Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.
Общие правила совершения операций с ПДн
Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон №
- получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
- длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
- при утрате необходимости в обработке персданные должны быть уничтожены;
- использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач. Это значит, что автоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
- запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
- оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.
Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн
Разобраться в том, что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.
В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.
Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.
Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:
- сведения, при использовании которых не применяется вычислительная техника, должны быть обособленными и фиксироваться на бланках, в специальных формах или на других физических носителях;
- не допускается объединение на одном носителе личной информации, которая будет обрабатываться для несовместимых целей, а для каждой категории ПДн необходима отдельная форма, бланк и т.д.;
- обработка персональных данных считается неавтоматизированной, если осуществляется хранение, передача, уточнение и уничтожение сведений при непосредственном участии человека;
- сотрудники, допущенные к неавтоматизированной обработке, предварительно информируются о требованиях работы с ПДн, наказании за их нарушение и внутренних правилах предприятия в этой области;
- для получения согласия от субъектов ПДн могут применять типовые формы документов, где должны быть указаны цели обработки и виды собираемой информации;
- по каждой категории сведений необходимо определить место размещения материального носителя и лицо, ответственное за обеспечение его безопасности. Дополнительно необходимо создать условия, в которых ПДн будут защищены от внешних и внутренних угроз.
Автоматизированная обработка персональных данных: что это и какие АС существуют
Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.
На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.
Данная статья актуализирована с учетом изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.
