Требования к билетно – пропускной системе (БПС) в части хранения персональных данных (с учётом требований ФЗ «О хранении персональных данных» N 152-ФЗ) 


Любая организация, осуществляющая деятельность, связанную с обработкой и хранением персональных данных (далее - ПДн), в том числе путем использования системы БПС, должна внедрить систему защиты персональных данных для соответствия требованиям федерального законодательства РФ.

Что такое персональные данные?

  • Фамилия, имя, отчество;
  • Дата и место рождения;
  • Адрес (место регистрации);
  • Образование, профессия;
  • Изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео - изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • Семейное положение, наличие детей, родственные связи;
  • Факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • Финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • Деловые и иные личные качества, которые носят оценочный характер;
  • Прочие сведения, которые могут идентифицировать человека.
С технической точки зрения к БПС выдвигаются следующие требования:


1.  Данная система должна быть изолирована, от других информационных систем на физическом уровне, либо логическом уровне. 

2.  Доступ к системе должен иметь ограниченный круг лиц, который будет установлен в разработанном и утвержденном документе. 

3.  К данной системе должна применяться парольная политика для всех серверов и рабочих станций, разработанная и утвержденная в организации. 

4.  При передаче информации по открытым каналам (сеть интернет) (между офисами, филиалами) - необходимо использовать защищенное соединение (VPN). 

5.  Информационная система должна быть защищена Firewall. 

6.  Ограничение программной среды - обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска, запрещенного к использованию в информационной системе программного обеспечения. 

7.  В информационной системе должно быть реализовано разграничение прав пользователей.

Основные шаги

при разработке пакета документов для обработки персональных данных:

  • Подать уведомление в Роскомнадзор о том, что объект является Операторами обработки ПДн.

    Заявление подается на сайте Роскомнадзора, в электронной форме. 

    Инструкция по подачи заявления есть в пакете документов «Подача уведомления в Роскомнадзор (инструкция).docx». (https://pd.rkn.gov.ru/operators-registry/notification/form/).

  • Разработать и утвердить правила(положение) обработки персональных данных.

    Положение описывает принципы обработки ПДн в организации и является общим документом, в котором собраны типовые формы документов организации: Согласие на обработку ПДн и прочих документов. 

    С данным положением должны быть ознакомлены сотрудники, которые будут работать с персональными данными в организации.

  • Назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

    Таким ответственным может быть, как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. 

    Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

  • Разработать и утвердить политику обработки персональных данных.

    Данный документ является открытым и его необходимо будет разместить на сайте, или в любом доступном месте для пользователей, после утверждения.

  • Разработать согласие на обработку персональных данных (для сайта) и разместить на сайте:

     • Согласие на обработку ПДн; 

     • Политику обработки ПДн; 

     • Договор публичной оферты.

  • Разработать необходимый минимальный пакет документов в организации и соблюдай режим обработки ПДн.

    (Пакет документов указан в Приложении)

После согласования внутренних документов и получения уведомления о том, что организация внесена в Реестр операторов персональных данных, необходимо осуществлять постоянный контроль за изменениями в законодательстве о персональных данных.

Виды ответственности за нарушение 152-ФЗ:

  • Гражданская – на нарушителя закона налагаются имущественные санкции;
  • Административная – выплата штрафа, приостановление деятельности, запрет занимать определенные должности; 
  • Уголовная – лишение свободы на срок, определенный законодательством по конкретному случаю; 
  • Дисциплинарная – налагается на работника в виде замечания, выговора или увольнения.

Обращаем также ваше внимание, что при поручении обработки персональных данных третьей организации необходимо подписать Договор-поручение между данными организациями.

Приложение

  • Минимальный перечень документов
    1. Приказ о назначении комиссии
    2. Перечень обрабатываемых персональных данных
    3. Перечень информационных систем персональных данных
    4. Перечень защищаемых информационных ресурсов
    5. Перечень лиц, допущенных к обработке персональных данных
    6. Приказ о контролируемой зоне
    7. Модель угроз информационной системы персональных данных
    8. Акт определения уровня защищенности
    9. Положение о персональных данных
    10. Инструкции:
    • Инструкция пользователя информационный системы персональных данных
    • Инструкция администратора информационный системы персональных данных
    • Инструкция администратора безопасности информационный системы персональных данных
    • И другие инструкции, предусмотренные законодательством
    11. Описание системы защиты персональных данных
    12. Политика обработки персональных данных
    13. Договор-поручение на обработку 3-им лицам
    14. Журналы:
    • Журнал обращений
    • Журнал учета носителей
    • И другие журналы, предусмотренные законодательством
    15. Приказы:
    • Приказ о назначении ответственных
    • Приказ о допуске сотрудников
    • Приказ о проведении работ по защите персональных данных
    • Приказ о проведении внутренних проверок
    • И другие приказы, предусмотренные законодательством
    16. Уведомление в Роскомнадзор
    17. План мероприятий по проверке информационной системы персональных данных на соответствие и на выполнение сотрудниками режима обработки персональных данных

свяжитесь с нами

Оставьте заявку и получите консультацию специалиста!