4Автоматизированная и неавтоматизированная обработка в Учреждениях
Следующим шагом, необходимо определить – какого вида обработку вы производите.
Обработка бывает двух видов: автоматизированная и неавтоматизированная.
Автоматизированная обработка (обработка с помощью средств автоматизации) осуществляется в информационных системах персональных данных (ИСПДн). ИСПДн представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Именно к автоматизированной обработке относится термин ИСПДн, и ей посвящена большая часть данных методических рекомендаций.
Под автоматизированной обработкой будем понимать обработку (и все действия связанные с ней) производящуюся с помощью компьютера.
Автоматизированная обработка регулируется Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Автоматизированная обработка на данный момент хорошо регламентирована, поэтому рекомендуется осуществлять именно ее. При этом необходимо учитывать положения разделов 5, 13, 15 и 17. Это позволит свести к минимуму количество злоупотреблений при проверках.
Далее, кроме специально оговоренных случаев будет идти речь об автоматизированной обработке (см. ниже).
Неавтоматизированная обработка (без использования средств автоматизации), регулируется Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Будем понимать под неавтоматизированной обработкой – обработку, производящуюся на неэлектронных носителях (бумаге).
К неавтоматизированной обработке относятся:
различные виды бумажных журналов (школьный журнал, учет прохода посетителей и т.п.);
личные дела сотрудников;
личные дела учащихся;
другие виды обработки, производящиеся исключительно на бумаге.
Неавтоматизированная обработка в данный момент практически не регламентирована. Это может повлечь злоупотребления, при прохождении проверки. Не рекомендуется переходить с автоматизированной на неавтоматизированную обработку, если можно этого избежать.
Надо отметить, что можно перевести всю обработку в неавтоматизированный вид. Тогда, формально, останется выполнить лишь положения упомянутого выше Постановления Правительства Российской Федерации от 15 сентября 2009 г. № 687. Т.к. в этой области пока нет уточнений со стороны регуляторов (как в случае с автоматизированной обработкой), то это позволит корректно пройти проверку. Минусами данного способа являются – неудобство работы и временный характер решения (неавтоматизированная обработка может быть в скором времени отрегулирована).
В разделе 11 даны рекомендации и формы документов по обеспечению защиты ПДн, при неавтоматизированной обработке. Смежными, в плане обеспечения безопасности при неавтоматизированной обработке, так же являются положения законодательства об архивном делопроизводстве. В данный момент этих мер будет достаточно для выполнения требований законодательства в области персональных данных.
5Владелец ИСПДн Учреждения
ИСПДн по своей структуре и свойствам бывают очень разные (об этом мы поговорим в разделе 7), поэтому очень важно определить владельца ИСПДн.
Под владельцем ИСПДн мы будем понимать организацию, подпадающую под одно или несколько определений (они расположены в порядке важности):
у кого физически расположено главное хранилище (база данных) ПДн;
на чьем балансе стоят все (или большинство) технические средства информационной системы;
в чьих интересах производится обработка персональных данных.
Именно организация-владелец должна обеспечить весь комплекс мероприятий по защите персональных данных.
Например, если данные только собираются в Учреждениях, а пересылаются, агрегируются и хранятся у иной организации, система является распределенной (раздел 7), а владельцем считается иная организация.
Необходимо знать, что передача персональных данных другому юридическому лицу (третьей стороне) – может осуществляться лишь при наличии соответствующего договора между вами (или специального пункта в уже существующих договорах, например, договора подряда, договора обслуживания вычислительного оборудования и других, в зависимости от целей обработки – Приложение 20). При этом ИСПДн третьей стороны должны обеспечивать защиту при обработке ПДн категорией не ниже, чем у передающей стороны. Если передающая сторона передает ПДн 2 категории, а в ИСПДн принимающей стороны обрабатываются лишь данные 3 категории – принимающая сторона должна обеспечить защиту данных по 2 категории.
Существуют случаи, когда владельцем ИСПДн является не само Учреждение. Например, программы передачи налоговой отчетности – Контур-Экстер, Такском-Спринтер и их аналоги. Как мы увидим в разделе 6, эти системы являются распределенными, где Учреждение пользуется лишь клиентом (т.е. осуществляет лишь передачу данных), который удаленно пересылает данные в другие ИСПДн. Таким образом, эти системы не являются ИСПДн Учреждения, это должно быть отражено в «Отчете о внутренней проверке». Требования к обеспечению безопасности этих систем должен предъявлять их владелец. Если официальных требований нет, то защита данных с вашей стороны обеспечивается созданной вами СЗПДн.
При наличии у Учреждения какой-либо ИСПДн, предоставленной внешней (вышестоящей) организацией, например, Департаментом образования, и обрабатывающей данные по ее распоряжению, возможны два случая.
В первом случае на компьютерах учреждения производится хранение данных. Установленная программа хранит все данные, необходимые для выполнения целей вышестоящей организации, и в определенные моменты времени информация высылается в эту организацию. В любой момент времени ответственное лицо может внести изменения в имеющуюся базу данных. В таком случае школа будет считаться обладателем данной ИСПДн и должна выполнять все требования законодательства для защиты персональных данных.
Во втором случае учреждение периодически отправляет необходимые данные в вышестоящую организацию, не храня их постоянно на компьютерах, а используя съемный носитель, например, флеш-память. Ответственное лицо в оговоренное время обновляет имеющуюся информацию и отсылает данные, после чего работа с носителем не ведется, данные на компьютере не остаются и обработка персональных данных прекращается. В данном случае ИСПДн от вышестоящей организации в самом учреждении отсутствует, и требования по защите ИСПДн к такой системе не применяются.
Всем учреждениям, имеющим порядок обработки, описанный в первом случае, рекомендуется перейти на порядок обработки, описанный во втором случае. Это позволит без угрозы функциональности уменьшить количество имеющихся в учреждении ИСПДн и понизить требования, предъявляемые законодательством в области защиты персональных данных. Убрать у системы, предоставленной вышестоящей организацией, статус ИСПДн рекомендуется при выполнении следующих условий:
В ИСПДн данные обрабатываются только с целями вышестоящей организации. Собственные цели учреждения при обработке не преследуются.
Система не требует наличия постоянной связи с системами вышестоящей организации, и отсылка данных производится не более нескольких раз в год либо по распоряжению.
|
