Письмо Федерального агентства по образованию от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных"

ГАРАНТ:

В дополнение к настоящему письму см. письмо Рособразования от 22 октября 2009 г. N 17-187

В соответствии с письмами Роскомнадзора от 23.06.2009 г. N 07-2/6639 и Рособразования от 03.09.2008 г. N 17-02-09/185 напоминаем Вам, что информационные системы персональных данных, созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006 г. N 152-ФЗ "О персональных данных" должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Здесь и далее по тексту дату названного Федерального закона следует читать как "27.07.2006 г."

Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Контроль за соблюдением законодательства о персональных данных осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).

В соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 г. N 152-ФЗ обработка персональных данных должна осуществляться с письменного согласия субъектов персональных данных или их законных представителей. Письменное согласие в виде анкеты, заполняемой и подписываемой каждым абитуриентом, учащимся и работником учреждения должно включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва по инициативе субъекта персональных данных.

В целях автоматизации обработки персональных данных в анкетах рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволит обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.

Защита персональных данных должна осуществляться в соответствии с постановлениями Правительства Российской Федерации от 17.11.2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных прилагается.

Приложение на 8 л.

Н.И. Булаев