Вход
- Главная
- Комментарий к Постановлению Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных" (Т. Обухова, "Автономные учреждения: акты и комментарии для бухгалтера", N 1, январь-февраль, 2013 г.)
Комментарий к Постановлению Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных" (Т. Обухова, "Автономные учреждения: акты и комментарии для бухгалтера", N 1, январь-февраль, 2013 г.)
Комментарий к Постановлению Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных"
Постановлением Правительства РФ от 01.11.2012 N 1119 (далее - Постановление N 1119) утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных.
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) регулирует отношения, связанные с обработкой персональных данных. Персональные данные обрабатываются федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных.
Согласно положениям ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Таким образом, учреждение получает от своих сотрудников заявление, в котором они выражают согласие на использование своих персональных данных. При увольнении сотрудника также следует "запастись" его заявлением на использование его персональных данных при составлении отчетных форм (например, форм отчетности, представляемой в ПФР).
Обработка персональных данных без согласия субъекта персональных данных, выраженного в письменной форме, является нарушением норм Закона о персональных данных. В статье 4 Закона о персональных данных сказано, что лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством РФ ответственность - дисциплинарную, административную и уголовную. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Из всего вышесказанного следует, что нужно быть предельно внимательными при организации обработки персональных данных физических лиц и соблюдать все требования законодательства в отношении этого вопроса.
Согласно статистическим данным Роскомнадзора при обработке персональных данных чаще всего допускаются следующие нарушения:
- обработка персональных данных оператором без согласия субъектов персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных);
- несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства (ч. 4 ст. 9 Закона о персональных данных);
- избыточность обрабатываемых персональных данных субъекта применительно к целям обработки (ч. 2, 4, 5 ст. 5 Закона о персональных данных).
Согласие на обработку персональных данных может быть оформлено письменно либо в электронной форме с электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дает согласие субъект персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных).
Защита персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) должна производиться в соответствии с нормами Постановления N 1119. В частности, в этом документе сказано, что безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Закона о персональных данных.
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю во исполнение ч. 4 ст. 19 Закона о персональных данных.
В Постановлении N 1119 определены типы угроз несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия и виды обеспечения защиты данных при образовании угрозы. Ниже рассмотрим виды угроз.
Вид угроз | Характеристика угроз | Необходимость обеспечения уровня защищенности персональных данных |
Угрозы 1-го типа | Актуальны для информационной системы, если для нее актуальны в том числе угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе | а) для информационной системы актуальны угрозы 1-го типа, информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; б) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора |
Угрозы 2-го типа | Актуальны для информационной системы, если для нее актуальны в том числе угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе | а) для информационной системы актуальны угрозы 1-го типа, информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает специальные категории персональных данных сотрудников оператора или менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; в) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает биометрические персональные данные; г) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; д) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; е) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора |
Угрозы 3-го типа | Актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе | а) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает общедоступные персональные данные сотрудников оператора или менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; б) для информационной системы актуальны угрозы 2-го типа, информационная система обрабатывает иные категории персональных данных сотрудников оператора или менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; в) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает специальные категории персональных данных сотрудников оператора или менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора; г) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает биометрические персональные данные; д) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора |
Угрозы 4-го типа | - | а) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 3-го типа, информационная система обрабатывает иные категории персональных данных сотрудников оператора или менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора |
Т. Обухова,
эксперт журнала "Автономные учреждения:
акты и комментарии для бухгалтера"
"Автономные учреждения: акты и комментарии для бухгалтера", N 1, январь-февраль, 2013 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"