Вопрос-ответ 4

1886
Недавно в нашем образовательном учреждении проводился мониторинг защиты персональных данных и исполнения Закона о персональных данных. В представленном списке наличия организационно-распорядительной и нормативной документации был журнал учета согласий субъектов персональных данных. Обязательно ли вести учет согласий работников, регистрировать их? Также указали на обязательное наличие плана мероприятий по защите персональных данных. Обязателен ли он и на какой период должен быть составлен?

Согласно ст. 9 Закона о персональных данных в предусмотренных законом случаях обработка персональных данных осуществляется только с письменного согласия субъекта. В соответствии с приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» в ходе проверки данная служба рассматривает документы оператора, в том числе письменные согласия субъектов персональных данных на обработку их персональных данных (п. 67.1.4. Административного регламента). Ведение журнала учета согласий не является обязательным, главное - наличие согласий субъектов на обработку персональных данных.

Кроме того, в соответствии с п. 1 ст. 18.1 Закона о персональных данных оператор самостоятельно определяет перечень мер, необходимых и достаточных для выполнения обязанностей по защите персональных данных, если иное не предусмотрено законодательством.

Так как ваша организация является образовательным учреждением, то вам следует руководствоваться актами Минобрнауки России. Так, в соответствии с письмом Рособразования от 22.10.2009 № 17-187 «Об обеспечении защиты персональных данных» со ссылкой на рекомендации ФСТЭК для обеспечения защиты информационных систем персональных данных рекомендованы:

1. Предпроектная стадия:

1) обследование информационных систем персональных данных;

2) разработка Плана мероприятий по обеспечению защиты персональных данных;

3) разработка Технического задания.

2. Стадия проектирования и реализации:

1) разработка Технического проекта;

2) внедрение технических средств защиты персональных данных;

3) разработка нормативной и регламентирующей документации.

3. Стадия ввода в действие:

1) опытная эксплуатация системы защиты персональных данных;

2) приемо-сдаточные испытания;

3) оценка соответствия требованиям по безопасности информации;

4) обучение персонала;

5) подача уведомления о начале обработки персональных данных.

В свою очередь, ФСТЭК рекомендует на предпроектной стадии по обследованию информационных систем персональных данных провести следующие мероприятия:

1) установить необходимость обработки персональных данных в информационных системах;

2) определить перечень персональных данных, подлежащих защите от несанкционированного доступа;

3) определить условия расположения информационных систем персональных данных относительно границ контролируемой зоны;

4) определить конфигурацию и топологию информационных систем персональных данных в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

5) определить технические средства и системы, предполагаемые к использованию в разрабатываемых информационных системах персональных данных, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;

6) определить режимы обработки персональных данных в информационных системах в целом и в отдельных компонентах;

7) определить класс информационной системы персональных данных;

8) уточнить степень участия должностных лиц в обработке персональных данных, характер их взаимодействия между собой;

9) определить (уточнить) угрозы безопасности персональных данных применительно к конкретным условиям функционирования информационных систем (разработка частной модели угроз). По результатам предпроектного обследования на основе настоящего документа с учетом установленного класса информационных систем персональных данных задать конкретные требования по обеспечению безопасности персональных данных, включаемых в техническое (частное техническое) задание на разработку системы защиты персональных дынных. В письме Рособразования обозначенные рекомендации являются примерными и должны быть адаптированы учреждениями с учетом конкретных условий обработки персональных данных. Поэтому разработка плана мероприятий по защите персональных данных, во-первых, носит рекомендательный характер, во-вторых, касается информационных систем защиты персональных данных.

У.М. Станскова

Читайте в этом месяце
    Узнать подробнее >>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией




      PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Свидетельство о регистрации ПИ № ФС77-64204 от 31.12.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Извините, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права наших экспертов, многие статьи на сайте находятся в закрытом доступе для незаарегистрированных пользователей.
      Зарегистрируйтесь, чтобы продолжить чтение. Это займет меньше минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И читать продолжение
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Зарегистрируйтесь на сайте и скачайте файл!

      Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Ваш подарок придет на указанный при регистрации Email
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль