Документы, регламентирующие обработку персональных данных, принимаются на уровне государства и его органов и на уровне организаций, признаваемых в установленном законом порядке операторами персональных данных. Выполнение содержащихся в них требований проверяется Роскомнадзором и другими уполномоченными органами.
Российское законодательство признает приоритет норм международного права над национальным, в случае если страной ратифицированы международные документы, регламентирующие определенную сферу. Это могут быть соглашения или конвенции. В области обработки персональных данных таких наднациональных норм нет. Внутреннее законодательство может соответствовать международному, тем не менее первенство в выборе способов обработки персональных данных остается за ним.
Основным документом, определяющим правила обработки данных, является Федеральный закон «О персональных данных». Также определенные нормы, содержащие правила обработки данных работников, есть в Трудовом кодексе РФ. Вопросы защиты данных, предоставляемых лицами, получившими услуги медицинских учреждений, частично регламентируются нормами закона «Об охране здоровья граждан». Для государственных служащих актуальными являются нормы Постановления Правительства Российской Федерации № 211.
Нормы технической защиты информационных систем персональных данных и условия их обработки следует искать в Постановлении Правительства № 1119. Оно определяет степень защищенности систем, в которых происходит обработка данных. Больше технических регламентов надо искать в нормативных актах ФСТЭК России и ФСБ РФ. Интересно, что с момента появления в российском правовом поле понятия обработки ПД было принято более 3 000 различных актов, включая письма и разъяснения, регламентирующие эти вопросы. Большая часть из них принимается в отношении региональных исполнительных органов.
Исходя из норм Постановления Правительства РФ № 211, государственный или муниципальный орган обязан разработать и утвердить собственный перечень стандартов, регламентирующих правила обработки персональных данных.
Это следующие документы:
Основные документы обязательно публикуются на сайте органа. Контроль над их существованием, содержанием и выполнением производится и в рамках государственной исполнительной вертикали, и уполномоченными органами.
На уровне компании в рамках реализации норм законодательства, определяющего правила обработки персональных данных, разрабатывается собственный пакет документов. Обычно это Положение об условиях обработки, приказы о назначении лица, ответственного за организацию этой работы, и форма согласия на обработку. Иногда перечень расширяется, если за образец принимается система, действующая для государственных организаций.
Оно является основополагающим документом, определяющим права и обязанности организации и субъекта персональных данных в области их обработки и защиты информации. Положение определяет все допустимые для компании способы обработки сведений, ее цель, права субъекта на информирование о порядке обработки, право на отзыв согласия и другие нормы. Здесь же могут быть перечислены имеющиеся угрозы безопасности, также освещаемые в модели угроз, являющейся документом, обязательным для технических служб. Утверждение положения происходит на уровне руководства компании.
Приказ является первичным документом, определяющим сотрудника компании, на которого возложена обязанность по обеспечению практики обработки данных нормативных документов. Назначение такого лица является обязательным для разграничения сфер ответственности. Крупные компании, которые иногда создают подразделения, чья деятельность посвящена вопросам обеспечения безопасности персональных данных, готовят также положение о департаменте или управлении.
Каждый человек, предоставляющий данные на обработку операторам, подписывает свое согласие на осуществление организацией этой деятельности. В согласии указываются способы и цели обработки. Форма его может быть разработана самостоятельно, можно воспользоваться форматами, рекомендованными для государственных органов или разработанными крупными корпорациями.
Отказ от выполнения требований документов, регламентирующих обработку персональных данных, как госорганами, так и частными компаниями приводит к административным штрафам и другим неблагоприятным последствиям. Непринятие на уровне фирмы собственного положения также станет основанием для вынесения предписания в ходе проверки.
Сookie-файл — текстовый файл, сохраненный в браузере компьютера (мобильного устройства)
пользователя интернет-сайта при его посещении пользователем для отражения совершенных
им действий, используемые для обеспечения или повышения работоспособности сайтов,
а также для получения аналитической информации.
С перечнем обрабатываемых cookie-файлов можно ознакомиться в
Политике обработки cookie-файлов Searchinform.
Файлы, осуществляющие хранение информации для обеспечения функционирования веб-ресурсов, информацию о выборе пользователя относительно принятия/отклонения cookie-файлов и не использующие какую-либо информацию о пользователе, которая может быть использована в маркетинговых целях или для учета посещаемых сайтов в сети Интернет.
Файлы, осуществляющие хранение информации о выборе пользователя. СёрчИнформ не устанавливает функциональные cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Файлы, предназначенные для оценки работы веб-ресурсов и осуществляющие хранение информации о пользовательских предпочтениях и наиболее просматриваемых страницах веб-ресурса. СёрчИнформ не устанавливает аналитические cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Чтобы продолжить регистрацию, пожалуйста, разрешите обработку функциональных файлов cookie
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
