Особенности обеспечения безопасности персональных данных в органах государственной власти

    К сожалению, процедура обработки персональных данных госслужащего в законе не определена.

    Персональные  данные госслужащего являются конфиденциальной информацией, и передача их третьим  лицам должна производиться с  соблюдением следующих требований, закрепленных в ст. 88 Трудового кодекса РФ:

    - не сообщать персональные данные  госслужащего третьей стороне  без письменного согласия госслужащего, за исключением случаев, когда  это необходимо в целях предупреждения  угрозы жизни и здоровью госслужащего, а также в случаях, установленных федеральным законом;

    - не сообщать персональные данные  госслужащего в коммерческих  целях без его письменного  согласия;

    - предупредить лиц, получающих  персональные данные госслужащего  о том, что эти данные могут  быть использованы лишь в целях,  для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получающие персональные данные госслужащего, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными госслужащего в порядке, установленном федеральным законом;

    - осуществлять передачу персональных  данных госслужащего в пределах  одной организации в соответствии  с локальным нормативным актом  организации, с которым госслужащий  должен быть ознакомлен под расписку;

    - разрешить доступ к персональным  данным госслужащего только специально  уполномоченным лицам, при этом  указанные лица должны иметь  право получать только те персональные  данные госслужащего, которые необходимы  для выполнения конкретных функций;

    - не запрашивать информацию о  состоянии здоровья госслужащего  за исключением тех сведений, которые относятся к вопросу  о возможности выполнения госслужащим  трудовых функций;

    - передавать персональные данные  госслужащего представителям работников  в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными госслужащего, которые необходимы для выполнения указанными представителями их функций.

    В целях обеспечения защиты персональных данных, хранящихся у работодателя, госслужащие имеют право на:

    - полную информацию об их персональных  данных и обработке этих данных;

    - свободный и бесплатный доступ  к своим персональным данным, включая право на получение  копий любой записи, содержащей  персональные данные госслужащего, за исключением случаев, предусмотренных федеральным законом;

    - определение своих представителей  для защиты своих персональных  данных;

    - доступ к относящимся к ним  медицинским данным с помощью  медицинского специалиста по  их выбору;

    - требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные госслужащего, он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера госслужащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

    - требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные госслужащего, обо всех произведенных в них исключениях, исправлениях и дополнениях;

    - обжалование в суд любых неправомерных  действий или бездействий работодателя  при обработке и защите его персональных данных.

    В трудовом законодательстве устанавливается  и ответственность за нарушение  норм, регулирующих обработку и защиту персональных данных.

    Однако  эта норма - ст. 90 Трудового кодекса  РФ носит отсылочный (бланкетный) характер и может быть предметом отдельного рассмотрения. 
 
 
 
 
 

2. Защита  персональных данных. Основные мероприятия.

 

    2.1 Основные требования по защите персональных данных 

    Защита  персональных данных в себя включает:

• Федеральный закон № 152 «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
• установлен предельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу Закона «О персональных данных» - 01.01.2011 года
• вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных»
• за неисполнение требований предусмотрены различные виды ответственности
• перечень организационных и технических мероприятий:

- уведомление  уполномоченного органа по защите  прав субъектов персональных  данных (Роскомнадзор) о своем намерении  осуществлять обработку персональных  данных

- разработка  документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)

- создание  системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений

- аттестация информационных систем персональных данных (далее –ИСПДН) (аттестация или декларирование соответствия ИСПДн требованиям безопасности информации)

- повышение  квалификации сотрудников в области защиты персональных данных. 

2.2 Алгоритм действий оператора персональных данных обеспечивающих защиту персональных данных в соответствии с требованиями законодательства 

    Сначала нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов госоргана (оператора персональных данных): 

    2.2.1 Установка перечня персональных данных, обрабатываемых оператором

    В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то специфика деятельности органов госвласти подразумевает под собой более широкий список персональных данных используемых в работе.

    Также нужно определить цели обработки персональных данных, сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты. 

    2.2.2 Способы обработки персональных данных

    Обработка персональных данных может осуществляться с использованием средств автоматизации  или без использования таких  средств.

    Обработка ПДн без использования средств  автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в Постановлении Правительства РФ № 687  от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

    Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система кадрового учета, различные базы данных). 

    2.2.3 Определение состава и объема обрабатываемых персональных данных

    В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся (согласно Приказу ФСТЭК России ФСБ России Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"):

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные.

    Установить  объем персональных данных (количество субъектов ПДн), обрабатываемых в  каждой информационной системе ПДн:

• 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

 
 

    2.2.4 Провести предварительную классификацию информационных систем ПДн

    Информационные системы ПДн делятся на:

• Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
• Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    На  основании данных, полученных в предыдущих пунктах, провести предварительную  классификацию «типовых» информационных систем ПДн. Классификация ИСПДн  осуществляется в соответствии с  таблицей 1, рекомендованной регуляторами:

    Таблица 1

    В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

    2.2.5 Полученные результаты и способы защиты персональных данных

    После проведения предварительного анализа  информационных ресурсов можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), определить масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных».