Управление Роскомнадзора по Калужской области информирует операторов персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» устанавливает, что органы власти или юридические лица, осуществляющие обработку персональных данных (операторы персональных данных), обязаны принимать меры, необходимые и достаточные для обеспечения выполнения предусмотренных обязанностей.
Процесс организации обработки персональных данных в соответствии с требованиями законодательства Российской Федерации может быть условно разделен на несколько этапов:
1.Изучение основополагающих нормативно-правовых актов в сфере защиты персональных данных:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2.Определение состава обрабатываемых персональных данных, целей, условий и законных оснований их обработки, сроков хранения различных категорий персональных данных, а также границ, в пределах которых будут осуществляться мероприятия по реализации требований законодательства.
3.Назначение лица, ответственного за организацию обработки персональных данных, с возложением на него обязанностей, предусмотренных ч. 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.Разработка организационно-распорядительных документов (локальных актов) по вопросам защиты персональных данных, обрабатываемых как автоматизированным (с помощью электронно-вычислительной техники), так и неавтоматизированным способом.
К таким документам могут относиться:
- документы, определяющие политику оператора в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных. Оператор обязан обеспечить неограниченный доступ к указанным документам.
При осуществлении сбора персональных данных с использованием сайта в сети Интернет, оператор персональных данных обязан разместить на соответствующем сайте документ, определяющий его политику в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу.
Рекомендации по составлению документа, определяющего политику оператора персональных данных в отношении обработки персональных данных размещены на сайте Роскомнадзора в сети Интернет https://rkn.gov.ru/personal-data/p908/.
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
перечень обрабатываемых персональных данных;
перечень лиц (должностей), допущенных до обработки персональных данных;
правила осуществления внутреннего контроля соответствия обработки персональных данных, требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
перечень информационных систем персональных данных;
перечень мест хранения персональных данных и требования к обеспечению сохранности персональных данных при их хранении и др.
5. Принятие правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, что достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
7. Уведомление уполномоченного органа на защите персональных данных – Роскомнадзор (территориальный орган Роскомнадзора в субъекте Российской Федерации) об обработке (намерении осуществлять обработку) персональных данных.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать сведения, предусмотренные ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В случае изменения ранее направленных сведений, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган путем направления информационного письма.
Электронные формы уведомления и информационного письма размещены на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных по адресу https://pd.rkn.gov.ru/operators-registry/notification/.
Сведения, содержащиеся в реестре операторов персональных данных (за исключением сведений, в отношении которых установлены ограничения), доступны для ознакомления по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/ (необходимо указать ИНН оператора персональных данных и осуществить поиск по реестру).
Консультации по заполнению уведомления и информационного письма можно получить в Управлении Роскомнадзора по Калужской области по номеру телефона (4842) 27-73-15.