Министерство образования и науки Российской Федерации
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ПИСЬМО
от 29 июля 2009 года N 17-110
Об обеспечении защиты персональных данных
В соответствии с письмами Роскомнадзора от 23.06.2009 N 07-2/6639 и Рособразования от 03.09.2008 N 17-02-09/185 напоминаем вам, что информационные системы персональных данных, созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006* N 152-ФЗ "О персональных данных" должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Контроль за соблюдением законодательства о персональных данных осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
В соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006* N 152-ФЗ обработка персональных данных должна осуществляться с письменного согласия субъектов персональных данных или их законных представителей. Письменное согласие в виде анкеты, заполняемой и подписываемой каждым абитуриентом, учащимся и работником учреждения, должно включать:
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва по инициативе субъекта персональных данных.
В целях автоматизации обработки персональных данных в анкетах рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволит обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.
Защита персональных данных должна осуществляться в соответствии с постановлениями Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении - безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных прилагается.
Н.И.Булаев
Приложение
Информация
об основных нормативно-методических документах и требованиях по организации защиты персональных данных
Законодательством Российской Федерации ответственность за надлежащую защиту персональных данных возлагается на организации, в которых персональные данные обрабатываются. Уполномоченным органом по контролю за соблюдением законодательства о персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридических лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении контроля систем защиты конфиденциальных данных или использования криптосредств. При обнаружении неправомерных действий с персональными данными их обработка должны быть прекращена до устранения выявленных нарушений.
Нарушение законодательства о персональных данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (статья 24) влечет за собой гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность, налагаемую в судебном порядке.
1. Законодательство о защите персональных данных
Под персональными данными (ПД) понимают любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки.
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без наличия таких средств.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации.
В целях защиты прав граждан на неприкосновенность частной жизни, личной и семейной тайны в последние годы принят ряд законодательных актов. В настоящее время законодательно-нормативная база по персональным данным включает:
Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (14 глава, с изменениями и дополнениями)
http://www.rsoc.ru/main/directions/874/916.shtml
http://www.consultant.ru/popular/tkrf
http://www.rsoc.ru/main/directions/874/916.shtml
http://www.businesspravo.ru/Docum/DocumShow_DocumID_106723.html
Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных".
http://www.rsoc.ru/main/directions/874/916.shtml
http://www.fstec.ru/_razd/_ispo.htm
http://www.rg.ru/2007/11/21/personalnye-dannye-dok.html
http://www.garant.ru/hotlaw/doc/106330.htm
http://www.rg.ru/2008/09/24/dannye-obrabotka-dok.html
http://www.garant.ru/hotlaw/doc/122316.htm
http://www.rg.ru/2008/07/11/trebovaniya-dok.html
http://www.garant.ru/hotlaw/doc/117878.htm
http://www.fstec.ru/_razd/_ispo.htm
http://infopravo.by.ru/fed2005/ch01/akt11179.shtm
http://www.rsoc.ru/main/about/953.shtml
http:// www.rg.ru/2009/03/24/polozhenie-dok.html
htpp://www.fstes.ru/_docs/_perech2.htm
htpp://www.rg.ru/2008/04/12/informaciya-doc.html
htpp://www.rsoc.ru/main/directions/874/916.shtml
htpp://www.rsoc.ru/main/directions/874/916.shtml
Обеспечение безопасности персональных данных должно осуществляться в соответствии с методическими документами ФСТЭК России (документы ДСП):
"Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года,
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года,
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года,
"Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года.
Для получения перечисленных документов для служебного пользования можно обратиться во ФСТЭК России.
http://www/rsoc.ru/main/directions/874/934.shtml
Использование криптосредств для обеспечения безопасности персональных данных должно осуществляться в соответствии с:
http://www.businesspravo.ru/Docum/DocumShow_DocumID_97997.html
http://www.rfcmd.ru/sphider/docs/InfoSec/ZPrikaz_FSB_N_66_ot_09_02_05.htm
http://www.fsb.ru/fsb/supplement/contract/lsz/post957.htm
http://www.garant.ru/hotlaw/doc/109485.htm
Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 N 149/54-144)
http://www.fsb.ru/fsb/science/single.htm!id%3D10434826%40fsbResearchart.html
http://www.mediann.ru/article_6_1_1.html
Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от 21.02.2008 N 149/6/6-622)
http://www.fsb.ru/fsb/science/single.htm!id%3D10434826%40fsbResearchart.html
http://www.mediann.ru/article_6_1_1.html
На основании указанных выше документов всеми организациями и физическими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных (в действующих информационных системах - не позднее 01.01.2010). Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.
2. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации
