Защита персональных данных

Документы определяющие политику обработки персональных данных

 

Сфера действия ФЗ №152

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

Обязательность выполнения требований законодательства

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

3. Регуляторы в сфере защиты персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Сроки выполнения требований законодательства

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Нормативная база по защите персональных данных

1.Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

2.Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

3. Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

4. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»

5. Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

6. Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

7. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

8. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)

9.Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

10. Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ

11. Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

12. Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

13. Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»

14. Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»

15. Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»

План мероприятий по обеспечению безопасности персональных данных в МБОУ НОШ №17

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базе данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и сотрудниками МБОУ НОШ №17. Для защиты персональных данных работников и обучающихся необходимо провести следующие мероприятия:

1.1. Ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;

1.2. Строго избирательно и обоснованно распределить документы и информации между работниками;

1.3. Рациональное разместить рабочие места работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

1.4. Ознакомить работников с требованиями нормативно – методических документов по защите информации и сохранении тайны;

1.5.Предоставить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;

1.6. Определить и регламентировать состав работников, имеющих право доступа (входа) к компьютерам, в которых находится информация о ПД;

1.7. Организовать порядок уничтожения информации;

1.8.        своевременно выявлять нарушения требований разрешительной системы доступа работниками ;

1.9. Организовать воспитательную и разъяснительную работу с сотрудниками МБОУ НОШ №17 по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

1.10.Не допускать выдачи личных дел обучающихся за пределы рабочих мест руководителей, классных руководителей.

1.11. Защита персональных данных сотрудников и обучающихся на электронных носителях.

Все папки, содержащие персональные данные сотрудников и обучающихся, должны быть защищены паролем, который сообщается директору образовательного учреждения.

2. «Внешняя защита».

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.

           Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров.

2.1. Для защиты персональных данных сотрудников и обучающихся необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- порядок охраны территории, зданий, помещений;

- требования к защите информации при интервьюировании и собеседованиях.

Ответственность за неисполнение законодательства по защите персональных данных

Статья

Нарушение

Ответственность

КоАП

Статья 5.39.
Отказ в предоставлении гражданину информации.

Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.

Штраф:

на должностных лиц - 500 до 1.000руб.

Статья 13.11.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Штраф:
на должностных лиц - 500 до 1.000 руб.;
на юридических лиц - 5.000 до 10.000 руб.

Статья 13.12.
Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

Статья 13.14.
Разглашение информации с ограниченным доступом

Разглашение персональных данных.

Штраф:

на граждан - от 500 до 1.000 руб.;
на должностных лиц - от 4.000 до 5.000 руб.

Статья 19.5.
Невыполнение в срок законного предписания

1. Невыполнение в установленный срок законного предписания Роскомнадзора.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.

Штраф:

на должностных лиц - от 5.000 до 10.000 руб.;
на юридических лиц - от 200.000 до 500.000 руб.

Статья 19.7.
Непредставление сведений (информации)

Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.

Штраф:

на должностных лиц - от 300 до 500 руб.;
на юридических лиц - от 3.000 до 5.000 руб.

Уголовный Кодекс

Статья 137.
Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Штраф до 300.000 руб. или в размере заработной платы или иного дохода

осужденного за период до 2 лет, либо лишение права занимать определенные

должности или заниматься определенной деятельностью на срок до 5 лет.

Статья 272.
Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).

Штраф до 200.000 руб.,

либо лишение свободы до 2-х лет.

Трудовой Кодекс

Статья 81.
Расторжение трудового договора по инициативе работодателя.

Разглашение персональных данных другого работника.

Расторжение трудового договора по инициативе работодателя.

Статья 90.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Нарушение норм, регулирующих получение, обработку и защиту персональных данных.

Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.

Информационно-образовательные ресурсы

 

© 2017 МБОУ НОШ №17. Все права защищены.
Joomla! - бесплатное программное обеспечение, распространяемое по лицензии GNU General Public License.