ПИСЬМО
от 29 июля 2009 года N 17-110
Об обеспечении защиты персональных данных
В соответствии с письмами Роскомнадзора от 23.06.2009 N 07-2/6639 и Рособразования от 03.09.2008 N 17-02-09/185 напоминаем вам, что информационные системы персональных данных, созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006* N 152-ФЗ "О персональных данных" должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Контроль за соблюдением законодательства о персональных данных осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
В соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006* N 152-ФЗ обработка персональных данных должна осуществляться с письменного согласия субъектов персональных данных или их законных представителей. Письменное согласие в виде анкеты, заполняемой и подписываемой каждым абитуриентом, учащимся и работником учреждения, должно включать:
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва по инициативе субъекта персональных данных.
В целях автоматизации обработки персональных данных в анкетах рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволит обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.
Защита персональных данных должна осуществляться в соответствии с постановлениями Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении - безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных прилагается.
Н.И.Булаев