохранкультуры по Курской области

Почтовый адрес

Красная площадь, д.8, г. Курск, 305000

Телефон, факс, e-mail учреждения

тел.(4712) 56-26-33 факс (4712) 56-12-03

отдел по ведению реестра: 51-05-14

е-mail: gsn46@sovtest.ru

Сайт

www.46.rsoc.ru

Управление Россвязьохранкультуры по Белгородской области

Почтовый адрес

308007, г. Белгород, ул. Гагагрина д. 6 «а»

Телефон, факс, e-mail учреждения

(4722) 31-53-77; (4722) 31-53-77

отдел по ведению реестра: 34-36-28
e-mail: ugsn@belgtts.ru

Сайт

www.31.rsoc.ru

Управление Россвязьохранкультуры по Липецкой области

Почтовый адрес

398016, г. Липецк, пер. Попова, д.5

Телефон, факс, e-mail учреждения

(4742) 47-01-53; (4742) 36-04-61

е-mail: rsoc48@ rsoc.ru

Сайт

www.48.rsoc.ru

Управление Россвязьохранкультуры по Орловской области

Почтовый адрес

ул. Красина, д.7, г. Орел, 302001

Телефон, факс, e-mail учреждения

nел./факс (4862) 43-04-24
e-mail: rsn57@orel.ru

Сайт

www.57.rsoc.ru
  1   2   3   4


Учебный материал
© bib.convdocs.org
При копировании укажите ссылку.
обратиться к администрации