Бухгалтерский учет, налогообложение, отчетность, МСФО, анализ бухгалтерской информации, 1С:Бухгалтерия

Организационные вопросы защиты персональных данных

20.01.2010
В том, что персональные данные защищать необходимо, уже никто не сомневается, но дискуссии об организации такой защиты не стихают. И причин для возникновения споров, связанных с реализацией требований Федерального закона от 27.07.2006 № 152-ФЗ, предостаточно: неоднозначность требований законодательства, существенные финансовые расходы, которые не предусмотрены бюджетами организаций, и др. Хотя окончательное вступление в силу названного закона перенесено (см. Федеральный закон от 27.12.2009 № 363-ФЗ), требования, предъявляемые в части уведомления Роскомнадзора, получения согласия субъектов ПДн, проведения классификация ИСПДн, уже действуют, поэтому без изучения основных положений закона и проведения мероприятий по защите ПДн не обойтись. Специалисты фирмы "1С" знакомят с основными положениями Федерального закона № 152-ФЗ, подзаконными актами и дают некоторые рекомендации по организации защиты персональных данных при осуществлении обработки данных с использованием средств автоматизации.

Содержание


В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) оператором информационной системы персональных данных признается любая организация или предприниматель, обрабатывающие данные в отношении физических лиц.

Причем требования законодательства о защите персональных данных (далее - ПДн) предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестацией или декларированием соответствия информационной системы ПДн (далее - ИСПДн) требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих получение, обработку и передачу ПДн, и т. п. Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона № 152-ФЗ, Положением об обеспечении персональных данных при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона, с которыми можно ознакомиться на сайтах ФСТЭК РФ, ФСБ РФ, Роскомнадзора.

Необходимо защитить персональные данные

В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) оператором информационной системы персональных данных признается любая организация или предприниматель, обрабатывающие данные в отношении физических лиц.

Причем требования законодательства о защите персональных данных (далее - ПДн) предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестацией или декларированием соответствия информационной системы ПДн (далее - ИСПДн) требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих получение, обработку и передачу ПДн, и т. п. Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона № 152-ФЗ, Положением об обеспечении персональных данных при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона, с которыми можно ознакомиться на сайтах ФСТЭК РФ, ФСБ РФ, Роскомнадзора.

Получение согласия на обработку данных

Статьей 9 Федерального закона № 152-ФЗ предусмотрено, что субъект персональных данных принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе.

Под ПДн в соответствии со статьей 3 Федерального закона № 152-ФЗ понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видим, перечень такой информации является открытым.

Предоставление данных может быть обязательным и добровольным. Например, обязательное предоставление данных предусмотрено пунктом 2 статьи 9 Федерального закона № 152-ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В большинстве же случаев мы предоставляем персональные данные в добровольном порядке, при этом согласие субъектов ПДн на обработку ПДн требуется не всегда.

Без получения согласия субъекта ПДн может осуществляться обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект ПДн, либо в случае, если обработка ПДн необходима для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в пункте 2 статьи 6 Федерального закона № 152-ФЗ (например, не требуется получения согласия в целях исполнения договора с субъектом ПДн).

Следует принимать во внимание, что обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн. При использовании таких данных рекомендуется источник их получения.

Перечень сведений, подлежащих отражению в согласии субъекта персональных данных на обработку данных, приведен в пункте 4 статьи 9 Федерального закона № 152-ФЗ.

Уведомление Роскомнадзора

С 1 января 2008 операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в Роскомнадзор. Такое уведомление в соответствии с требованием пункта 1 статьи 22 Федерального закона № 152-ФЗ оператор должен направлять до начала обработки персональных данных.

Без уведомления Роскомнадзора можно осуществлять обработку ПДн, относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения либо полученные оператором в связи с заключением договора, стороной которого является субъект ПДн (например, при заключении договора бытового подряда). Полный список исключений приведен в пункте 2 статьи 22 Федерального закона № 152-ФЗ.

Форма уведомления утверждена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций РФ от 17.07.2008 № 08.

Проведение классификации

Еще одним обязательным мероприятием, которое обязаны осуществить все без исключения операторы информационных систем является проведение классификации и присвоение класса ИСПДн.

При проведении классификации необходимо исходить в первую очередь из перечня сведений, подлежащих обработке в информационной системе, а уже затем учитывать применяемые технические средства, прикладные программы, средства антивирусной защиты, сетевые экраны и т. п.

Основной целью проведения классификации является установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

В соответствии с пунктом 2 Порядка проведения классификации информационных систем, утвержденного совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 классификация проводится самой организацией - оператором информационной системы персональных данных. Необходимо оговориться, что класс информационной системы ПДн варьируется от К4 до К1.

При этом наименьшие требования к защите ПДн предъявляются к классу К4, а максимальные - к классу К1, т. е., говоря о повышении класса информационной системы, подразумеваем снижение требований по защите информации.

При определении класса информационной системы ПДн, необходимо определить в какой диапазон попадает ИСПДн вашей организации исходя из объема обрабатываемых данных:

  • менее 1 000 субъектов;
  • от 1 000 до 100 000 субъектов;
  • более 100 000 субъектов.

При расчете данного показателя стоит учитывать содержащуюся в базе информацию о работниках, бывших работниках, акционерах (учредителях), клиентах, контактных лицах в различных организациях (поставщиках, покупателях) и т. п.

При этом при обработке данных в рамках одной организации (независимо от численности) следует исходить из порядка, предусмотренного для ИСПДн, в которой обрабатываются ПДн не более чем 1 000 субъектов.

Таким образом, в особую "группу риска" попадают те операторы, в информационных базах которых содержится информация о деятельности нескольких организаций и соответственно сведения о субъектах ПДн, имеющих отношения к нескольким операторам ПДн.

К перечню обрабатываемой информации необходимо подойти с особой тщательностью, ведь от этого напрямую зависит класс и, соответственно, сумма расходов на проведение мероприятий по защите ПДн.

С учетом изложенного можно попытаться предварительно определить класс информационной системы в соответствии с таблицей.

В случае если рассматриваемую ИСПДн можно признать типовой, то такой системе присваивается один из следующих классов:

  • класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
  • класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
  • класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
  • класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Возьмем для примера сведения, подлежащие учету в программе "1С:Бухгалтерия 8". Например, при внесении записи в Справочник Физические лица подлежат указанию следующие сведения: ФИО, дата рождения, пол, место рождения, паспортные данные, гражданство, инвалидность, страховой номер свидетельства в ПФР, ИНН.

Кроме того, в базе данных будет также содержаться информация об адресе места жительства физического лица, телефоне, должности и другие сведения, в том числе финансового характера.

В ряде случаев могут возникнуть вопросы по поводу таких сведений как гражданство и инвалидность.

Но ведь мы понимаем, что гражданство не является синонимом национальной принадлежности, а понятия состояние здоровья и инвалидность не тождественны.

Данные сведения необходимы для правильного исчисления налогов с учетом требований законодательства.

Соответственно, можно говорить, что персональные данные, вводимые и обрабатываемые в "1С:Бухгалтерии 8", соответствуют классу К3.

Необходимо учитывать, что в случае дополнения базы дополнительными реквизитами, организация рискует понизить класс и соответственно повысить требования по защите этой информации.

Например, в случае внесения в информационную систему данных о состоянии здоровья (например, о заболеваниях) класс информационной системы будет К1, а требования, предъявляемые по защите таких данных максимальными.

Дополнительно стоит отметить, что в настоящее время нет четкого разграничения между ПДн, относящимися к классу 2 (ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к классу 1) и ПДн класса 1 (ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни).

Присвоение системе соответствующего класса подтверждается актом, утверждаемым руководителем организации.

Кроме того, среди факторов, подлежащих анализу, необходимо учитывать:

  • структуру информационной системы (автономные, локальные вычислительные системы с и без удаленного доступа);
  • наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных (однопользовательский или многопользовательский);
  • наличие системы с разграничением прав доступа пользователей информационной системы или без;
  • местонахождение технических средств информационной системы - целиком в России или нет.

С учетом проведенного обследования информационной системы и присвоения класса следует определить перечень необходимых мер.

Пунктом 1 статьи 19 Федерального закона № 152-ФЗ предусмотрено, что оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

К таким мерам могут быть отнесены следующие мероприятия:

  • разработка документов, регламентирующих обработку персональных данных в организации;
  • создание системы защиты ПДн, в том числе разработка мер по защите информации от несанкционированного доступа (система разграничения доступа к информации; регистрация и учет; обеспечение целостности; контроль отсутствия недекларируемых возможностей; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, анализ защищенности; криптографические средства; обнаружение вторжений) и меры по защите информации от утечки по техническим каналам (организация режима и контроля доступа в помещения; защита от ПЭМИН (экранирование, зашумление и т. д.); защита от утечки акустической и видовой информации);
  • обязательная сертификация (аттестация) по требованиям безопасности информации - для ИСПДн классов 1 и 2 или декларирование соответствия для ИСПДн класса 3.

Деятельность по обязательной сертификации (аттестации) по требованиям безопасности информации может осуществляться исключительно организациями, имеющими соответствующую лицензию ФСТЭК РФ.

Особо стоит подчеркнуть, что для обеспечения требования по защите ПДн при эксплуатации ИСПДн класса 1 и 2 операторы ПД также должны получить лицензию на деятельность по технической защите конфиденциальной информации или заключить соответствующий договор с организацией, имеющей такую лицензию.

Документы по защите ПДн

Особое внимание необходимо уделить разработке соответствующих документов по защите ПДн, в которых необходимо отразить перечень обрабатываемых данных, перечень ИСПДн, перечень сотрудников, имеющих право доступа к ПДн и вид доступа, используемое оборудование, средства защиты, антивирусные программы и т. п.

Основными документами, подлежащими разработке, являются:

  • Положение о персональных данных и их защите;
  • Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • Приказы о возложении персональной ответственности за защиту ПДн;
  • Регламент допуска сотрудников к обработке персональных данных;
  • Перечень сотрудников, допущенных к обработке персональных данных (с правом записи и без такого права);
  • Должностные инструкции сотрудников, имеющих отношение к обработке ПДн и т. д.

Рекомендации по защите ПДн

Важно отметить, что в целях снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

  • проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);
  • осуществление обработки некоторых сведений без использования средств автоматизации;
  • обезличивание части ПДн;
  • минимизация мест хранения и обработки ПДн, разделение/сегментирование информационных систем, снижение требований к части сегментов;
  • сокращение числа сотрудников, имеющих доступ к ПДн;
  • выделение рабочих мест, где используются ПДн, в отдельную локальную вычислительную систему и организация защиты только ее;
  • передача по каналам связи только обезличенной информации.

Экспресс-опрос по защите ПДн

Определим место вашей организации в правовом поле защиты персональных данных.

Экспресс-опрос по определению минимального набора необходимых мероприятий в рамках выполнения требований по защите ПДн:
Шаг 1 - определяем класс ИСПДн - см. схему 1.
Шаг 2 - определяем комплекс необходимых мероприятий - см. схему 2.

Схема 1

Схема 2

* * *

Федеральный закон "О персональных данных" предъявляет дополнительные требования и к разработчикам программных продуктов, в первую очередь к организациям, являющимися производителями средств защиты информации.

Ряд дополнительных требований предъявляется и к программному обеспечению, не признаваемому средством защиты информации. Именно к данной категории относятся программные продукты, разрабатываемые фирмой "1С". В связи с чем, фирмой "1С" проводятся работы по направлениям:

  • проведение добровольной сертификации программных продуктов фирмы "1С";
  • доработка технологической платформы;
  • доработка прикладных программных продуктов, в том числе "1С:Зарплата и управление персоналом" (реализовано в версии 2.5.19, 16.12.2009) и "1С:Зарплата и кадры бюджетного учреждения";
  • разработка методических рекомендаций для пользователей и партнеров фирмы "1С" с целью организации и проведения работ по защите персональных данных.

Читайте также статью "Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8".

Комментарии 0

1С бесплатно 1С-Отчетность 1С-Такском 1С:ERP Управление предприятием 1С:Бесплатно 1С:Бухгалтерия 8 1С:Бухгалтерия 8 КОРП 1С:Бухгалтерия автономного учреждения 1С:Бухгалтерия государственного учреждения 1С:Бюджет муниципального образования 1С:Бюджет поселения 1С:Вещевое довольствие 1С:Деньги 1С:Документооборот 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и кадры государственного учреждения 1С:Зарплата и управление персоналом 1С:Зарплата и управление персоналом КОРП 1С:Комплексная автоматизация 8 1С:Лекторий 1С:Предприятие 1С:Предприятие 7.7 1С:Предприятие 8 1С:Розница 1С:Управление небольшой фирмой 1С:Управление производственным предприятием 1С:Управление торговлей 1СПАРК-Риски 1СПредприятие 8 2-НДФЛ 3-НДФЛ 4-ФСС 5 минут 6-НДФЛ CRM Агентский договор. Учет административная ответственность адресный классификатор акцизы алкоголь алкогольная продукция амортизационная премия амортизация арбитражная практика аттестация рабочих мест аудит аудиторские организации база 1с база для начисления страховых взносов база по страховым взносам база по налогу на прибыль банк и касса в 1с банкротство безнадежная задолженность безналичные расчеты бланки строгой отчетности больничное пособие больничный листок бухгалтер бухгалтерия автономного учреждения бухгалтерская отчетность бухгалтерские события бухгалтерский баланс бухгалтерский учет бухучет Бытовые услуги. Учет бюджет муниципального образования бюджет поселения бюджетная отчетность бюджетный учет ВАС РФ Вахтовый метод.Оплата ввоз товаров взаимозависимые_лица взноcы в ПФР взносы в ФОМС взносы в ФСС взносы на травматизм видео 1С водный налог возврат переплаты восстановление НДС вывоз товаров выездная налоговая проверка выездная проверка выплата зарплаты выплаты иностранному работнику выплаты работникам выплаты физическим лицам высококвалифицированные специалисты вычет НДС вычеты по НДФЛ ВЭД ГК РФ госпошлина государственная регистрация государственные и муниципальные закупки гражданско-правовой договор графики работы двойное налогообложение дебиторка декларация по алкоголю декларация по ЕНВД декларация по НДС денежные документы День Бухгалтерии детские пособия ДиректБанк договор комиссии договор подряда договор поставки договор транспортной экспедиции договорная политика документальное оформление документооборот долговые обязательства должная осмотрительность доходы организации ЕГАИС ЕГРЮЛ ежемесячная отчетность ЕНВД ЕСН ЕСХН задержка заработной платы задолженность по налогам займы закон о бухгалтерском учете занимательная бухгалтерия заработная плата зарплата зарплатные налоги зарубежная командировка защита персональных данных заявление о постановке на учет земельный налог изменения 2015 изменения в законодательстве изменения в законодательстве 2012 изменения в законодательстве 2013 имущественные вычеты имущественный налоговый вычет индивидуальный предприниматель иностранные компании иностранный работник интернет-компании интернет-магазины ИП ИП на ЕНВД ИС 1С:ИТС исправление бухгалтерских ошибок исправление ошибок ИТС ИФНС кадастровая стоимость кадровое оформление камеральная проверка кассовая дисциплина кассовые операции КБК квоты на иностранных рабочих КИК ККТ КЛАДР ключевая ставка книга на УСН книга покупок книга продаж КоАП РФ коды видов продукции командировка командировочные расходы компенсации работникам компенсационные выплаты компенсация за отпуск консервация основных средств консолидированная группа контролируемые сделки корректировочный счет-фактура коэффициент-дефлятор крупнейшие налогоплательщики курортный сбор курсовые разницы лизинг лизинговое имущество ликвидация организации лицензирование льготы по ндс малый бизнес маркировка изделий маркировка изделий из натурального меха маркировка меховых изделий маркировка товара материальная выгода материальная помощь материнский капитал международные стандарты миниденьги модернизация основных средств МРОТ МСФО наличные расчеты налог на игорный бизнес налог на имущество налог на имущество физических лиц налог на прибыль налоги физических лиц налоговая база по налогу на прибыль налоговая база по ндс налоговая база по НДС налоговая декларация налоговая ответственность налоговая отчетность налоговая политика налоговая проверка налоговое администрирование налоговые каникулы налоговые льготы налоговые проверки налоговый агент налоговый агент НДФЛ налоговый агент по НДС налоговый агент по НДФЛ налоговый агент по ндфл налоговый вычет налоговый контроль налоговый мониторинг налоговый учет налогообложение доходов налогоплательщик начисление пени НДПИ НДС НДС по ставке 10% НДС при ввозе НДС при экспорте НДС-2015 НДФЛ некоммерческие организации учет неотделимые улучшения нерезиденты НИОКР НК РФ НМА новая форма декларации новая форма расчета новости нормы естественной убыли нулевая декларация нулевая ставка обзор обзор бухгалтерских событий обзор новостей обмен документами обновление КЛАДР обособленное подразделение обособленные подразделения обучение 1с оказание услуг ОКВЭД2 ОКПД2 онлайн-касса онлайн-ккт онлайн-ККТ освобождение от налогообложения освобождение от ндс освобождение от НДС основные средства отпускные отходы отчетность в ПФР отчетность в росстат отчетность в Росстат отчетность организации отчетность по страховым взносам отчетность предпринимателя оформление счета-фактуры охрана труда патентная система ПБУ 18 первичные документы перенос убытков персонифицированный учет план счетов плата за негативное воздействие на окружающую среду плата за проезд грузовиков платежи платежное поручение платежные документы 1с платежный агент платежный терминал повышение ставок подакцизные товары подтверждающие документы подтверждение расходов полномочия налоговых органов пониженные тарифы поправки в НК РФ поправки в тк рф поправки в ТК РФ порядок маркировки товаров пособие по беременности и родам пособие по временной нетрудоспособности пособие по нетрудоспособности пособия за счет ФСС посреднические договоры постановка на учет постановка на учет в налоговом органе права налогоплательщика представление сведений приказ Минфина применение ККТ приостановление операций по счету проверка ИНН/КПП проверка контрагентов продажа алкогольной продукции производственный календарь проф. Пятов профессиональные вычеты ПСН псн путевой лист работники-иностранцы раздельный учет расходы на ГСМ расходы на рекламу расходы организации расчет больничного листа расчет заработной платы расчет НДПИ расчет отпускных расчет себестоимости расчет страховых взносов расчетный счет расчеты с работниками регистрация недвижимости регистрация юридических лиц реконструкция основных средств ремонт основных средств реорганизация росалкогольрегулирование РСВ-1 рыночные цены самозанятые граждане свод отчетов сдача имущества в аренду секреты 1С:ЗУП сельскохозяйственный товаропроизводитель система "Платон" служебная командировка снижение ставок совместители совмещение налоговых режимов составление и сдача отчетности составление и сдача отчетности социальное страхование социальные вычеты социальный налоговый вычет спецоценка условий труда средний заработок ставка НДС Ставка НДФЛ ставка рефинансирования ставка УСН стандартные вычеты стандарты бухучета статистика статистическая отчетность статотчетность страхование страховые взносы страховые взносы в пфр страховые взносы в фсс страховые взносы в ФСС страховые взносы для самозанятых страховые взносы на травматизм страховые тарифы судебные издержки суммовые разницы суточные счет-фактура такси таможенные платежи таможенный союз ТК РФ торг-12 торговый сбор транспортный налог трудовая книжка трудовой договор увольнение по инициативе руководителя увольнение по соглашению сторон уголовная ответственность удержание алиментов УКД универсальный корректировочный документ УПД уплата налога уплата налогов упрощенная система налогообложения УСН уставный капитал уточненка утрата права на усн учет аренды учет в АО учет в ООО учет в сельском хозяйстве учет в строительстве учет в туризме учет дивидендов учет доходов при УСН учет доходов при усн учет импорта учет лизинга учет МПЗ учет на производстве учет ОС учет основных средств учет премий учет расходов учет расходов при УСН учет расходов при усн учет реализации учет скидок учет субсидий учет товаров учет ценных бумаг учет экспорта учетная политика учредительные документы факсимиле ФИАС финансовый анализ финансовый результат ФНС РФ форма 6-НДФЛ формы документов ФСС штрафные санкции ЭДО экологические платежи экспорт в страны ЕАЭС экспорт продукции электронная отчетность электронная подпись электронные счета-фактуры электронный документооборот электронный формат энциклопедия проверок

Все теги
X

Яндекс-виджет: Новости
Яндекс-виджет: Полезные материалы
Информеры