- •Реферат
- •По теме:
- •Содержание
- •Введение
- •Федеральный закон Федеральный закон от 27.07.2006 №152-фз «о персональных данных» Понятие персональных данных
- •Основные принципы обработки персональных данных
- •Механизмы защиты персональных данных
- •Постановление Правительства рф от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- •Приказы Роскомнадзора Приказ Роскомнадзора России от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»
- •Приказ Роскомнадзора России от 28 октября 2022 года №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
- •Заключение
- •Список использованных источников
Основные принципы обработки персональных данных
Согласно пятой статьи ФЗ «О персональных данных», обработка персональных данных основывается на следующих принципах [1,2]:
– Законность. Обработка персональных данных должна осуществляться в соответствии с законодательством РФ и международными договорами, в которых участвует Россия.
– Целесообразность. Обработка персональных данных должна быть направлена на достижение определенных законных целей, являться необходимой и соответствующей этих целям.
– Соответствие целям обработки. Сбор и обработка персональных данных должны осуществляться только для конкретно определенных и законных целей, которые должны быть объявлены субъекту данных.
– Недопустимость несовместимости целей обработки. Обработка персональных данных не допускается для целей, не совместимых с целями, для которых эти данные были получены, если отсутствует согласие субъекта данных.
– Минимизация данных. Обработка персональных данных должна быть ограничена минимально необходимым объемом данных, достаточным для достижения целей обработки.
– Правомерность и справедливость обработки. Обработка персональных данных должна осуществляться в соответствии с законом и соблюдением принципов справедливости, а также с учетом прав и интересов субъектов данных.
– Обеспечение точности данных. Обработка персональных данных должна быть направлена на обеспечение их точности, полноты и актуальности, а при необходимости - на обновление или исправление этих данных.
– Хранение персональных данных. Персональные данные должны храниться в форме, позволяющей определить субъекта данных, в течение не дольше, чем это требуется для достижения целей обработки, если иное не предусмотрено законом.
– Безопасность персональных данных. Обработка персональных данных должна осуществляться с применением необходимых организационных и технических мер для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения.
– Контроль за обработкой персональных данных. Организация, осуществляющая обработку персональных данных, должна принимать необходимые меры для обеспечения контроля за соблюдением законодательства в области персональных данных [1,2].
Эти принципы обеспечивают справедливую, прозрачную и безопасную обработку персональных данных, защищая интересы субъектов данных и соблюдая требования законодательства.
Механизмы защиты персональных данных
ФЗ «О персональных данных» устанавливает ряд мер по обеспечению безопасности персональных данных при их обработке. Некоторые из них включают:
– Соблюдение конфиденциальности. Операторы должны обеспечивать конфиденциальность персональных данных и предотвращать их разглашение без согласия субъекта персональных данных или иного законного основания.
– Идентификация и аутентификация. Операторы должны использовать меры для идентификации и аутентификации пользователей, имеющих доступ к персональным данным.
– Ограничение доступа. Операторы должны ограничивать доступ к персональным данным только тем лицам, которым это необходимо для выполнения своих обязанностей.
– Технические меры безопасности. Операторы должны принимать меры по защите персональных данных с использованием современных технических средств и методов, включая шифрование, защиту от несанкционированного доступа и вредоносных программ.
– Обучение персонала. Операторы должны обучать свой персонал правилам обработки персональных данных и мерам безопасности, а также осведомлять их о последствиях нарушения требований закона.
– Учет и регистрация. Операторы должны вести учет и регистрацию операций с персональными данными, а также хранить их в течение определенного срока.
– Уведомление о нарушении безопасности. В случае нарушения безопасности персональных данных, операторы должны незамедлительно уведомить орган по защите прав субъектов персональных данных и субъектов самих [1,2].
Важно отметить, что перечисленные меры не являются исчерпывающим списком и требования могут быть более подробно определены в других нормативных актах и документах, включая внутренние политики и процедуры оператора.
Постановления правительства
Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» является ключевым документом, регулирующим обработку персональных данных в РФ. Стандарт разработан с учетом современных вызовов в области информационной безопасности и предоставляет четкие нормы для обеспечения конфиденциальности, целостности и доступности личных данных.
Безопасность персональных данных обеспечивает оператор информационной системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.
В данном постановление приведены основные виды информационной системы в зависимости от обрабатываемых персональных данных:
Информационной системой, обрабатывающей специальные категории персональных данных;
Информационной системой, обрабатывающей биометрические персональные данные;
Информационной системой, обрабатывающей общедоступные персональные данные;
Информационной системой, обрабатывающей общедоступные персональные данные [3].
Актуальные угрозы безопасности персональных данных делятся на 3 типа:
Первый тип угрозы связан с наличием недокументированных возможностей в системном ПО, которое используется в информационной системе;
Второй тип угрозы связан с наличием недокументированных возможностей в прикладном ПО, которое используется в информационной системе;
Третий тип угрозы не связан с наличием недокументированных возможностей в системном и прикладном ПО, которое используется в информационной системе [3].
В информационных системах существуют 4 уровня защищённости персональных данных. В постановление описаны методы защиты от 3 типов угроз в зависимости от уровня защищённости персональных данных.
Для обеспечения защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
Организация режима обеспечения безопасности помещений, в которых размещена информационная система;
Обеспечить сохранность носителей персональных данных;
Документ, определяющий перечень лиц, которым разрешен доступ к персональным данным;
Использование средств защиты информации, которые соответствуют требования законодательства Российской Федерации;
Ведение электронных журналов для выдачи доступов и прав сотруднику;
Назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных [3].
Важно отметить, что постановление не только регулирует работу с российскими персональными данными, но также распространяется на обработку данных иностранных граждан, если эта обработка связана с предоставлением товаров, работ или услуг на территории Российской Федерации.
Постановление Правительства РФ от 1 ноября 2012 г. №1119 стало важным шагом в обеспечении защиты персональных данных в РФ, обеспечивая сбалансированный подход к правам субъектов и обязанностям операторов информационных систем.
Постановление Правительства РФ от 21 марта 2012 №211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.
2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).
3. Настоящие требования не распространяются на отношения, возникающие при использовании:
а) оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
4. Материальный носитель должен обеспечивать:
а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее - уполномоченные лица);
в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.
5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
6. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.
8. Оператор обязан:
а) осуществлять учет количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель [4].
Постановление Правительства РФ от 6 июля 2008 г. №512 Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
2. Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования [5].