Данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Разматываем клубок дальше.

Какие же требования к обеспечению безопасности персональных данных устанавливает Правительство РФ?

1. Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 утверждено «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Данным Постановлением определено, что такое неавтоматизированная обработка персональных данных

1. «Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждогоиз субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Данное Положение определяет особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, и в частности:

- требования к материальным носителям персональных данных;

- требования к типовым формам документов и журналов;

-порядок копирования, уничтожения, обезличивания и блокирования персональных данных и материальных носителей.

Кроме того, Положением определены меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, в том числе:

- требования идентификации перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;

- требования к идентификации мест хранения персональных данных (материальных носителей) для различных категорий персональных данных;

- требования по обеспечению раздельного хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- требования по обеспечению сохранности персональных данных и исключению несанкционированного доступа к ним при хранении материальных носителей.