- Оператор персональных данных
-
Оператор персональных данных (согласно закону РФ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Содержание
Требования закона к оператору персональных данных
Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных, то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал, посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.Необходимые документы
Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.
Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.
В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.
Подготовка документов, необходимых для защиты персональных данных
Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных»:
- Подготовка пакета своими силами на базе имеющихся в свободном доступе шаблонов документов;
- Подготовка при помощи системного интегратора — средний бюджет проекта обычно составляет не менее 300 тысяч рублей, а сроки исполнения от полугода.
- Подготовка при помощи автоматизированных сервисов (систем). (Система "Б152")
Средства защиты
Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.
См. также
- Персональные данные
- Защита персональных данных
- Согласие на обработку персональных данных
- Обработка персональных данных
- Субъект персональных данных
- Федеральный закон «О персональных данных»
Ссылки
Категория:- Информационная безопасность
Wikimedia Foundation. 2010.
