Обработка данных без использования средств автоматизации это

обработка данных без использования средств автоматизации это

Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «Что, содержание личного дела в отделе кадров – это тоже персональные данные?». Особенно это интересно выглядит, когда нам говорят: «А у нас ответственным за организацию обработки персональных данных будет айтишник Валерий». За нашим вопросом: «А хорошо ли он знаком с трудовым законодательством?» – следует немая сцена на несколько минут, и потом коронные: «Валерий, вы же сказали что закон о персональных данных – это только средства защиты на ПК поставить и все». Итак, чтобы не возникало подобных вопросов, запоминаем основу статьи 1 Федерального закона «О персональных данных»: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации… или без использования таких средств…».

Обработка персональных данных без использования средств автоматизации это

Но встает вопрос как выполнять подпункты «а» и «б» этого пункта? Вообще регуляторы не дают объяснений — что же это такое, но мы встречали случаи, когда оператора наказывали за несоблюдение требований к типовой форме документов. Исходя из судебной практики и текста этого пункта, можно выделить следующие особенности, характеризующие типовые документы: 1) Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя.
2)

Инфоinfo
Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных. Отсюда и требования подпункта «б» о наличии поля для согласия.

То есть, мы отметаем мысли о том, что карточка Т-2 это типовой документ оператора.

Обработка данных без использования средств автоматизации это

Вниманиеattention
Постановлению правительства №678.

Что это означает на практике?

Если оператор ПД берет папку с персональными сведениями и удаляет ее с компьютера – это автоматизированная обработка. Если оператор заполняет с помощью клавиатуры формуляр для каждого клиента-субъекта ПДн – это неавтоматизированная работа.


Споры возникает относительно хранения сведений в компьютере – ведущую роль здесь играет формат хранения – групповой, предусматривающий авто-операции, или индивидуальный – для обработки каждого документа отдельно от остальных.

Нюансы

Следует отметить, что особенности неавтоматической обработки указаны в Постановлении российского Правительства № 678.

Они охватывают нормативы, определяющие, как сведения должны храниться, использоваться и обрабатываться.

  • Обособление.

Исходя из судебной практики и текста этого пункта можно выделить следующие особенности, характеризующие типовые документы: 1) Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя. 2) Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных. Отсюда и требования подпункта «б» о наличии поля для согласия.

Важноimportant
То есть мы отметаем мысли о том, что карточка Т-2 – это типовой документ оператора. Вообще, если решите создавать у себя типовые формы документов, – отнеситесь серьезно к этому пункту и ничего из него не забывайте.

Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора.


Пункт 13 определяет наличие трех перечней: перечня персональных данных, перечня мест хранения носителей персональных данных и перечня лиц, осуществляющих обработку персональных данных.

Каждый пользователь и администратор должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации — ключи шифрования для криптографических средств.

обеспечение безопасности при межсетевом взаимодействии. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны. Рекомендуется учитывать разделение трафика по производственной основе и видам деятельности предприятия при построении сети и конфигурировании коммуникационного оборудования.

Подключение ЛВС к другой автоматизированной системе иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники.
Межсетевые экраны.

Например, цели обработки карточек Т-2 и договоров с клиентами будут разные. Соответственно, исходя из требований 14-го пункта, нам необходимо обеспечить раздельное их хранение.

И здесь этот пункт тесно пересекается с 13-м и 15-м. Здесь вступают в бой те самые, очень непростые, организационные и режимные меры.
Пункт 15 обязывает нас соблюсти условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Что это значит? Возьмем грубый пример – в одном помещении сидят: специалист по работе с кадрами, по работе с клиентами и медсестра организации.


У них у всех будут свои персональные данные, своих категорий и отдельных субъектов.

С точки зрения правильной организации хранения носителей, обеспечивающего защиту от несанкционированного доступа, каждый работник должен иметь свой запирающийся шкаф, где хранит свои документы.

3.2.Особенности обеспечения безопасности персональных данных в автоматизированных системах

Автоматизированные системы обработки информации (АС) в общем случае классифицируются по следующим признакам:

  1. наличие в АС информации различного уровня конфиденциальности;

  2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

  3. режим обработки данных в АС — коллективный или индивидуальный.

Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс характеризуется установленным набором требований по защите.

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10.

Больше ничего не надо. Получился большой шкаф с людьми и материальными носителями.

В другом случае мы помогали организовать работу с персональными данными в коллекторском агентстве. У них отдел по работе с должниками завален десятками тысяч дел на стеллажах.

Хранить в шкафах в их условиях было невозможно. Решение было простое. На дверь в кабинет поставили электронный замок. Пароли раздали сотрудникам под роспись.

Прописали приказами необходимые сведения, в том числе невозможность проникновения посторонних лиц и все: несколько тысяч рублей решили проблему защиты от несанкционированного доступа для огромного массива документов. Шкафы бы вышли намного дороже, да и проверка прошла без замечаний.

Вообще, если решите создавать у себя типовые формы документов, — отнеситесь серьезно к этому пункту и ничего из него не забывайте.

Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора. Пункт 13 определяет наличие трех перечней: перечня персональных данных, перечня мест хранения носителей персональных данных и перечня лиц, осуществляющих обработку персональных данных. Здесь часто операторы забывают, что места хранения нужно определить в отношении каждой категории персональных данных. Соответственно, если вы медицинское учреждение, то в перечне мест хранения нужно определить где лежат те или иные материальные носители определенной категории: карточки Т-2- в отделе кадров, договоры с платными пациентами – в регистратуре, медицинские карты пациентов в ординаторских, или же все это хранится в архиве.

Процитируем их:

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты.

Комментарии 0

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *