Работа с персональными данными
интегратор сообществ кружкового движения
Материалы лонгрида обновляются!
Понятие персональных данных активно употребляется в современном информационном пространстве. Заголовки новостных изданий с удручающей частотой пестрят новостями об утечках личных и персональных данных.

Вы хотите понять, что законодательство Российской Федерации вкладывает в это понятие? Кто ответственен за обеспечение безопасности персональных данных? Какие обязанности по обработке и обеспечению безопасности персональных данных возлагаются на ответственных лиц? Данный лонгрид поможет ответить на эти вопросы, а специалистам позволит понять, какие материалы следует изучить дополнительно
Эксперт по информационной безопасности Компании КРОК
Анастасия Федорова
Поделиться в соцсетях
Персональные данные
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
На текущий момент понятие персональных данных трактуется максимально широко, к ним можно отнести любую информацию о субъекте: фамилия, имя, рост, дата рождения, предполагаемый возраст, никнейм в социальных сетях, индивидуальный номер налогоплательщика и т. д. Таким образом, выделяются два субъекта правоотношений, связанных с персональными данными:
Субъект персональных данных
Оператор персональных данных
Оператором персональных данных является лицо (государственный орган, муниципальный орган, юридическое или физическое лицо), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, определяющее цели, состав и способы обработки ПДн.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Способы обработки персональных данных
Обработка персональных данных включает в себя 13 способов:
Сбор
Запись
Систематизация
Накопление
Хранение
Уточнение (обновление, изменение)
Извлечение
Использование
Передача (распространение, предоставление, доступ)
Обезличивание
Блокирование
Удаление
Уничтожение персональных данных
Уведомление о начале обработки персональных данных
Обязанности по соблюдению требований законодательства о персональных данных и обеспечению их конфиденциальности и безопасности возложены на операторов персональных данных.
В обязанности операторов также входит уведомление уполномоченного органа (Роскомнадзора) о начале обработки персональных данных и внесение изменений в сведения, содержащиеся в ранее направленном уведомлении, если данные изменились. Уведомление должно содержать следующие элементы:
Наименование (фамилия, имя, отчество), адрес оператора
Цель обработки персональных данных
Категории персональных данных
Категории субъектов, персональные данные которых обрабатываются
Правовое основание обработки персональных данных
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
Описание мер, предусмотренных статьями 18.1 и 19 Закона «О персональных данных»
Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты
Дата начала обработки персональных данных
Срок или условие прекращения обработки персональных данных
Сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации
На портале Роскомнадзора размещена электронная форма уведомления и внесения изменений в него и инструкции по заполнению.
Также оператор персональных данных должен издать документы, определяющие политику оператора в отношении обработки персональных данных, и другие локальные нормативные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, а также устранение последствий таких нарушений. На портале Роскомнадзора размещены рекомендации по составлению политики обработки персональных данных.
Виды документации
В целом всю документацию, создаваемую у оператора персональных данных, при выполнении требований законодательства о персональных данных можно разделить на следующие категории:
Виды
Описание
Локальные нормативные акты
Политика оператора в отношении обработки и обеспечения безопасности персональных данных.
Положения, регламенты, стандарты и другие документы, описывающие процессы и регламентирующие правила их выполнения в области обработки и обеспечения безопасности ПДн (Положение об осуществлении внутреннего контроля, Регламент обработки запросов субъектов ПДн и регулирующих органов и т. п.)
Организационно-распорядительные документы
Приказы, акты, должностные инструкции ответственных за обработку и обеспечение безопасности ПДн и т. п., подтверждающие назначения, полномочия, при осуществлении работ по выполнению оператором ПДн обязанностей
Подтверждающие документы
Согласия, журналы, матрицы, протоколы, планы и т. п., подтверждающие выполнение установленных в ЛНА правил
Контроль за выполнением требований законодательства о персональных данных (за исключением требований статьи 19 ФЗ-152) осуществляет Роскомнадзор. Отчеты о деятельности публикуются ежегодно Роскомнадзором на своем портале.
Контроль за выполнением операторами требований законодательства о персональных данных заключается в проведении проверок (плановые и внеплановые проверки, систематический мониторинг) и обработке обращений субъектов персональных данных.
Статистические данные о проверках операторов персональных данных, проводимых РКН, по соблюдению требований законодательства о персональных данных

Статистические данные об обращениях в РКН субъектов персональных данных

Также Роскомнадзор публикует в своих отчетах и презентациях информацию о типовых нарушениях, допускаемых операторами персональных данных, выявленных в ходе проверок.
Итак, для реализации требований, возложенных на операторов персональных данных, и минимизации рисков при проведении проверок, осуществляемых регулирующими органами, необходимо выполнить ряд организационных и технических мер, внедрить их в свою деятельность, а также поддерживать их в рабочем состоянии и регулярно контролировать их актуальность и достаточность.
Дополнительные материалы
Полезные ссылки
Годовые отчеты о деятельности уполномоченного органа по защите прав субъектов персональных данных
Смотрите по ссылке
Реестр операторов ПДн и электронные формы для направления уведомления
Смотрите по ссылке
Реестр нарушителей законодательства о персональных данных
Смотрите по ссылке
Рекомендации по составлению политики обработки персональных данных
Смотрите по ссылке
Материалы экспертов Роскомнадзора
Смотрите по ссылке
Типовые нарушения в области ПДн
Смотрите по ссылке
«Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»
Смотрите по ссылке разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 г.
Законодательство
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Смотрите по ссылке постановление Правительства Р Ф от 01.11.2012 г. 1119
Федеральный закон «О персональных данных» от 27.07.2006 г. 152-ФЗ
Смотрите по ссылке
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Смотрите по ссылке постановление Правительства Р Ф от 15.09.2008 г. 687
«Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
Смотрите по ссылке постановление Правительства Российской Федерации от 13.02.2019 г. 146
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Смотрите по ссылке приказ ФСТЭК России от 18.02.2013 г.  21 (ред. от 23.03.2017)
Кодекс Российской Федерации об административных правонарушениях
Смотрите по ссылке КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
Статьи об утечках персональных данных
«Утечка на миллион. Персональные данные клиентов банков оказались в сети»
Читайте статью Коммерсанта по ссылке
«Черный список увидел белый свет. Данные 120 тыс. банковских клиентов выложились в интернет»
Читайте статью Коммерсанта по ссылке
«В открытый доступ выложены данные о 421 тыс. сотрудниках Сбербанка, включая Германа Грефа»
Читайте статью CNews по ссылке
«Facebook призналась в утечке данных российских пользователей соцсети»
Читайте материал Российской газеты по ссылке
«Очередная утечка данных. В Сети появились персональные данные более 700 тысяч сотрудников РЖД»
Читайте статью BFM.ru по ссылке
«Данные автовладельцев утекли в интернет»
Читайте материал Ведомостей по ссылке
«Солидная ИБ-компания не уберегла данные своих клиентов-ветеранов»
Читайте материал CNews по ссылке
"Another Google+ data bug exposes info for 52.5 million users"
Читайте англоязычный материал Engadget по ссылке
«Equifax заявила о краже персональных данных 143 млн американцев»
Читайте материал BBC по ссылке
«В русскоязычном даркнете расцвела торговля „цифровыми личностями“»
Читайте материал CNews по ссылке
Какие области знаний и зоны внимания есть у организатора кружка? Сверяйтесь с картой «Системная модель кружка», чтобы увидеть полную картину
Открыть доступ к онлайн-школе руководителей кружков и получить бесплатно:
  • Помощь экспертов в работе с проектом вашего кружка
  • Личного куратора для ответов на вопросы
  • Сертификат о завершении школы
  • Возможность получить удостоверение о повышении квалификации
Находясь на сайте, вы даете согласие на обработку файлов cookie. Это необходимо для более стабильной работы сайта
Понятно
Close