Вопрос-ответ 4

1870
Недавно в нашем образовательном учреждении проводился мониторинг защиты персональных данных и исполнения Закона о персональных данных. В представленном списке наличия организационно-распорядительной и нормативной документации был журнал учета согласий субъектов персональных данных. Обязательно ли вести учет согласий работников, регистрировать их? Также указали на обязательное наличие плана мероприятий по защите персональных данных. Обязателен ли он и на какой период должен быть составлен?

Согласно ст. 9 Закона о персональных данных в предусмотренных законом случаях обработка персональных данных осуществляется только с письменного согласия субъекта. В соответствии с приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» в ходе проверки данная служба рассматривает документы оператора, в том числе письменные согласия субъектов персональных данных на обработку их персональных данных (п. 67.1.4. Административного регламента). Ведение журнала учета согласий не является обязательным, главное - наличие согласий субъектов на обработку персональных данных.

Кроме того, в соответствии с п. 1 ст. 18.1 Закона о персональных данных оператор самостоятельно определяет перечень мер, необходимых и достаточных для выполнения обязанностей по защите персональных данных, если иное не предусмотрено законодательством.

Так как ваша организация является образовательным учреждением, то вам следует руководствоваться актами Минобрнауки России. Так, в соответствии с письмом Рособразования от 22.10.2009 № 17-187 «Об обеспечении защиты персональных данных» со ссылкой на рекомендации ФСТЭК для обеспечения защиты информационных систем персональных данных рекомендованы:

1. Предпроектная стадия:

1) обследование информационных систем персональных данных;

2) разработка Плана мероприятий по обеспечению защиты персональных данных;

3) разработка Технического задания.

2. Стадия проектирования и реализации:

1) разработка Технического проекта;

2) внедрение технических средств защиты персональных данных;

3) разработка нормативной и регламентирующей документации.

3. Стадия ввода в действие:

1) опытная эксплуатация системы защиты персональных данных;

2) приемо-сдаточные испытания;

3) оценка соответствия требованиям по безопасности информации;

4) обучение персонала;

5) подача уведомления о начале обработки персональных данных.

В свою очередь, ФСТЭК рекомендует на предпроектной стадии по обследованию информационных систем персональных данных провести следующие мероприятия:

1) установить необходимость обработки персональных данных в информационных системах;

2) определить перечень персональных данных, подлежащих защите от несанкционированного доступа;

3) определить условия расположения информационных систем персональных данных относительно границ контролируемой зоны;

4) определить конфигурацию и топологию информационных систем персональных данных в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

5) определить технические средства и системы, предполагаемые к использованию в разрабатываемых информационных системах персональных данных, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;

6) определить режимы обработки персональных данных в информационных системах в целом и в отдельных компонентах;

7) определить класс информационной системы персональных данных;

8) уточнить степень участия должностных лиц в обработке персональных данных, характер их взаимодействия между собой;

9) определить (уточнить) угрозы безопасности персональных данных применительно к конкретным условиям функционирования информационных систем (разработка частной модели угроз). По результатам предпроектного обследования на основе настоящего документа с учетом установленного класса информационных систем персональных данных задать конкретные требования по обеспечению безопасности персональных данных, включаемых в техническое (частное техническое) задание на разработку системы защиты персональных дынных. В письме Рособразования обозначенные рекомендации являются примерными и должны быть адаптированы учреждениями с учетом конкретных условий обработки персональных данных. Поэтому разработка плана мероприятий по защите персональных данных, во-первых, носит рекомендательный характер, во-вторых, касается информационных систем защиты персональных данных.

У.М. Станскова



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Опрос

Начинка для торта

  • Суфле 10.77%
  • Мусс из черной спородины 1.54%
  • Сырное "Парфе" 4.62%
  • Три шоколада 13.85%
  • Чизкейк Нью-Йорк 12.31%
  • Медовый Торт 4.62%
  • Медовый классический торт 0%
  • Фисташковое пралине 15.38%
  • Йогуртовый мусс с маскарпоне 7.69%
  • Шоколадно ментоловый мусс 6.15%
  • Черничный торт со свежей голубикой 9.23%
  • Шоколадный торт с ирландским муссом 7.69%
  • Ореховый торт 13.85%
  • Профитроли с карамелью 0%
  • Эстерхази 10.77%
  • Тирамису 15.38%
  • Мильфей 4.62%
  • Торт Мокко 7.69%
  • Десерт Павлова (без муки) 4.62%
  • Немецкий молочный торт 1.54%
  • Сметанный домашний торт 16.92%
  • Мусс из чернослива 4.62%
  • Мусс манго - малина или манго - маракуйя 9.23%
  • Норвежский торт Най 0%
  • Домашний бисквитный ягодный торт 30.77%
Другие опросы

Рассылка



PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Ознакомительный период завершен

Продолжить чтение можно после бесплатной регистрации.

В дополнение вы получите шаблоны самых востребованных и учитывающих профстандарты должностных инструкций:

  • выберите нужную инструкцию
  • скачайте ее БЕСПЛАТНО после регистрации



У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Зарегистрируйтесь, чтобы скачать

Скачивание материалов доступно только для зарегистрированных участников


У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль