Меры по обеспечению безопасности при обработке персональных данных
(формулировки из ФЗ-152, главы 4, статьи 19, части 1)
При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
(формулировки из ФЗ-152, главы 4, статьи 19, части 2)
Обеспечение безопасности персональных данных достигается в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данных и принятием мер по исключению такого в дальнейшем;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- организацией контроля доступа в помещения, в которых ведётся обработка персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
(для банков формулировки из СТО БР ИББС-1.0-2014, статьи 7.10.9.)
При работе с материальными носителями персональных данных Оператором предусмотрены следующие меры защиты персональных данных:
- обособление персональных данных от иной информации, в частности, путём фиксации их на отдельных съёмных носителях персональных данных, в специальных разделах или на полях форм документов (при обработке персональных данных на бумажных носителях);
- учёт съёмных носителей персональных данных;
- установление, выполнение и контроль выполнения порядка хранения съёмных, в том числе машинных, носителей персональных данных и доступа к ним;
- хранение персональных данных, цели обработки которых заведомо несовместимы, на отдельных съёмных носителях;
- регистрация и учёт мест хранения материальных носителей персональных данных с фиксацией категории обрабатываемых персональных данных (специальные категории персональных данных, персональные данные, полученные из общедоступных источников, или иные персональных данных) включая раздельное хранение ресурсов персональных данных, обработка которых осуществляется с различными целями;
- назначение работников, ответственных за организацию хранения материальных носителей персональных данных;
- установление и выполнение порядка уничтожения (стирания) информации с машинных носителей персональных данных.
Ответственность за нарушение требований Федерального закона “О персональных данных»
(формулировки из ФЗ-152, главы 5, статьи 24, части 1)
Лица, виновные в нарушении требований Федерального закона “О персональных данных”, несут предусмотренную законодательством Российской Федерации ответственность.
(формулировки из ФЗ-152, главы 5, статьи 24, части 2)
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом “О персональных данных”, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом “О персональных данных”, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Заключительные положения
Настоящая Политика является внутренним документом Оператора, является общедоступной и подлежит размещению на официальном сайте Оператора;
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.
