Хранение ПДн на электронных носителях

Хранение ПДн на электронных носителях

Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)

Инструкция по учету, выдаче, хранению, обращению с
машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)

1. Общие положения

1.1. Все машинные носители информации, предназначенные для хранения информации ограниченного использования (для служебного использования, персональных данных) подлежат обязательному учету. Каждый съемный носитель с записанной на нем информацией ограниченного доступа должен иметь этикетку, на которой указывается его уникальный учетный номер.

1.2. Машинные носители информации учитываются в журнале учета. Журналы учета ведутся и хранятся в структурных подразделениях аппарата и отраслевых (функциональных) органах Администрации (далее — структурные подразделения), в которых ведется обработка информации ограниченного доступа.

1.3. Машинные носители информации выдаются и принимаются по журналу учета руководителем структурного подразделения.

1.4. Машинные носители информации в обязательном порядке маркируются следующим образом:

— на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевой стороне диска специальным маркером;

— на жестком магнитном диске учетный номер проставляется на корпусе. Жесткий магнитный диск учитывается отдельно (в случае съемной конструкции) или в составе системного блока (СБ) автоматизированного рабочего места. В случае учета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеивается бирка с указанием учетного номера, типа, модели машинного носителя, его объема, серийного номера жесткого магнитного диска;

— на носителях информации типа USB Flash-носители на корпус наклеивается бирка с указанием учетного номера носителя и его серийного номера;

— на персональных идентификаторах на корпус наклеивается бирка с указанием учетного номера носителя;

— бирки не должны закрывать заводские номера машинных носителей информации

1.5. Машинные носители информации хранятся в запертом шкафу.

1.6. Пользователям запрещается:

— использовать неучтенные машинные носители информации;

— использовать неучтенные персональные идентификаторы;

— хранить съемные носители с информацией ограниченного доступа вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

— выносить съемные носители с информацией ограниченного доступа из служебных помещений для работы с ними на дому.

1.7. При отправке или передаче информации ограниченного доступа адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка информации ограниченного доступа адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей информации ограниченного доступа для непосредственной передачи адресату осуществляется только с разрешения руководителя структурного подразделения.

1.8. О фактах утраты съемных носителей, содержащих информацию ограниченного доступа, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защиты персональных данных составляется акт. Соответствующие отметки вносятся в Журнал учета магнитных, оптических и иных носителей информации.

1.9. Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. По результатам уничтожения носителей информации составляется акт.

1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с информацией ограниченного доступа или персональным данным, должны быть в обязательном порядке ознакомлены под роспись с настоящей Инструкцией.

<< Приложение
N 2. Протокол проведения внутренней проверки условий обработки
Приложение >>
N 4. Правила работы с обезличенными данными в случае обезличивания персональных данных в администрации города Южно-Сахалинска
Содержание
Постановление Администрации города Южно-Сахалинска от 21 февраля 2020 г. N 489-па «Об обработке персональных данных в.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Хранение персональных данных

Хранение персональных данных

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

  • разрабатывает регламент хранения персональных данных;
  • определяет, где они будут находиться;
  • подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
  • назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
  • выбирает те или иные виды наказаний за нарушения правил;
  • подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

  1. Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
  2. Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
  3. Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
  4. Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
  5. Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

  • 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
  • на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
  • финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

  1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
  2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

  • общие положения;
  • способы выявления и профилактики несанкционированного доступа и распространения ПДн;
  • цели обработки и содержание хранимой личной информации;
  • категории субъектов;
  • сроки обработки и сохранения сведений;
  • механизм уничтожения информации;
  • ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

Как подготовиться к проверке Роскомнадзора?

Как подготовиться к проверке Роскомнадзора?

Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

Есть восемь моментов, на которые обращает внимание Роскомнадзор.

1. Ознакомление работников

Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

  • Политика в отношении обработки персональных данных;
  • Положение об обработке персональных данных;
  • Положение об обработке персональных данных без использования средств автоматизации.

2. Обучение работников в области защиты персональных данных

Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

  • приказом о допуске к обработке ПДн;
  • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
  • планом проведения внутреннего контроля;
  • приказом об утверждении перечня помещений, в которых ведется обработка;
  • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.

Убедитесь в том, что персональные данные в вашей компании защищены

3. Актуализация уведомления в Роскомнадзор об обработке ПДн

При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.

В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.

С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

4. Согласие субъектов на обработку ПДн

В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

  • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
  • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
  • составление общедоступных справочников внутри организации, адресных книг и т п.

При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

  • ФИО, адрес, паспортные данные субъекта ПДн;
  • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  • наименование (ФИО) и адрес оператора;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие;
  • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
  • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
  • срок, в течение которого действует согласие субъекта ПДн;
  • подпись субъекта ПДн.

5. Поручение обработки третьему лицу

В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

Поручение оператора содержит:

  • перечень действий с ПДн;
  • цели обработки ПДн;
  • обязанность соблюдения конфиденциальности ПДн;
  • обязанность обеспечения безопасности ПДн;
  • требования к защите ПДн.

При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

6. Обработка ПДн на бумажных носителях

Бумажные носители ПДн также должны отвечать ряду требований законодательства:

  • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
  • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
  • для всех документов должны быть указаны сроки их хранения;
  • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
  • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
  • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

7. Избыточность обрабатываемых персональных данных

Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

8. Публикация Политики

Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Защита ПДн в ИСПДн

Персональные данные (ПДн) – любые сведения о каком-либо лице. Например, ФИО, паспортные данные, медицинские сведения и т.д. Такие данные обрабатываются практически в каждой организации, будь то ПДн сотрудников или клиентов. Детские сады, университеты, школы, больницы – все они обязаны обеспечить защиту ПД своих клиентов. Регламентирована защита ПДн 152 фз — 152 Федеральным Законом, утвержденным 27 июля 2006 года. Он разъясняет обязанности оператора, собирающего ПДн, и условия обработки сведений.

Условия для обработки ПДн

Условия для обработки ПДн, описанные в 152-фз, включают в себя согласие субъекта на обработку и сбор ПДн только в установленном объеме и для установленной законной цели. Ответственность за защиту ПДн несет оператор, даже если обработкой занимается другое лицо.

Согласие субъекта является непреложным правилом для обработки ПДн. Это относится к клиентам и работникам. В согласии должны быть указаны: ФИО субъекта; номер паспорта и сведения о нем; наименование оператора; цель сбора ПДн; список ПДн и список операций, которые будут с ними проводиться; срок хранения ПДн и условия отзыва согласия.

Обязанности оператора

Главная обязанность оператора – обеспечить безопасность ПДн. Для этого он должен разработать положение, устанавливающие стратегию обработки ПДн, и ознакомить с ним сотрудников. В документе необходимо указать:

  • состав ПДн;
  • цели сбора ПДн;
  • виды носителей ПДн;
  • технологию обработки и хранения ПДн;
  • список лиц, имеющих доступ;
  • ответственность за разглашение ПДн.

Также нужно разработать акты, которые описывают меры, предпринимаемые оператором для исключения утечки ПДн.

Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.

Меры по защите персональных данных по 152-ФЗ

Для охраны персональных данных 152 фз перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:

  • установить возможные опасности для ПДн;
  • принять организационные и технические меры для охраны ПДн;
  • эксплуатировать средства защиты информации (СЗИ), прошедшие проверку;
  • оценить действенность принятых мер до запуска системы;
  • регистрировать носители ПДн;
  • выявлять случаи незаконного доступа к ПДн;
  • восстанавливать ПДн при необходимости;
  • установить порядок допуска к ПДн;
  • регистрировать все операции, которые происходят с ПДн;
  • назначить лицо, которое будет нести ответственность за обработку ПДн.

Меры по защите персональных данных по приказу ФСТЭК №21

ПДн обрабатываются посредством системы (ИСПДн). Ее необходимо обезопасить от утечки или незаконного доступа. Защита ПДн при обработке в ИСПДн подразумевает ряд мероприятий, которые указаны в пункте 2 приказа ФСТЭК №21 от 18.02.2013 г. В их число входят:

  • распознавание лиц, имеющих доступ к ПДн;
  • эксплуатация только разрешенного ПО;
  • учет и охрана носителей ПДн;
  • учет событий, угрожающих ПДн;
  • антивирусная защита;
  • выявление фактов незаконного доступа;
  • анализ безопасности ПДн;
  • защита ИСПДн;
  • защита систем связи и передачи ПДн.

Следует учесть, что для разных классов ИСПДн требования отличаются. Поэтому важно правильно определить класс системы. Для этого нужно учитывать категорию ПДн и их объем. Существует 4 категории ПДн:

  • категория 4 – общедоступные ПДн;
  • категория 3 – ПДн, которые позволяют опознать лицо;
  • категория 2 – ПДн, которые позволяют опознать лицо и узнать о нем новые сведения;
  • категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.

Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:

  • 3 – менее 1000,
  • 2 – от 1000 до 100000,
  • 1 – более 100000.

Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:

  • 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
  • 2 класс: нарушение безопасности ПДн может нанести чувствительный урон. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
  • 3 класс: нарушение безопасности ПДн может нанести незначительный урон. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
  • 4 класс: нарушение безопасности ПДн не нанесет урон. Сюда относятся ПДн 4 категории любого объема.
Читайте также  Должностная инструкция инженера по пожарной

Защита ПДн в ИСПДн 1 класса осуществляется при помощи СЗИ не ниже 4 класса, для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.

Перед запуском ИСПДн необходимо аттестовать. Аттестация – комплекс проверочных мероприятий, целью которых является оценка системы на соответствие нормам информационной безопасности.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector