Защита персональных данных клиентов

Сегодня мы раскроем тему: "Защита персональных данных клиентов", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Что такое политика обработки и защиты персональных данных, кем и как она составляется? Образец документов

Персональные данные в Российской Федерации являются особенной категорией информации с утвержденными принципами ее защиты, обработки и распространения.

Любое юридическое лицо, собирающее персональные данные (ПДн) граждан получает статус оператора. На компанию также налагаются обязанности разработать политику защиты сведений персонального характера, изложить все основные принципы на бумаге и в дальнейшем придерживаться условий, целей и способов обработки, указанных в документе.

В материале мы расскажем, как разработать политику ПДн для предприятия и для интернет-сайта, какие положения стоит включить в документ в первом или во втором случае.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кто составляет?

Согласно положениям Федерального закона «О персональных данных» ФЗ-152 от 27 июля 2006 года, любое лицо, собирающее и обрабатывающее ПДн граждан (клиентов), должно составить Политику защиты персональных данных для обеспечения прав и свобод гражданина на всех этапах работы с конфиденциальными сведениями.

Политика учитывает то, обработка ПДн с любой целью не должна нарушать права на неприкосновенность частной, личной и семейной тайны. Роскомнадзор обязывает юридических лиц и частных предпринимателей информировать граждан о всех изменениях в политике и давать возможность ознакомиться с полным текстом документа всем желающим потенциальным и действующим клиентам.

Содержание

  • Законодательные акты, на основе которых составлен документ.
  • Сфера действия документа.
  • Особенности сбора.
  • Цели обработки.
  • Передача ПДн (если предусмотрена).
  • Принципы и условия обработки персональной информации.
  • Хранение ПДн у оператора.
  • Проверка и изменение сведений персонального характера.
  • Права субъекта.
  • Обеспечение безопасности конфиденциальных данных.

Пошаговая инструкция по написанию документа

Для сайта

  1. Сделать выборку законодательных актов на основе которых, будет составлен документ.

Первой строкой советуем вписать Конституцию Российской Федерации, кроме этого, указать, что Политика ПДн опирается на:

Интернет-ресурс, собирающий ПДн в режиме онлайн, обязуется выполнять Положения персональных данных в отношении информации, являющейся персональной на всех этапах обработки, включая установки сроков хранения и уничтожения данных.
Указать условия сбора ПДн пользователей.

Оператор должен в обязательном порядке отобразить предупреждение о том, что на следующей странице потребуется указать о себе персональную информацию, дав клиенту возможность отказаться или принять данное требование.

Обрабатывать информацию позволяется только с законными целями. Сайт интернет-магазина имеет возможность собирать данные о пользователях для выполнения предусмотренных его статусом функций (оформление заказов), формирования статистики продаж, составления аналитических отчетов, заключения договоров.
Указать, возможность или невозможность передачи ПДн.

Если в процессе обработки оператор нуждается в необходимости передать их третьему лицу (например, заказав аналитическое исследование успешности интернет-магазина в разных регионах у специализированной компании), в документе укажите, что данная передача будет произведена на принципах конфиденциальности, указанных в законе «О персональных данных», или перед передачей планируется провести обезличивание сведений.
Описать принципы и условия обработки информации.

Рекомендуем указать следующие принципы, на основе которых выполняется обработка:

  • На законной и справедливой основе.
  • Ограничена целями, указанными и определенными ранее.
  • С обработкой данных, которые отвечают целям сбора.
  • С разделением данных, собранных для удовлетворения разных целей.
  • Соответствующим целям обработки объёмом ПДн.
  • С обеспечением точности и достаточности информации.
  • Хранение обеспечивается в форме, позволяющей определить субъект ПДн.
  • Определить условия хранение ПДн у оператора.
  • Оператор обязуется выполнять весь комплекс мер для защиты информации, своевременно реагировать на потенциальные угрозы, обеспечивать ограниченный доступ к конфиденциальным сведениям.
    Указать порядок проверки и изменений сведений персонального характера.

    Оператор в лице интернет-портала обязуется своевременно актуализировать и менять ПДн, если возникнет необходимость, в сроки, необходимые для выполнения целей сборы сведений.
    Описать права субъекта ПДн:

    • Получить копию документа, содержащего ПДн субъекта.
    • В любой момент отозвать разрешение на обработку информации.
    • Уточнить и актуализировать ПДн.
  • Обеспечение безопасности конфиденциальных данных.
  • Оператор обязуется осуществлять технические и организационные меры, по предотвращению несанкционированного доступа в систему, где хранятся конфиденциальные сведения.
    • Назначить должностных лиц, ответственных за обработку.
    • Ограничить доступ к системы обработки сведений.
    • Организовать учет всех носителей с ПДн.
    • Определить модель потенциальных угроз и принять меры для их предотвращения.
    • Использовать средства защиты информации.
    • Проверять готовность и эффективность средств защиты.
    • Скачать бланк документа о политике защиты и обработки персональных данных
    • Скачать образец документа о политике обработки и защиты персональных данных для сайта
    • Какие документы потребуются для организации защиты ПД клиентов и сотрудников организации?
    • Что такое система защиты персональных данных?
    • Как внедрить и реализовать защиту ПД в различных организациях?
    • Какие существуют органы по защите прав субъектов персональных данных?
    Читайте так же:  Возникающим в ходе судебного разбирательства

    Для медицинской организации

    1. Сделать выборку законодательных актов на основе которых, будет составлен документ.

    Медицинское учреждение работает не только с данными клиентов, но с ПДн сотрудников, поэтому в первый пункт помимо указанных в статье стоит добавить Трудовой кодекс.
    Определить сферу действия документа.

    Политика защиты ПДн остается действительной для всех данных, собранных в рамках осуществления целей, стоящих перед медицинским учреждением.
    Указать условия сбора ПДн пользователей.

    ПДн подлежат сбору только для удовлетворения положенных на организацию в связи с ее статусом функций – оказания медицинской помощи и выполнения трудового контракта.
    Указать, возможность или невозможность передачи ПДн.

    При передачи данных пациентов должна соблюдаться врачебная тайна, кроме этого, на любое третье лицо в информационных взаимоотношениях налагаются обязанности по соблюдению конфиденциальности.
    Описать принципы и условия обработки информации.

    Советуем воспользоваться указанными выше (для сайта) принципами, они считаются общими и не теряют актуальности для медицинского учреждения.
    Определить условия хранение ПДн у оператора.

    Главным условием остается выполнение требования по физическому расположению серверов и любых других носителей с конфиденциальной информацией на территории России.
    Указать порядок проверки и изменений сведений персонального характера.

    На оператора ложатся обязательства следит за тем, чтобы информация оставалась актуальной, также компания обязуются уточнять данные по запросам клиентов и сотрудников.
    Описать права субъекта ПДн.

    Как и в случае с интернет-сайтом, основные права потребителя заключаются в доступе к информации с его ПДн, возможности запретить использование информации, уточнить его.
    Обеспечение безопасности конфиденциальных данных.

    Оператор обязуется моделировать потенциальные риски и реализовывать мероприятия по их устранению, ограничивать доступ к информации третьих лиц и хранить данные в соответствии с законом «О персональных данных» – в отдельной комнате с ограниченным доступом.

    • Скачать бланк положения об организации и проведении работ по обеспечению безопасности персональных данных медицинской организации
    • Скачать образец политики обработки и защиты персональных данных медицинской организации

    Как видите, документ включает в себя все особенности обработки ПДн, поэтому подойти к его составлению советуем крайне внимательно. В зависимости от профиля компании, в политику могут быть включены дополнительные пункты, но обязательными пунктами являются указанные в материале.

    Грамотно составить документ под силу оператору, не привлекая к делу юристов. Главное, опираться на действующие законодательные акты, и все получится.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/politika-z.html

    Защита персональных данных клиентов организации

    Защита персональных данных
    с помощью DLP-системы

    Б ольшинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные. Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

    Нормативно-правовая база

    Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

    • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
    • образовательные организации;
    • банки и другие финансовые учреждения;
    • страховые компании;
    • гостиницы;
    • библиотеки;
    • магазины.

    Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах. Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

    Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации. Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

    Обязанности оператора

    Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

    • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
    • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
    • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
    • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
    • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
    • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.
    Читайте так же:  Освобождение от судебных расходов в арбитражном процессе

    Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

    Положение о защите персональных данных

    Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов. Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные. Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

    Согласие на обработку персональных данных

    Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания. Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

    • листки учета посетителей, заполненные в гостиницах;
    • формуляры, оформляемые в библиотеках;
    • медицинские карты;
    • анкеты различного рода.

    Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной. Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно. Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

    Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества. Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические. Клиент должен выразить свое согласие и с ними.

    В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

    Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные. Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств. Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены. При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

    Риски, с которыми связана обработка персональных данных клиентов

    Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

    • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
    • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
    • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

    Следствиями выявления нарушения государственным органом становятся:

    • вынесение предписания об устранении нарушений закона;
    • административные штрафы, налагаемые на руководителей компаний;
    • запрет на занятие деятельностью, связанной с обработкой персональных данных;
    • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

    Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

    • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
    • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
    • иск об удалении или изменении некорректно учтенных данных.
    Читайте так же:  Выезд за границу как писать

    Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле. После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой. Это станет причиной существенно больших убытков для оператора.

    Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

    Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-klientov-organizatsii/

    Как реализовать защиту персональных данных в организации и не только? Пошаговая инструкция

    В эпоху Интернета и цифровых технологий персональная информация человека находится под угрозой.

    Видео (кликните для воспроизведения).

    Выкладывая личные данные на страницах многочисленных социальных сетей, в резюме сайтов по поиску работы, да и просто заполняя опросный лист интернет-магазинов, пользователь рискует тем, что выложенные сугубо личные данные могут быть использованы мошенниками в противозаконных действиях.

    Мы не задумываемся, где оставляем информацию о себе и своей жизни, а так же, кто из доверенных субъектов может передавать её третьим лицам.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Общие правила

    Защита персональной информации может обеспечиваться несколькими источниками права:

    • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
    • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
    • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

    Обмен информацией возникает на протяжении всего рабочего процесса: между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

    Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

    Предохранительные меры

    Организационные:

    • Ограниченный доступ к хранилищам и архивам материалов.
    • Верификация запрашивающего лица перед предоставлением информации.
    • Ознакомительный формат предоставления сведений.
    • Санкции и штрафы за нарушения правил.

    Технические:

    • Криптография и шифрование данных.
    • Создание отдельных серверов и каналов связи.
    • Уничтожение неактуальных материалов.
    • Экранировка помещений и устройств, для защиты от взлома.

    Защиту персональной информации работник может реализовать через:
    1. Свободное бесплатное обращение к документам, где фигурируют его личные материалы.
      Работник может потребовать копию любого нормативного документа.
    2. Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
    3. Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

    Перечень документов

    Акты:

    • Акт уничтожения переносных носителей ПД.
    • Акт классификации носителей ПД.
    • Акт о итога проведения верификации исправности систем и средств защиты ПД.

    Инструкции:

    • Инструкция к действиям оператора базы ПД.
    • Инструкция по обеспечению информационной безопасности.
    • Инструкция пользователя при манипуляциях с ПД.

    Письма и запросы:

    • Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
    • Извещение о прекращении действия оператора баз ПД.
    • Ответ на запрос получения или обработки информации.

    Приказы:

    • Генеральный приказ о работе базы ПД.
    • Приказ о назначении администрации и персонала базы ПД.
    • Приказ об охране информации в ячейках базы данных.
    • Приказ о проверке классификации ячеек БД.

    Уведомления — это сообщения о факте обработки личной информации или таких намерениях.

    Прочие:

    • Журналы учёта и архив запросов.
    • Положение об обработке личных материалов.
    • Устав организации, регулирующий принципы и алгоритмы работы с личными сведениями.
    • Соглашение пользователя.
    • Документ о политике конфиденциальности.
    • Перечень средств и методов защиты, применяемых, согласно алгоритму.

    О полном перечне документов, который понадобится для организации защиты ПД, мы рассказывали тут, а из этой статьи вы узнаете, какие документы потребуются для защиты персональных данных сотрудников организаций.

    Далее подробно расскажем, как реализовать защиту личных сведений.

    Пошаговая инструкция по обереганию информации

    Здесь вы найдете пошаговую инструкцию по сохранности личной информации

    В организации

    Как реализовать на предприятии:

    1. Разработка проекта алгоритма обработки персональных сведений.
    2. Разработка системы согласия и отказа на обработку личных материалов.
    3. Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
    4. Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
    5. Издательство приказа о введении материалов работников предприятия в базу данных.
    Читайте так же:  Судебная экспертиза вузы

    Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.

  • Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.
  • На сайте интернет-магазина

    1. Пользовательское соглашение на сайте интернет-магазина, где указаны:
    • общие условия использования ресурсом;
    • факторы ответственности владельца организации;
    • как происходит защита прав на сайте, чем она гарантирована.

    Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

    Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

  • Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.
  • Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.
  • В медицинских учреждениях

    Правила и требования такие:

    1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
    2. Способы и методы обработки личных материалов, применяющиеся оператором.
    3. Сведения о лицах, которые получат доступ к личным сведениям.
    4. Перечень обрабатываемых личных сведений и источник их получения.
    5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
    6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
    7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

    Таковы правила для медицинских учреждений.

    В сети

    Как защитить личные сведения в интернете?

    Для сайта организации или предприятия порядок такой:

    1. Обработка персональных сведений с использованием средств автоматизированной вычислительной техники подразумевает совершение операций с такими материалами при помощи приборов вычислительной техники в Интернете.
    2. Безопасность вашей информации при их обработке в Интернет обеспечена системой защиты персональных материалов, включающей организационные мероприятия и методы защиты информации, а также используемые в Интернет информационные технологии.
    3. Технические и цифровые средства защиты персональных материалов должны удовлетворять утверждённым в соответствии с законами РФ требованиям, гарантирующим охрану информации.

    Методы защиты информации, применяемые в сети, в утверждённом порядке проходят процедуру оценочного соответствия.

  • Допуск субъектов к обработке персональных сведений с использованием автоматизации предоставляется на основании «Положения о персональных данных работников и обучающихся» (п. 6) при наличии ключей (паролей) доступа.
  • Действия с персональными сведениями, содержащимися в Интернет,регулируется в согласии с «Положением о корпоративной компьютерной сети», «Инструкцией пользователя при работе в корпоративной компьютерной сети», «Инструкцией пользователя при обработке персональной информации на объектах вычислительной техники», с которыми сотрудник, в должностные обязанности которого включена обработка персональных материалов, знакомится под роспись.
  • Операции с персональными материалами в сети должна быть построена так, чтобы обеспечивалась охрану носителей анонимных данных и методик охраны сведений, а также сделать невозможным факт несанкционированного нахождения в этих помещениях сторонних лиц.
  • Машины и электронные каталоги, содержащие файлы с конфиденциальными сведениями, для каждого пользователя должны быть зашифрованы уникальными ключами доступа, состоящими из шести и более знаков.
  • Заключение

    Незнание закона не снимает ответственность, что очень важно в эпоху интернета и высоких технологий. Уследить за всеми законодательными аспектами и нюансами невозможно, однако систематизировать и структурировать процессы обработки, хранения и предоставления данных, во избежание проблем с законом – вполне реально.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/instruktsii.html

    Защита персональных данных в банках

    Защита персональных данных
    с помощью DLP-системы

    З аключая договор на банковское обслуживание или оформляя кредит, клиент финансового учреждения предоставляет ему для обработки существенный массив своих персональных данных – от имени и реквизитов паспорта до сведений о недвижимости и семейном положении. Не всегда при этом он подписывает согласие на их обработку. Насколько защищены его права, и существует ли ответственность кредитных учреждений за неправомерную обработку персональных данных или передачу их третьим лицам?

    Правила защиты персональных данных в банках

    Степень успешности банковского бизнеса зависит во многом и от умения учреждения хранить банковскую тайну. Персональные данные клиентов имеют иной режим конфиденциальности, при их защите используются другие методы правового регулирования, но организационные и технические меры, применяемые для защиты обоих массивов данных, могут быть идентичными. Разница состоит лишь в том, что стандарты защиты устанавливаются:

    • для персональных данных – требованиями ФСТЭК России;
    • для банковой тайны – инструкциями Центрального банка РФ.

    Строгие требования побуждают банки системно подходить к защите персональных данных, тем более что их утечка несет за собой риски для деловой репутации и судебных исков, связанных с возмещением ущерба, причиненного гражданину.

    Читайте так же:  Срок исковой давности по пенсионным делам

    В кредитном учреждении персональные данные граждан хранятся в следующих информационных системах:

    • в общей базе, обрабатывающей операции по счетам физических лиц (автоматизированной банковской системе, или АБС);
    • в модуле Клиент-Банк, других системах онлайн-доступа к счетам;
    • в системах, обеспечивающих перевод средств с банковской карты;
    • в бухгалтерских системах учета;
    • в кадровых системах (для персональных данных сотрудников банка).

    Кроме того, на материальных носителях их можно найти в кредитных досье, в которых содержатся договоры, заявления на получение кредита, сведения о залогах и поручителях. Информация, находящаяся на материальных носителях, наименее защищена от утечек, происходящих в случае неправомерных действий сотрудников. Система защиты персональных данных клиентов банка в этом случае должна строиться на базе контроля за действиями инсайдеров силами служб безопасности.

    Банки уже разработали технические системы защиты персональных данных, интегрированные с действующими в них информационными системами, обеспечивающими защиту сведений, относящихся к банковской тайне. Как показывает практика, внешние посягательства, хакерские атаки на банки больше нацелены на сведения, касающиеся счетов и вкладов, именно персональные данные интересуют преступников меньше. Но существует две группы рисков, о которых должен знать каждый доверяющий банку свои сведения:

    • инсайдерские риски – очень часто сведения добровольно передают своим знакомым или деловым партнерам рядовые сотрудники банков;
    • риски передачи персональных данных коллекторским агентствам при взыскании проблемной задолженности или уступке права требования.

    В первом случае ответственность понесет конкретный сотрудник, во втором наказать банк сможет только суд, но не во всех случаях.

    Нормативно-правовая документация, регулирующая защиту персональных данных в банках

    При разработке системы защиты персональных данных банки опираются на Федеральный закон «О персональных данных», Постановление Правительства № 1119, приказы ФСТЭК и ФСБ России. Но поскольку сведения хранятся в автоматизированной банковской системе, имеющей свои степени защиты, дополнительно работает система требований, устанавливаемых Стандартами Банка России, определяющими нормы обеспечения информационной безопасности организаций банковской системы РФ.

    Сейчас отношения в этой сфере регулируются шестью стандартами, каждый из которых освещает определенный вопрос безопасности, и дополнительно методическими рекомендациями, разработанными Ассоциацией российских банков (АРБ). Два стандарта посвящены непосредственно защите персональных данных в информационных системах банков и актуальной модели угроз.

    Стандарты определяют необходимость создания нескольких дополнительных подсистем защиты. Это подсистемы:

    • контроля доступа, идентификации и аутентификации;
    • регистрации и учета действий, совершаемых сотрудниками в отношении персональных данных, и инцидентов безопасности;
    • обеспечения целостности информационной базы персональных данных как ее ключевой характеристики;
    • межсетевой безопасности, исключающей доступ к данным пользователей, не имеющих на это специальных прав.

    В большинстве случаев системы, в которых обрабатывается банковская информация, не имеют самостоятельного доступа к сети Интернет. Но это не касается Клиент-Банка, модулей, обрабатывающих перевод денег на карты, и некоторых других баз данных. Если они имеют собственный выход в Сеть, дополнительно создаются подсистемы:

    • антивирусной безопасности;
    • выявления внешних вторжений;
    • анализа степени защищенности.

    Для распределенной системы дополнительно необходимо устанавливать криптографические средства для шифрования и защиты передаваемых персональных данных.

    Защита персональных данных при их передаче третьим лицам

    Судебные процессы по взысканию морального вреда в случае передачи банками персональных сведений граждан коллекторам уже появились в практике. В большинстве случаев суды встают на сторону банков, если кредитное учреждение оговорило в согласии на обработку персональных данных право на передачу информации третьим лицам. Но, с другой стороны, судебная практика утверждает, что перечень таких лиц должен быть строго определен. Клиент банка – субъект персональных данных – не всегда подписывает отдельное согласие на обработку данных, иногда нормы, предполагающие именно такие условия их обработки, предусмотрены в кредитном договоре. Если согласие как отдельный документ, оформление которого предусмотрено законом об обработке персональных данных, оформлено не было, у клиента остается возможность взыскать с кредитного учреждения не очень большие, обычно не превышающие 10 тысяч рублей суммы в виде компенсации морального ущерба.

    Правомерно и не вызывая каких-либо вопросов банк может передавать персональные данные клиентов:

    • Центральному банку РФ в целях контроля;
    • Росфинмониторингу для выполнения обязанностей, связанных с законодательством об отмывании денежных средств;
    • судебным приставам, налоговым и следственным органам по их запросам в случаях, прямо предусмотренных законодательством;
    • страховым компаниям, осуществляющим страхование рисков по кредитным договорам, если это предусмотрено предоставленным клиентом согласием.

    Во всех остальных случаях гражданин должен быть проинформирован, кому именно будут переданы его персональные данные для обработки или в иных целях, и выразить на это свое согласие.

    Заключая договор с банком, нужно крайне внимательно относиться к тем сведениям, которые ему передаются, тщательно изучать согласие на обработку персональных данных с точки зрения списка лиц, которым они могут быть переданы для обработки.

    Видео (кликните для воспроизведения).

    Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-bankakh/

    Защита персональных данных клиентов
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here