Правила сбора и обработки персональных данных клиентов
Какие меры необходимо принять работодателю при осуществлении процесса сбора и обработки персональных данных клиентов в рамках законных полномочий?
5 ноября 2013 г.
1085
В настоящее время в области защиты персональных данных действует Федеральный закон от 27.07.2006 г. N 152-ФЗ «О персональных данных» (в ред. от 23.07.2013). Указанным Федеральным законом регулируются отношения, связанные с обработкой персональных данных.
Так, организация, осуществляющая обработку персональных данных (оператор) обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер.
Ряд требований по обеспечению безопасности приводится в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлении Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и Приказ Федеральной службы по техническому и экспортному контролю РФ от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
К таким мерам относятся, в частности:
1) издание руководителем компании приказа «Об организации работ по обеспечению безопасности персональных данных», которым:
- назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных;
- дается указание о разработке локальной документации, относящейся к защите персональных данных;
- создается комиссия по защите и обработке персональных данных в организации;
- утверждается и вводится в действие положение по защите и обработке персональных данных в организации;
2) обследование информационных систем персональных данных организации.
Цель обследования – принять решение о том, является ли организация оператором персональных данных. Если является, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
- отчет об обследовании информационных систем персональных данных;
- приказ «О создании комиссии по классификации информационных систем персональных данных»;
- акт классификации типовой информационной системы персональных данных
- и, как приложение к положению о защите и обработке персональных данных в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных»;
3) направление уведомления об обработке (о намерении осуществлять обработку) персональных данных в территориальное управление Федеральной службы ......
Так, организация, осуществляющая обработку персональных данных (оператор) обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер.
Ряд требований по обеспечению безопасности приводится в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлении Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и Приказ Федеральной службы по техническому и экспортному контролю РФ от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
К таким мерам относятся, в частности:
1) издание руководителем компании приказа «Об организации работ по обеспечению безопасности персональных данных», которым:
- назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных;
- дается указание о разработке локальной документации, относящейся к защите персональных данных;
- создается комиссия по защите и обработке персональных данных в организации;
- утверждается и вводится в действие положение по защите и обработке персональных данных в организации;
2) обследование информационных систем персональных данных организации.
Цель обследования – принять решение о том, является ли организация оператором персональных данных. Если является, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
- отчет об обследовании информационных систем персональных данных;
- приказ «О создании комиссии по классификации информационных систем персональных данных»;
- акт классификации типовой информационной системы персональных данных
- и, как приложение к положению о защите и обработке персональных данных в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных»;
3) направление уведомления об обработке (о намерении осуществлять обработку) персональных данных в территориальное управление Федеральной службы ......
Чтобы получить доступ к базе наших консультаций и(или) получить ответ на ваш собственный вопрос, вам нужно зарегистрироваться, выписать и оплатить счет. Доступ открывается с даты поступления денег на наш расчетный счет. Юридические лица получат полный комплект документов, подтверждающих наши услуги.
Если у вас уже оформлена подписка, пожалуйста, авторизируйтесь
Вопрос относится к темaм: