Вот и вышел первый и долгожданный документ, уточняющий нормы ФЗ "О персональных данных": Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Разберемся по пунктам, какие требования предъявляются. Мои примечания выделены синим цветом.
1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа;
(Данный пункт регламентируется ст. 18.1 ФЗ «О персональных данных»:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.)
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
(ст. 18.1 ФЗ «О персональных данных»
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
(ст. 18.1 ФЗ «О персональных данных»
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений);
а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются,
(ст. 3 ФЗ "О персональных данных"
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;)
сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
На мой взгляд, в документе нет неожиданных пунктов. Однако где же оценка вреда субъекту?..
(по смыслу из статьи Статья 21. "Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных").
правила рассмотрения запросов субъектов персональных данных или их представителей;
(с. 22.1 ФЗ "О персональных данных"
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.)
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
(ст. 18.1 ФЗ «О персональных данных»
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора);
правила работы с обезличенными данными;)
перечень информационных систем персональных данных;
(новое. Стандартный документ, присутствует у многих операторов.)
перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
(новое. По сути сюда должны попадать все персональные данные.)
перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
(новое. Видимо обезличивание теперь необходимо производить комиссионно.)
перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
(Важно! Составляется не список лиц с ФИО, а список должностей, т.е. при увольнении и приеме на работу документ не переделывается.)
должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
(Важно! Инструкция должна быть согласована со Статьей 22.1. Лица, ответственные за организацию обработки персональных данных в организациях.)
типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
(новое. Похоже на форму по неразглашению КТ.)
типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных,
(Статья 9. Согласие субъекта персональных данных на обработку его персональных данных)
а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
(Статья 18 ФЗ "О персональных данных:
2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.)
порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;
(новое. Думаю, можно добавить раздел в инструкцию о пропускном режиме.)
в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
(Должны приниматься меры защиты ст. 19. ФЗ "О персональных данных")
г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
(Роскомнадздор ориентировался на этот документ и раньше.)
д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;
(по ФЗ в обязанности лица, ответственного за организацию обработки персональных данных входит осуществление контроля.)
е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;
(также обязанности ответсвенного лица, обучение регламентируется статьей 18.1)
ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных»;
(ст. 22 ФЗ "О персональных данных".)
з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
(Непонятно, где указаны методы и требования к обезличиванию.)
2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
(ст. 18.1. ФЗ "О персональных данных"
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;)
На мой взгляд, в документе нет неожиданных пунктов. Однако где же оценка вреда субъекту?..
Также заметки о новом Постановлении можно прочитать здесь:
