Юридический консалтинг для
фармацевтических и медицинских организаций

Правила сбора и обработки персональных данных клиентов

Какие меры необходимо принять работодателю при осуществлении процесса сбора и обработки персональных данных клиентов в рамках законных полномочий?
 5 ноября 2013 г. 1058
 14 ноября 2013 г.
Пожалуйста, обращайте внимание на дату ответа – ситуация могла измениться.
В настоящее время в области защиты персональных данных действует Федеральный закон от 27.07.2006 г. N 152-ФЗ «О персональных данных» (в ред. от 23.07.2013). Указанным Федеральным законом регулируются отношения, связанные с обработкой персональных данных.
Так, организация, осуществляющая обработку персональных данных (оператор) обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер.
Ряд требований по обеспечению безопасности приводится в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлении Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и Приказ Федеральной  службы по техническому и экспортному контролю РФ от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
К таким мерам относятся, в частности:
1) издание руководителем компании приказа «Об организации работ по обеспечению безопасности персональных данных», которым:
- назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных;
- дается указание о разработке локальной документации, относящейся к защите персональных данных;
- создается комиссия по защите и обработке персональных данных в организации;
- утверждается и вводится в действие положение по защите и обработке персональных данных в организации;
2) обследование информационных систем персональных данных организации.
Цель обследования – принять решение о том, является ли организация оператором персональных данных. Если является, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
- отчет об обследовании информационных систем персональных данных;
- приказ «О создании комиссии по классификации информационных систем персональных данных»;
- акт классификации типовой информационной системы персональных данных
- и, как приложение к положению о защите и обработке персональных данных в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных»;
3) направление уведомления об обработке (о намерении осуществлять обработку) персональных данных в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Бланк уведомления можно скачать на сайте управления.
Статьей 22 Закона предусмотрена возможность осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных. В число таких данных входят обрабатываемые в соответствии с трудовым законодательством; полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; сделанных субъектом персональных данных общедоступными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях и других.
4) разработка, утверждение и применение документов «Согласие на обработку персональных данных» и «Отзыв согласия на обработку персональных данных».
5) внедрение системы защиты персональных данных путем следующих организационных мероприятий:
- составление и утверждение перечня лиц, допущенных к обработке персональных данных, уведомление этих лиц о допуске к обработке персональных данных;
- создание и утверждение перечня персональных данных, обрабатываемых в организации;
- создание и утверждение положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим документом. Также сотрудники, работа которых связана с обработкой персональных данных клиентов, должны подписать обязательство об обеспечении конфиденциальности персональных данных.
- издание приказа о выделении помещений для обработки персональных данных;
– создание и утверждение документа «Описание системы защиты персональных данных при их обработке в информационных системах». К описанию необходимо приложить:
- инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;
- инструкцию администратору по безопасности информационных систем персональных данных организации;
- инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;
- положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.
6) необходимо определиться с техническими средствами защиты персональных данных от несанкционированного доступа, продумать антивирусные средства, межсетевые экраны, криптографические средства. Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте Федеральной  службы по техническому и экспортному контролю России. После выбора, приобретения и установки все средства необходимо правильно настроить. Документами, подтверждающими реализацию этих мероприятий, являются:
- перечень средств защиты персональных данных;
- журнал учета и хранения носителей персональных данных;
- акт установки средств защиты информации;
- утвержденная форма акта списания и уничтожения электронных носителей информации;
- утвержденная форма акта уничтожения документов;
- подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
7) создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».
Также необходимо завести в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)». Важно помнить, что при покупке нового оборудования, установке новых программ, расширении офиса и т.д., необходимо вносить изменения во все перечисленные документы.
Следует отметить, что за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) статьей 13.11 Кодекса РФ об административных правонарушениях предусмотрены следующие санкции - предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Автор ответа:
Юрисконсульт юридической компании «Юнико-94»
Н. И. Стрелкина
Удалить
Вопрос относится к темaм: