Главная Обратная связь Карта сайта Поиск FAQ

Кто является оператором персональных данных и что относить к информационным системам персональных данных?


Автор - Л.В. Мирка
Специалист по защите информации ООО «Контек-Софт»

ООО "Контек-Софт" начинает публиковать серию статей по защите персональных данных

     Думаю, на сегодняшний день каждый слышал о существовании  Федерального закона   № 152-ФЗ «О персональных данных».
    Давайте сначала определимся, что же относится к персональным данным? В соответствии с 152-ФЗ, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Другими словами, к персональным данным следует относить информацию, позволяющую однозначно определить физическое лицо. Например, Фамилия, Имя, Отчество субъекта сами по себе персональными данными являться не будут, так однозначно определить личность не позволяют (у человека могут быть полные тезки, особенно если фамилия очень распространенная). При этом Фамилия, Имя, Отчество субъекта плюс адрес прописки или дата рождения, вместе уже будут являться персональными данными.
    В соответствии со 152-ФЗ, Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, практически любая Организация независимо от организационно-правовой формы является оператором персональных данных.
В некоторых Организациях обрабатываются  только персональные данные собственных сотрудников. Целью такой обработки является выполнение функций работодателя. Состав персональных данных определяется в соответствии с трудовым законодательством. Действия, совершаемые с персональными данными, работодатель также может определить, как те которые он обязан совершать в соответствии с законодательством (например, передача-предоставление отчетности в налоговые органы, пенсионный фонд и т.д.), так и те которые работодатель определяет для себя сам (например, передача персональных данных в банк в целях начисления заработной платы или передача персональных данных в страховые фирмы для страхования жизни и здоровья сотрудников). Во многих организациях наряду с персональными данными сотрудников также обрабатываются персональные данные клиентов. Например, база клиентов, которым предоставляется услуга доступа в интернет; база пациентов, прикрепленных к медицинскому учреждению; в магазинах это может быть база клиентов – владельцев дисконтных карт и т.п. На любые действия с персональными данными, в том числе сбор и хранение, не регламентированные законодательством необходимо брать согласие субъекта на обработку его персональных данных. 
    Обработка персональных данных может быть как автоматизированная (с помощью средств вычислительной техники), так и без использования средств автоматизации. При автоматизированной обработке персональные данные субъектов, содержащиеся в базах данных, в совокупности с технологиями и техническими средствами, обеспечивающими их обработку, образуют информационною систему персональных данных. Например, компьютер и персональные данные, которые обрабатываются в программе «1С: Предприятие», в программах, используемых для налоговой и пенсионной отчетности, либо просто в документах «MS Word», в совокупности будут составлять информационную систему персональных данных. Либо несколько компьютеров, на которых ведется обработка персональных данных несколькими сотрудниками в одной базе данных, расположенной на сервере, также будут составлять одну информационную систему.
    Когда все компьютеры в Организации объединены в общую локальную сеть, то лучше делить такую сеть на сегменты. Необходимо выделить те компьютеры, на которых ведется обработка персональных данных и которые соответственно необходимо защитить. Также полезным будет разделение по отдельным информационным системам в зависимости от целей обработки, состава персональных данных, допущенных сотрудников к обработке персональных данных в одной и той же базе. Таким информационным системам можно присвоить условное название, например, «Бухгалтерия», «Кадры», «Бухгалтерия и кадры». Если в информационной системе обрабатываются персональные данные только в одной базе данных, то ее можно назвать по названию соответствующей программы, работающей с данной базой. Например, информационная система персональных данных «Искус», в которой несколько отделов, каждый в своей части, ведут обработку персональных данных пациентов.
    В каждом отдельном случае к выделению информационных систем следует подходить индивидуально для удобства организации работы, упрощения системы защиты и снижения ее стоимости.

Список источников:
1.    Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

mvs