Рейтинг: 4.3/5.0 (1796 проголосовавших)Категория: Бланки/Образцы
Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”
Обзор документа
25 августа 2011
В целях реализации частей 1, 3 статьи 22, также части 4 статьи 25 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716, № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701), приказываю:
1. Утвердить прилагаемые Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
2. Признать утратившими силу пункты 1, 2 приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16 июля 2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных».
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Р.В. Шередина.
Рекомендации1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке Оператора (по форме, прилагаемой к настоящим Рекомендациям), осуществляющего обработку персональных данных (далее - Оператор), и направляется в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - территориальный орган Роскомнадзора).
3. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
4. В поле «наименование (фамилия, имя, отчество), адрес Оператора» указывается:
4.1. Для юридических лиц (Операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
наименование филиала (ов) (представительства (в) юридического лица (Оператора), осуществляющего обработку персональных данных;*(1)
индивидуальный номер налогоплательщика (ИНН).
4.2. Для физических лиц:
фамилия, имя, отчество физического лица (Оператора);
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
индивидуальный номер налогоплательщика (ИНН).
4.3. Для государственных, муниципальных органов (Операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;
индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
5. В поле «цель обработки персональных данных» указываются цели обработки персональных данных (а также их соответствие полномочиям Оператора) (Примечание № 1).
Примечание № 1. Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах Оператора, так и цели, фактически осуществляемой Оператором деятельности по обработке персональных данных.
6. В поле «категории персональных данных» указываются все категории персональных данных, подлежащих обработке:
6.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
6.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояния здоровья, интимной жизни).
6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).
7. В поле «категории субъектов, персональные данные которых обрабатываются» указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).
8. В поле «правовое основание обработки персональных данных» указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (Примечание № 2);
Примечание № 2. Указываются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст.ст. 85 - 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона «Об актах гражданского состояния» и др.).
Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (Примечание № 3).
Примечание № 3. Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий.
9. В поле «перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных», указываются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (Примечание № 4)
Примечание № 4. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.
10. В поле «описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», указываются:
а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
б) фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) класс информационной системы персональных данных Оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
г) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
В случае использования Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. № 149/5-144.
11. В поле «сведения о наличии или об отсутствии трансграничной передачи персональных данных» указываются сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
12. В поле «сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
13. В поле «дата начала обработки персональных данных» указывается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
14. В поле «срок или условие прекращения обработки персональных данных» указывается конкретная дата (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
*(1) Для юридических лиц с филиальной структурой указывается список субъектов Российской Федерации (с указанием кода субъекта - согласно справочнику «Коды регионов», утвержденному приказом ФНС России от 13.10.2006 года № САЭ-3-04/706@ «Об утверждении формы сведений о доходах физических лиц» (зарегистрированным Министерством юстиции Российской Федерации 17.11.2000 г. регистрационный номер 8507), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Уведомление направляется юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).
*(2) Указывается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация.
Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить - обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
*(3) Указывается место нахождения физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес физического лица, контактная информация.
*(4) Указывается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес государственного, муниципального органа, контактная информация.
Приложение
к Рекомендациям по заполнению
образца формы уведомления об обработке
(о намерении осуществлять обработку)
персональных данных
Руководителю Управления Федеральной службы
по надзору в сфере связи, информационных
технологий и массовых коммуникаций
(наименование территориального органа
об обработке (о намерении осуществлять обработку) персональных данных
ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ!
Все надписи, выделенные красным цветом, являются примером заполнения уведомления и требуют введения конкретного значения со стороны оператора!
Пример для заполнения
Текст примера следует переработать с учетом особенностей
деятельности Вашей организации, необходимо убедиться в том, что в подаваемом Вами уведомлении указаны полные и достоверные сведения о Вашей организации.
Текст, набранный курсивом, в уведомление не вносить.
Руководителю Управления Федеральной службы
по надзору в сфере связи, информационных
технологий и массовых коммуникаций
по Пермскому краю
Ленина ул. д.68, г. Пермь, 614096
об обработке (о намерении осуществлять обработку) персональных данных
Полное и сокращенное наименования
Государственное учреждение _______________
Фамилия, имя, отчество ___________________________
Паспорт серия____ № _____ выдан ____________ дата выдачи_____________
(заполняется только для индивидуальных предпринимателей)
Адрес местонахождения: ХХХХХХ, г. _________, ул. ___________, д. __
Почтовый адрес оператора: ХХХХХХ, г. __________, ул. ___________, д. __
ОКВЭД ХХХХХ, ОКПО ХХХХХХ, ОКОГУ ХХХХХ, ОКОП ХХХХХ, ОКФС ХХХХХ
Филиалы, представительства, отделения, корпуса учреждения:
Филиал 1, Адрес: ХХХХХХХ
Филиал 2, Адрес: ХХХХХХХ
Руководствуясь: (Правовое основание обработки персональных данных): Конституцией РФ ст. 41; Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ (ст. 85-90); Гражданским кодексом РФ; Налоговым кодексом РФ; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральным законом от 10.06.1992 г. № 3266-1 «Об образовании»; Федеральным законом от 02.05.2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
а также указать названия других федеральных и региональных нормативных актов (если такие имеются), регламентирующих деятельность организации и касающихся обработки персональных данных;
Лицензией от _______ № ХХХХХХ на «Осуществление ___________ », Уставом _______ от____, Положением о _________________
С целью: осуществления образовательной деятельности, оказания медицинской помощи, ведения кадровой работы и бухгалтерского учета
Осуществляет обработку (категории персональных данных): фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия; доходы; состояние здоровья; состав семьи; должность; стаж; данные документа, удостоверяющего личность; ИНН; СНИЛС; специальность; квалификация; сведения о воинской обязанности и военной службе, указать другие имеющиеся категории.
Принадлежащих (категории субъектов, персональные данные которых обрабатываются): работникам ___________, членам семьи работника, учащимся, пациентам ___________, родителям (законным представителям) учащихся, пациентов, а также физическим лицам, состоящие в иных договорных отношениях с ____________
Обработка вышеуказанных персональных данных будет осуществляться путем (перечень действий с персональными данными, общее описание используемых оператором способов): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная или неавтоматизированная или смешанная
(указать что-либо одно)
Также с передачей по внутренней сети юридического лица или
без передачи по внутренней сети юридического лица
(указать что-либо одно)
с передачей по сети Интернет или без передачи по сети Интернет
Для обеспечения безопасности персональных данных применяются следующие меры (описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
Назначено лицо, ответственное за организацию обработки персональных данных.
Разработан документ, определяющий политику оператора в отношении обработки персональных данных, обеспечен неограниченный доступ к нему на стенде (корпоративном сайте) учреждения .
Разработаны локальные акты по вопросам обработки персональных данных.
Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
Разработана модель угроз безопасности в информационной системе.
Обеспечивается учет машинных носителей персональных данных.
Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
Правовые меры: Положение об обработке персональных данных ____________, инструкции_______________, приказы _______________
Организационные меры: информация доступна для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).
Средства обеспечения безопасности: обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств - электронная цифровая подпись, используются антивирусные средства защиты информации, межсетевое экранирование, иные технические средства с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.
Ответственные за организацию обработки персональных данных. _________________ (фамилия, имя, отчество физического лица или наименование юридического лица). контактный телефон _______________, почтовый адрес _________________, адрес электронной почты __________________
Сведения о наличии шифровальных (криптографических) средств и наименования этих средств :
используется или не используется
(указать что-либо одно)
если используется, то указатьнаименование, регистрационные номера и производители используемых криптографических средств
«КриптоПро CSP 2.0», ООО «Крипто-Про», регистрационный номер № 0000001.
Сведения о наличии или об отсутствии трансграничной передачи персональных данных :
Не осуществляется или Осуществляется
(указать что-либо одно)
При наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
Сведения об обеспечении безопасности персональных данных (в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации):
Назначен ответственный за организацию обработки персональных данных. Разработаны локальные нормативные акты. При эксплуатации информационных систем персональных данных принимаются меры, исполнение которых обеспечивает установленные уровни защищенности персональных данных. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные ПП РФ от 15.09. 2008 г. № 687.
Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.
Класс информационной системы:
К1 или К2 или К3 или К4 или Система не классифицирована
Дата начала обработки персональных данных: ХХ.ХХ.ХХХХ
(указывается дата постановки на учет в налоговом органе)
Срок или условие прекращения обработки персональных данных: прекращение деятельности ООО _______________ или ИП________
(должность) (подпись) расшифровка подписи
"__" ______________20__ г.
ОБРАЗЕЦ(ВНИМАНИЕ! Помеченное красным цветом заполняется, исправляется или удаляется в соответствии с реальным положением дел юридического лица)
Штамп или бланк организации
Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий
и массовых коммуникаций по Чувашской республике-Чувашии
об обработке персональных данных
Наименование оператора: Указывается Полное наименование в соответствии с учредительными документами (Краткое наименование в соответствии с учредительными документами).
^ Адрес местонахождения: Указывается местонахождение в соответствии с учредительными документами и свидетельством о постановке юридического лица, на учет в налоговом органе, контактная информация;
Регионы: Указываются регионы Российской Федерации на территории, которых осуществляется обработка персональных данных (Чувашская Республика);
Коды: ОГРН, КПП, при наличии указываются коды ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС.
Филиалы. (При наличии, указываются наименование филиала(ов) (представительства(в) юридического лица (оператора), осуществляющего обработку персональных данных, адрес места нахождения).
^ Правовое основание обработки персональных данных
руководствуясь (Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных) ст.ст. 23, 24 Конституции Российской Федерации, ст.ст. 85-90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Положением о защите персональных данных работников (наименование юридического лица), утвержденным (приказом, распоряжением руководителя от (дата приказа) №), Уставом организации.
^ Цель обработки персональных данных
с целью (указываются цели, определенные учредительными документами оператора, а так же цели, фактически осуществляемой оператором деятельности по обработке персональных данных) начисления и выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в Управление ПФ РФ, ИФНС № ___ по Чувашской Республике, регистрации сведений, необходимых для оказания услуг ___, регистрации обращений граждан.
^ Категории персональных данных
осуществляет обработку следующих категорий персональных данных:
фамилия, имя, отчество; доходы; профессия; образование; имущественное положение; социальное положение; семейное положение; адрес; место рождения; дата рождения; месяц рождения; год рождения;
специальные категории персональных данных: (если такие категории обрабатываются)
биометрические персональные данные: (если такие категории обрабатываются)
ИНН, свидетельство об образовании, данные паспорта, военного билета, медицинского полиса, страхового свидетельства, сведений из личных карточек, сведения воинского учета, пол, гражданство, сведения о близких родственниках, контактные телефоны.
^ Категории субъектов, персональные данные которых обрабатываются
принадлежащих: гражданам Российской Федерации, физическим лицам – сотрудникам организации (учреждения), учащимся, родителям, пациентам и т.д.
^ Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обработка вышеуказанных персональных данных будет осуществляться путем: смешанная; с передачей или без передачи по внутренней сети юридического лица; с передачей или без передачи по сети Интернет;
осуществление трансграничной передачи персональных данных: не осуществляется
Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке:
Назначены, в соответствии с утвержденным списком лиц, ответственные за обеспечение безопасности обработки персональных данных, и сотрудники, отвечающие непосредственно за обработку персональных данных, утверждены должностные инструкции, ограничен доступ в помещения, где обрабатываются персональные данные;
средства обеспечения безопасности: антивирусное ПО; межсетевые экраны; использование электронно-цифровой подписи (ЭЦП); пароли на компьютерах, на которых осуществляется обработка персональных данных; резервное копирование; ограничение доступа в помещения в которых осуществляется обработка персональных данных; установка сигнализации; дополнительных замков; металлических дверей; хранение документов в сейфе, запираемых шкафах.
использование шифровальных (криптографических) средств: не используется (В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. N 149/54-144.)
класс информационной системы: не указан (класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»).
^ Ответственный за организацию обработки персональных данных: фамилия, имя, отчество физического лица, конкретного работника (сотрудника) организации, и номера его контактных телефонов, почтовый адрес и адрес электронной почты. Если же на основании договора оператор поручает организацию обработки персональных данных и обеспечение защиты другому юридическому лицу. то необходимо указать наименование юридического лица, контактные телефоны, почтовый адрес и адрес электронной почты данного юридического лица.
^ Сведения об обеспечении безопасности персональных данных: утверждены инструкции и положения, регламентирующие порядок обработки персональных данных, с которыми ознакомлены все работники организации (предприятия) под роспись, ограничен доступ в помещение(я), где обрабатываются персональные данные, передача информации осуществляется по защищенным каналам связи (в соответствии с договорами или лицензией ), предоставление необходимого помещения (помещений) для хранения документов, содержащих персональные данные, организация режима обеспечения безопасности в этом(их) помещении(ях).
^ Дата начала обработки персональных данных: 25.12.2008 г.
Срок или условие прекращения обработки персональных данных: реорганизация или ликвидация юридического лица.
Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
(наименование территориального органа Роскомнадзора)
об обработке (о намерении осуществлять обработку) персональных данных
(полное и сокращенное наименования, фамилия, имя отчество)
(адрес местонахождения и почтовый адрес Оператора)
руководствуясь:
(Указываются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных) ст.ст. 23, 24 Конституции Российской Федерации, ст.ст. 85-90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Положением о защите персональных данных работников (наименование юридического лица), утвержденным (приказом, распоряжением руководителя от (дата приказа) №), Уставом организации.
(правовое основание обработки персональных данных)
с целью:
(указываются цели, определенные учредительными документами оператора, а так же цели, фактически осуществляемой оператором деятельности по обработке персональных данных) начисления и выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в Управление ПФ РФ, ИФНС № ___ по Чувашской Республике, регистрации сведений, необходимых для оказания услуг ___, регистрации обращений граждан.
(цель обработки персональных данных)
осуществляет обработку:
фамилия, имя, отчество; доходы; профессия; образование; имущественное положение; социальное положение; семейное положение; адрес; место рождения; дата рождения; месяц рождения; год рождения; специальные категории персональных данных: (если такие категории обрабатываются)
состояние здоровья
биометрические персональные данные: (если такие категории обрабатываются)
фотография
а также:
ИНН, свидетельство об образовании, данные паспорта, военного билета, медицинского полиса, страхового свидетельства, сведений из личных карточек, сведения воинского учета, пол, гражданство, сведения о близких родственниках, контактные телефоны.
(категории персональных данных)
принадлежащих:
гражданам Российской Федерации, физическим лицам – сотрудникам организации (учреждения), учащимся, родителям, пациентам и т.д.
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
смешанная; с передачей или без передачи по внутренней сети юридического лица; с передачей или без передачи по сети Интернет;
(перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие меры:
Назначены, в соответствии с утвержденным списком лиц, ответственные за обеспечение безопасности обработки персональных данных, и сотрудники, отвечающие непосредственно за обработку персональных данных, утверждены должностные инструкции, ограничен доступ в помещения, где обрабатываются персональные данные;
(описание мер, предусмотренных ст.ст. 18.1. и 19 Федерального закона от 27.07.2006 № 152-ФЗ)
не используется (В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. N 149/54-144.)
«О персональных данных», в т. ч. сведения о наличии шифровальных (криптографических)
антивирусное ПО; межсетевые экраны; использование электронно-цифровой подписи (ЭЦП); пароли на компьютерах, на которых осуществляется обработка персональных данных; резервное копирование; ограничение доступа в помещения в которых осуществляется обработка персональных данных; установка сигнализации; дополнительных замков; металлических дверей; хранение документов в сейфе, запираемых шкафах, средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование
юридического лица, ответственных за организацию обработки персональных данных,и номера их контактных телефонов, почтовые адреса и адреса электронной почты)
Сведения о наличии или об отсутствии трансграничной передачи персональных данных
(при наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень иностранных государств, на территорию которых осуществляется трансграничная
передача персональных данных)
Сведения об обеспечении безопасности персональных данных
утверждены инструкции и положения, регламентирующие порядок обработки персональных данных, с которыми ознакомлены все работники организации (предприятия) под роспись, ограничен доступ в помещение(я), где обрабатываются персональные данные, передача информации осуществляется по защищенным каналам связи (в соответствии с договорами или лицензией), предоставление необходимого помещения (помещений) для хранения документов, содержащих персональные данные, организация режима обеспечения безопасности в этом(их) помещении(ях)
(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации)
Дата начала обработки персональных данных _________________________________
(число, месяц, год)
Срок или условие прекращение обработки персональных данных
реорганизация или ликвидация юридического лица.
____________________________ ___________________ _________________________
(должность) (подпись) расшифровка подписи
Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон. регулирующий деятельность по обработке (использованию) персональных данных [1].
Подача уведомления об обработке персональных данныхПри подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.
На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.
В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.
Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица [2].
Наименование оператораПри заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая - номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов [2].
По сути, цель обработки - указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности [2] [3].
Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве [2].
Категории субъектов, персональные данные которых обрабатываютсяУказываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.
В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях [2].
Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации
К техническим мерам можно отнести:
При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях [3].
Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными [3].
Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» [3].
Способы удешевления сертификации:
В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.
Медиа-пак – необходимый для установки, конфигурирования и использования продукта набор программ (дистрибутив). Поставляется в комплекте с лицензиями Kaspersky Business Space Security [4].
1C: Предприятие 8.2z«1С:Предприятие, версия 8.2z» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну (сертификат соответствия № 213 от 20.07.2010 г. выданный ФСТЭК России) [5].
Примечания См. также Ссылки
