Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных на автоматизированном рабючем месте». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам.
При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.
Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.
Автоматизация процесса защиты персональных данных
Меры обеспечения сохранности информации на каждом отдельном предприятии могут быть различны по масштабам и формам и зависеть от производственных, финансовых и иных возможностей предприятия, от количества и качества охраняемых сведений.
Персональные данные относятся к конфиденциальной информации, т. е. информации строго ограниченного и регламентированного доступа. Эта информация составляет служебную или профессиональную тайну.
Изучая Постановление Правительства и приказы ФСТЭК России, посвященные вопросам обеспечения безопасности информационных систем, содержащих персональные данные, владельцы электронных систем документооборота не всегда могут определиться с ответом на вопрос, обязательна ли сертификация для используемого программного обеспечения.
Все бы ничего, но только подготовка самих документов является разовым действием и, как правило, приводит к размещению получившийся папки на полке в дальнем углу шкафа у секретаря. Или в комнате системного администратора где-то между отработанным картриджем и вскрытыми коробками.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.
Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных.
Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение. При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.
Я планирую написать цикл статей об общих методах защиты персональных данных, которые помогут вашей компании немного сократить издержки на услуги фирм, занимающихся защитой данных или, по крайней мере, понять, за что вы платите. Все это мы испытали на собственной компании.
В соответствии с п. 5 ст. 88 ТК РФ работодатель обязан соблюдать требование, согласно которому доступ к персональным данным работников может быть разрешен только специально уполномоченным лицам. При этом должно выполняться условие: указанные лица могут иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Автоматизированной, поскольку в процессе участвует компьютер? Или ручной в связи с тем, что оператор инициирует и контролирует процедуру сохранения? В данном случае более важно то, что компьютер будет «хранить» сведения без участия человека – процесс будет полностью автоматизированным.
В материале мы поговорим об особенностях автоматизированной обработки ПДн, расскажем о средствах автоматизации и о том, как она происходит.
Цель лекции: познакомиться с автоматизированными и неавтоматизированными системами персональных данных. Рассмотреть основные принципы построения системы защиты персональных данных.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Обязанность по обеспечению безопасности ПД при их обработке в ИСПД полностью возлагается на оператора персональных данных.
После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз.
Автоматизированная обработка ПД осуществляется в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.
После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз.
Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы. В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование.
Является ли ваша организация оператором персональных данных?
Или, если у вас обширный парк компьютерной техники с разнообразными установленными на нем средствами защиты информации, то вам следует задуматься об автоматизации инвентаризации и учета этих рабочих станций и установленных на них СрЗИ.
Автоматизация не обязательно заключается в приобретении права использования программного продукта. Для Заказчика она может выражаться в передаче этого вопроса сторонней организации в рамках абонемента на обслуживание.
Распределение сфер деятельности зависит от объема работы и штатной численности работников отдела, однако разграничение обязанностей и документных массивов должно быть осуществлено в обязательном порядке, т. к. это позволяет организовать и обеспечить сохранность и конфиденциальность персональных данных.
В контролируемой зоне возможны некоторые особенности. Например, в ней может вестись постоянный прием третьих лиц (клиентов) – это тоже необходимо отметить.
Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах.
При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф.
Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Положение об обработке ПДн в автоматизированных системах – документ, который регламентирует основные процессы с конфиденциальными сведениями, определяет принципы и меры для обеспечения безопасности таких данных. К его составлению следует подойти грамотно.
Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет.
Сертифицированное программное обеспечение
Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации.
Обработка персональных данных: пошаговая инструкция для компаний
Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.
Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.
Обследование проводит специальная комиссия, состоящая из специалиста по защите информации*, администратора ИС и оператора ИС. Соответственно, предварительно нужно издать приказ о назначении комиссии и проведении обследования.
Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.
В настоящее время в сфере обеспечения безопасности большое внимание уделяется информационной безопасности, т. к. наше современное общество всецело зависит от получаемых, обрабатываемых, передаваемых и хранимых данных. Таким образом, данные сами по себе приобретают высокую ценность.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Выбор средств защиты персональных данных
Доступ на территорию организации. Кто и в какое время может туда пройти. По пропускам или без, записывается ли он в журнал посещений и т.д. Имеют ли сотрудники возможность пройти на территорию организации в нерабочее время.
Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого.
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.