а потом ещё передаётся в какую-то третью компанию субподрядчик или для рассылки рекламы - это уже требует соглашения на обработку ПД.
А вот если далее этот договор оцифровывается, сохраняется в какой-то ИС ООО Бегемотик
Есть термин "публичные персональные данные" и на их обработку тоже накладывается ряд ограничений
Причём удаление ПД тоже входит в определение "обработка ПД".
Насколько я помню все законы надо выполнять в части защиты ПД
1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.
2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности.
3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.
Данные, которые покупатель прописывает в договоре, являются персональными данными?
Данные, которые потенциальный покупатель оставляет мне на сайте, чтобы я ему перезвонил или написал письмо - это персональные данные? Если есть кнопка обратного звонка и форма запроса, я уже оператор персональных данных?
Если после звонка/письма я буду удалять запросы от клиентов - я перестану быть оператором персональных данных
Данные клиентов, отправленные покупателями для целей тех.поддержки - это персональные данные и я становлюсь оператором?
Насколько на все эти вопросы влияет проверяемость получаемых мною данных? За исключением данных, которые мне присылают покупатели для заключения договора, все получаемые мною данные никак мною не проверяются. Если покупатель оставит запрос на обратный звонок с левым именем-почтой-телефоном, я никак не проверю. Также, как и данные для тех.поддержки - они могут прийти пустые или Тест Тестович.
Где-то мелькал коммент, что если данные собираются в рамках договора, то это не считается сбором персональных данных - так ли это?
для каких операторов обязательно применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, имеющих функцию уничтожения информации, для уничтожения персональных данных;
имеются ли в Российской Федерации прошедшие процедуру оценки соответствия средства уничтожения материальных (бумажных) носителей информации;
необходимо ли разработчикам программного обеспечения, предназначенного для обработки персональных данных, организовать интеграцию со средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, и (или) проводить такую процедуру с данным программным обеспечением.
По результатам рассмотрения обращения сообщаю следующее.
В соответствии с Положением об Управлении Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, утвержденным приказом Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) от 5 февраля 2018 г. № 18дсп, Управление является территориальным органом ФСТЭК России межрегионального уровня, обеспечивающим в пределах своей компетенции реализацию полномочий ФСТЭК России в Сибирском федеральном округе. В соответствии 1 Положения с пунктом о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (далее - Указ № 1085), ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (техническая защита информации).
1. В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) ФСТЭК России разработаны и утверждены приказом от 18 февраля 2013 г. № 21 состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Приказ № 21).
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
В соответствии со статьей 3 152-ФЗ оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с пунктом 8.4 Приказа № 21 меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
В соответствии с приложением 1 к Приказу № 21 меры по защите машинных носителей персональных данных включают уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания (ЗНИ.8).
Требования к реализации указанной меры по защите информации содержатся в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г. По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Приказом № 21.
Мера ЗНИ. 8 подлежит реализации операторами персональных данных в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в информационных системах персональных данных, в которых в соответствии с указанными требованиями установлена необходимость обеспечения 1-го, 2-го или 3-го уровня защищенности персональных данных.
2. Приказом ФСТЭК России от 3 апреля 2018 г. № 55 утверждено Положение о системе сертификации средств защиты информации, определяющее состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или)
персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы.
Средства защиты информации, прошедшие сертификацию на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, включаются в Государственный реестр сертифицированных средств защиты информации, размещенный на сайте реестров ФСТЭК России в сети «Интернет» по адресу reestr.fstec.ru.
На момент подготовки ответа в реестре содержится информация о таких средствах уничтожения носителей информации как:
«Средство уничтожения информации на машинных магнитных носителей информации «Стек-НС3», сертификат ФСТЭК России от 28 марта 2022 г. № 4529, действителен до 28 марта 2027 г.;
«Программа поиска и гарантированного уничтожения информации на дисках < «Устройство уничтожения информации на магнитных носителей информации способом магнитно-силового воздействия «ПРИБОЙ Модуль-3.5», сертификат ФСТЭК России от 23 августа 2018 г. № 4004, действителен
до 23 августа 2028 г., и других.
Требования по безопасности информации к средствам, предназначенным для уничтожения бумажных носителей информации, ФСТЭК России не определены.
Вместе с тем, в соответствии с пунктом 31 Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных органах, органах местного самоуправления и организациях, утвержденных приказом Федерального архивного агентства от 31 июля 2023 г. № 77, документы, содержащие персональные данные, имеющие пометку «Для служебного пользования», а также содержащие информацию ограниченного доступа, должны уничтожаться в государственном органе, органе местного самоуправлении, организации путем механического измельчения (шредирования) или иным способом, исключающим возможность восстановить содержание документов. Бумажные отходы передаются в организацию, занимающуюся переработкой вторсырья.
Документ, подтверждающий факт утилизации, прикладывается к акту о выделении к уничтожению документов, не подлежащих хранению.
Кроме того, в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Содержание акта определено указанными требованиями.
3. Порядок интеграции программного обеспечения, предназначенного для обработки персональных данных, со средствами защиты информации, прошедшими процедуру оценки соответствия, а также требования к проведению
такой процедуры с указанным программным обеспечением, ФСТЭК России не определены.