Расширенный поиск
8 (800) 300-83-09 officeros@yandex.ru
Личный кабинет
Главная Авторские обзоры Позиция юрисконсульта Требования к хранению персональных данных на нематериальных ...
24 Декабря 2024, 17:14
262
Версия для печати

Требования к хранению персональных данных на нематериальных носителях

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закона о ПД) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая хранение персональных данных (далее – ПД).

Согласно п. 4 ст. 3 Закона о ПД автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники.

Вместе с тем, информационная система ПД – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств (п. 10 ст. 3 Закона о ПД).

Соответственно, хранение ПД может осуществляться с помощью средств вычислительной техники, в том числе в информационных системах ПД.

На основании п. 2 ч. 1 ст. 18.1 Закона о ПД оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПД или другими федеральными законами.

К таким мерам, в частности, относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД, в том числе способы, сроки их обработки и хранения. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.

Таким образом, образовательной организации как оператору ПД необходимо принять локальный нормативный акт, определяющий политику в отношении обработки ПД и локальный нормативный акт по вопросам обработки ПД, в том числе закрепляющий способы, сроки их хранения.

Одновременно с этим, согласно ч. 5 ст. 18 Закона о ПД при сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ.

Как следствие, при сборе ПД граждан РФ, в том числе посредством информационно-телекоммуникационной сети «Интернет», их хранение осуществляется исключительно в базах данных, находящихся в РФ.

Согласно ч. 1 ст. 19 Закона о ПД оператор при обработке ПД обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

Так, в силу п.п. 1, 2, 5, 8, 9 ч. 2 ст. 19 Закона о ПД обеспечение безопасности ПД достигается, в частности:

  • определением угроз безопасности ПД при их обработке в информационных системах ПД;
  • применением организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
  • учетом машинных носителей ПД;
  • установлением правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
  • контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.

Таким образом, с целью, в том числе хранения ПД на нематериальных носителях образовательная организация как оператор ПД должна обеспечить их общую защиту.

В свою очередь, в силу п.п. 8-16 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, при обработке ПД в информационных системах устанавливаются 4 уровня защищенности ПД.

При этом для каждого уровня защиты ПД предусмотрены свои средства защиты, которые устанавливаются в Составе и содержании организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (приказ ФСБ России от 10.07.2014 № 378).

В тоже время приказом ФСТЭК России от 18.02.2013 № 21 утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Таким образом, при хранении ПД на нематериальных носителях, в том числе в информационных системах, образовательная организация обязана соблюдать как общие требования к хранению ПД, установленные Законом о ПД, так и специальные требования, установленные соответствующими нормативными правовыми актами в области ПД – постановлениями Правительства РФ, приказами ФСБ России, ФСТЭК России и т.д.