Виртуальное методическое объединение библиотек и организаций, работающих с молодежью О проекте Карта сайта Электронная почта
Виртуальное методическое объединение библиотек и организаций, работающих с молодежью
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ежемесячная библиотечная газета о молодёжи и для молодёжи
Электронная библиотека 'Молодежь России'
Вопрос-ответ
Библиотеки и молодёжь (зарубежный опыт)
 
Издания для профессионалов
Издания для профессионалов Бойкова, О.Ф. Защита персональных данных: касается всех!: практическое пособие

Бойкова О.Ф. Защита персональных данных: касается всех!: практическое пособиеБойкова О.Ф. Защита персональных данных: касается всех!: практическое пособие. – М.: Либерея-Бибинформ, 2012. – 96 с.

Пособие посвящено актуальной проблеме в сфере правового регулирования деятельности библиотек: реализации основных положений законодательства о персональных данных, связанных с их получением, обработкой, хранением и использованием в традиционном и электронном видах применительно к читателям и работникам. Рассматриваются общие вопросы обработки персональных данных в библиотеке, особенности их защиты. Предлагаются юридические консультации и методические рекомендации.

В издании помещены образцы нормативных и технологических документов библиотек, включая согласие на обработку персональных данных, отзыв согласия на обработку персональных данных, формы регистрационной карточки пользователя, формуляра, читательского билета и др.

Пособие предназначено для руководителей библиотечно-информационных учреждений, широкого круга библиотечных работников, преподавателей и студентов соответствующих факультетов институтов и колледжей культуры.


Содержание:

Введение3
1-й раздел. Нормативные правовые акты о персональных данных: общий обзор6
2-й раздел. Особенности обработки персональных данных в библиотеках15
3-й раздел. Обработка, использование и хранение персональных данных пользователей21
4-й раздел. Обработка, использование и хранение персональных данных работников25
5-й раздел. Защита персональных данных31
6-й раздел. Государственный контроль и надзор за обработкой персональных данных35
Методические рекомендации для библиотек по обработке, хранению и использованию персональных данных37
Литература56
Приложения58
Приложение 1. Федеральный закон Российской Федерации «О персональных данных»58
Приложение 2. Трудовой кодекс Российской Федерации. Глава 14. Защита персональных данных работника83
Приложение 3. Кодекс по защите персональных данных работников Международной организации труда (Извлечение)86
Приложение 4. Постановление Правительства Российской Федерации «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»92

Особенности обработки персональных данных в библиотеках

Библиотека-оператор вне зависимости от её типа и вида обрабатывает определённые категории персональных данных пользователей (читателей) и работников. Для этих целей, как правило, создаются информационные системы. В соответствии со статьёй 3 ФЗ «О персональных данных» информационная система персональных данных представляет собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку как с использованием средств автоматизации, так и без использования таких средств.

Основными средствами при обработке персональных данных являются:

1) информационные технологии как совокупность приёмов, способов и методов применения вычислительной техники;

2) базы данных, содержащие персональные данные, как совокупность информации и её источников, используемых в информационных системах;

3) средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации;

4) операционные системы, Системы управления базами данных, прикладное программное обеспечение и т. п.;

5) средства защиты информации;

6) телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приёма программ радиовещания и телевидения, средства электронной информации.

При автоматизированной обработке персональных данных используется лицензионное программное обеспечение (системное, прикладное, специальное). Определяется перечень персональных данных, подлежащих защите. Предусматривается отсутствие возможности передавать информацию о персональных данных с использованием сети Интернет. Обеспечиваются организационные и технические меры для защиты информационных систем персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Автоматизированная обработка персональных данных – это действия библиотеки с автоматизированными файлами персональных данных. Такая обработка включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации:

1) хранение данных пользователей и работников библиотеки;

2) осуществление логических и/или арифметических операций с этими данными;

3) изменение, уничтожение, поиск или распространение персональных данных. В соответствии со статьёй 5 Конвенции Совета Европы «О защите личности в связи с автоматизированной обработкой персональных данных» от 28.01.1981 г. персональные данные, проходящие автоматизированную обработку, должны быть:

1) получены и обработаны добросовестным и законным образом;

2) накоплены для точно определённых и законных целей и не использоваться в противоречии с этими целями;

3) адекватны (должны относиться к делу и не быть избыточными применительно к целям, для которых они накапливаются);

4) точны и в случае необходимости обновляемы;

5) сохранены в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем того требует цель, для которой эти данные накапливаются.

В соответствии со статьёй 16 Федерального закона «О персональных данных» запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случая, когда имеется его согласие в письменной форме. При этом библиотека-оператор обязана разъяснить пользователю или работнику – субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против подобного решения.

Для всех автоматизированных информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона «О персональных данных», должна быть проведена их доработка (модернизация), обеспечивающая безопасность и защиту персональных данных в соответствии с требованиями законодательства, в срок до 01.01.2011 г.

Обработка персональных данных без использования средств автоматизации на бумажных носителях осуществляется в библиотеке в соответствии с Постановлением Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г. № 687. Согласно данному документу, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Как правило, в большинстве библиотек обработка персональных данных пользователей (читателей) и работников ведётся без использования средств автоматизации (на бумажных носителях).

Персональные данные при такой обработке должны обособляться от иной информации. Важно помнить, что не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. При обработке различных категорий персональных данных для каждой из них должен использоваться отдельный материальный носитель.

При обработке персональных данных без использования средств автоматизации персональные данные пользователя (читателя) заносятся в регистрационную карточку и формуляр читателя, оформляется читательский билет. Как правило, сюда входят контактные данные, необходимые для связи с пользователями, и сведения о выданных книгах. В библиотеке ведётся журнал учёта и передачи персональных данных.

При поступлении на работу в библиотеку работник предоставляет персональные Данные при заполнении личной карточки, написании автобиографии, заключении трудового договора. Персональные данные работника включаются также в сведения, предусмотренные унифицированной формой учёта кадров 1-2.

В библиотеках к информационным системам персональных данных можно отнести:

1) картотеки отдела регистрации пользователей (читателей), содержащие данные о пользователях;

2) кадровые системы, содержащие данные о работниках;

3) бухгалтерские системы, содержащие данные о работниках и иные данные;

4) системы документооборота, содержащие данные о работниках, а также о партнёрах.

При разработке и использовании в библиотеках типовых форм документов, в которые предполагается включение персональных данных, должны соблюдаться определённые условия по их содержанию:

а) типовая форма или связанные с ней документы (например, регистрационная карточка пользователя, читательский билет, журнал учёта посещений) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес пользователя – субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных – при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый пользователь – субъект персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Совместный приказ ФСТЭК России, ФСБ России и Министерства информационных технологий и связи Российской Федерации «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г. № 55/86/20 определяет следующие категории персональных данных, которые обрабатываются в информационных системах персональных данных:

• категория 1 – это персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

• категория 2 – это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

• категория 3 – это персональные данные, позволяющие идентифицировать субъекта персональных данных;

• категория 4 – это обезличенные и (или) общедоступные персональные данные.

Кроме того, информационные системы персональных данных подразделяются на типовые и специальные. К типовым относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.

В зависимости от последствий нарушений заданной характеристики безопасности персональных данных типовой информационной системе присваивается один из классов:

• класс 1 (К1) – это информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;

• класс 2 (К2) – это информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;

• класс 3 (КЗ) – это информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;

• класс 4 (К4) – это информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы определяется оператором, то есть библиотекой, в соответствии с таблицей, приведённой в Приказе ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. № 55/86/20. У многих библиотек возникают трудности в проведении классификации информационных систем персональных данных, поскольку для осуществления этой непростой задачи требуются специальные знания и умения. В этих случаях следует обращаться в специализированные агентства, которых сейчас достаточно много во всех субъектах Российской Федерации.

Результаты классификации информационных систем оформляются соответствующим актом оператора, то есть библиотекой. При этом рекомендуем классифицировать информационные системы в соответствии с классом 3 (когда нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных) либо в соответствии с классом 4 (когда нарушения не приводят к негативным последствиям для субъектов персональных данных). Обращаем внимание, что класс информационной системы может быть пересмотрен:

1) по решению оператора на основе проведённых им анализа и оценки угроз безопасности персональных данных с учётом особенностей и (или) изменений конкретной информационной системы;

2) по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Законодательством в настоящее время установлен следующий порядок оценки соответствия степени защищённости информационных систем требованиям безопасности:

1) для информационных систем 1 –го и 2-го классов соответствие степени защищённости требованиям безопасности устанавливается путём обязательной сертификации (аттестации);

2) для информационных систем 3-го класса соответствие требованиям безопасности подтверждается путём сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;

3) для информационных систем 4-го класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.

При этом библиотека при обработке персональных данных обязана принимать требуемые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Система защиты персональных данных библиотеки должна строиться только на основе сертифицированных ФСТЭК и ФСБ России средствах защиты (технических, программных, программно-аппаратных и криптографических).

Для проведения собственными силами библиотеки мероприятий по обеспечению безопасности персональных данных для специальных информационных систем и распределённых (например, подключённых к Интернету) систем 3-го класса операторы обязаны в установленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Для применения криптографических средств защиты персональных данных (в том числе для изготовления ключей или сертификатов), в зависимости от планируемых действий, потребуются различные лицензии ФСБ России, регламентирующие работы в области криптографической защиты информации.

Обращаем внимание: все сертифицированные ФСТЭК России средства защиты можно посмотреть на сайте 72 ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_sert.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Срок действия лицензии составляет 5 лет и по истечении может быть продлён по заявлению лицензиата.

Основными требованиями и условиями получения лицензии при осуществлении в библиотеке деятельности по технической защите конфиденциальной информации являются:

1) наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации (прошедших специализированные курсы ФСТЭК России);

2) наличие помещений для осуществления обработки персональных данных, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации;

3) наличие испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

4) использование информационных систем, а также средств защиты персональных данных, прошедших процедуру оценки соответствия (аттестованных и/или сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

5) использование предназначенных для обработки персональных данных программ для электронно-вычислительных машин и баз данных;

6) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России.

Для получения лицензии на деятельность по технической защите персональных данных необходимо выполнить следующие работы:

1) подготовить комплект документов для предоставления в ФСТЭК России. К ним относятся: заявление; копии учредительных документов (заверенные нотариусом); копии свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица (нотариально заверенные); копия свидетельства о поставке соискателя лицензии на учёт в налоговом органе (нотариально заверенная); пояснительная записка; копии документов, подтверждающих право собственности, право хозяйственного ведения на помещения; копия аттестата соответствия на защищаемое помещение; копии документов на информационные системы персональных данных (технический паспорт, акт классификации информационной системы, план размещения ОТСС и ВТСС, аттестат соответствия на информационные системы, перечень защищаемых ресурсов информационной системы), описание технологического процесса обработки информации в информационной системе; копии документов, подтверждающих право на используемые программы для ЭВМ и базы данных (лицензии); сведения о наличии производственного и контрольно-измерительного оборудования, о средствах защиты информации, средствах контроля защищённости с приложением копий документов о проверке контрольно-измерительного оборудования; сведения об имеющихся нормативно-правовых актах, нормативно-методических документах по вопросам технической защиты информации;

2) подготовить не менее двух специалистов, которые будут осуществлять деятельность по защите персональных данных на специализированных курсах ФСТЭК России;

3) подготовить и провести аттестацию испытаний защищаемого помещения, которая включает: обследование, разработку пакета организационно-распорядительных документов, подготовку и проведение аттестационных мероприятий;

4) получить нормативно-методические документы: «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» и «Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам»;

5) представить документы в ФСТЭК России.

Вполне естественно, что проведение подобных процедур очень сложно для библиотек, поэтому рекомендуется заключить договор и пригласить для установки лицензионных автоматизированных систем, аттестации помещения, получения сертификата соответствия информационной системы специалистов из соответствующих структур.

© Российская государственная библиотека для молодёжи, 2008–17