Содержание данной статьи проверено и подтверждено:
Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».
Любому лицу, организации, государственному органу (это операторы по обработке персональных данных), которому физическое лицо (субъект персональных данных) передало личную информацию о себе, необходимо соблюсти множество требований законодательства при обработке этой информации, в том числе, но не ограничиваясь, федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее-Закон).
Статья 3 Закона называет обработкой персональных данных (далее – ПДн) любое действие или их совокупность, совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор ПДн
Оператор ПДн должен обеспечить построение эффективной системы защиты ПДн, а именно, выполнение требований:
- Федерального закона от 27.07.2006 г. № 152-ФЗ
- Федерального закона от 27.07.2006 г. № 149-ФЗ
- Указа Президента РФ от 17.03.2008 г. № 351
- Постановления Правительства РФ от 01.11.2012 г. № 1119
- Постановления Правительства РФ от 15.09.2008 г. № 687
- Приказа ФСТЭК России от 18.02.2013 г. № 21
- Методики ФСТЭК России от 14.02.2008 г.
- Приказа ФСБ России от 10.07.2014 г. № 378
- Типовых требований ФСБ России от 21.02.2008 г
- Приказа Роскомнадзора от 05.09.2013 г. № 996
Все это множество требований и особенностей их исполнения при обработке ПДн, конечно, наталкивает Вас на размышления: «Не воспользоваться ли услугами специализирующейся на этой теме компании и не передать ли эти задачи/обязанности на аутсорсинг?».
Да, в соответствии с частями 3-5 статьи 6 Закона, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн на основании поручения оператора. Форма и характер такого поручения законодательством не установлена, поэтому считаем возможным заключать как отдельный договор поручения между оператором и аутсорсером, так и включить обязательства требования по ПДн в содержание другого договора (например, агентского, оказания услуг).
И, сразу, пара важных моментов – согласие субъекта ПДн все-равно должно быть получено именно Вами и еще придется составить договор с партнером – аутсорсером (агентом, исполнителем).
Итак, оператор ПДн имеет право отдать обработку ПДн на аутсорсинг при соблюдении порядка получения согласия на обработку ПДн у субъекта ПДн, соответствующего всем требованиям законодательства.
Важно еще раз подчеркнуть, что аутсорсер не должен получать согласие субъекта ПДн на обработку его ПДн – это обязанность оператора ПДн, как и защита ПДн в целом. Аутсорсер оператора ПДн обязан соблюдать принципы и правила обработки ПДн, но не обязан получать согласие субъекта ПДн. Ответственность перед субъектом ПДн за действия указанного лица несет оператор.
Плюсы и минусы аутсорсинга при обработке и защите персональных данных
Основными плюсами аутсорсинга при обработке и защите ПДн:
- Экономия сил, времени и средств на проекте по построению системы защиты ПДн;
- Требования законодательства по построению системы защиты ПДн лежат в основном на аутсорсере;
- Компания – аутсорсер обладает высококвалифицированными специалистами.
Минусы аутсорсинга:
- Риск утечки информации;
- Зависимость от внешних исполнителей.
Следует отметить что в современных реалиях передача обработки ПДн на аутсорсинг – неплохой способ сэкономить и при этом выполнить все необходимые требования законодательства о защите ПДн, доверив обработку персональных данных специализированной компании, например, на основании договора поручения, которым можно минимизировать риски аутсорсинга обработки ПДн.
Так, договором мы можем определить не только регламент обработки ПДн, обязательства сторон, но и установить жесткую ответственность за их нарушение, определить внесудебный порядок взыскания штрафа и/или неустойки. И, рекомендуем объяснить аутсорсеру, что включение в договор, может, на первый взгляд «драконовских» штрафных санкций, не имеет целью «нажиться за счет партнера», а лишь призвать его к качественному выполнению принятых на себя обязательств, дополнительно «простимулировать». Ведь в итоге, в случае утечки ПДн, претензий субъектов ПДн и/или контролирующих органов, ответственность будет нести именно оператор ПДн.
«РАМЭК-ВС» предоставляет полный перечень услуг, направленных на создание эффективной системы защиты персональных данных (ПДн) в соответствии с законодательством РФ.
Напишите нам. Наши специалисты готовы проконсультировать Вас прямо сейчас!
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан.
Почему необходимо защищать персональные данные?
Для того чтобы:
- привести информационную систему, содержащую персональные данные в соответствие с законодательством РФ и контролирующих органов;
- осуществлять обработку информации, содержащей персональные данные в полном объеме без возникновения претензий со стороны Заказчиков и собственных сотрудников;
- иметь возможность выдавать информацию, содержащую персональные данные, уполномоченным сторонним организациям;
- защититься от претензий регулирующих органов и возможных принудительных остановок деятельности предприятия;
- обеспечить гарантированную защиту от кражи персональных данных и от неправомерного их использования.
АО «РАМЭК-ВС» предоставляет полный перечень услуг, направленных на создание эффективной систем защиты персональных данных (ПДн) в соответствии с законодательством РФ:
- Аудит информационной системы персональных данных и анализ ее соответствия нормативным требованиям законодательства РФ и требованиями контролирующих органов;
- Разработка полного комплекса организационно-распорядительной и эксплуатационной документации (в т. ч. при использовании криптосредств);
- Разработка и проектирование системы защиты персональных данных (СЗПДн, ИСПДн в защищенном исполнении);
- Поставка, установка и внедрение в эксплуатацию системы защиты персональных данных;
- Сертификация существующих у Заказчика средств защиты персональных данных;
- Оценка соответствия (аттестация) информационной системы персональных данных (ИСПДН) требованиям 152-ФЗ;
- Аудит актуальности принятых организационных и технических мер обеспечения безопасности персональных данных;
- Сервисное обслуживание и сопровождение системы защиты персональных данных.
Мы строим наши решения по созданию информационных систем персональных данных (в зависимости от требований Заказчика) на продуктах наших партнеров, таких как КриптоПРО, ЛИССИ, ОКБ САПР, НПО «Эшелон», VipNet, Oracle, Cisco Systems, IBM, Positive Technologies, CheckPoint, Symantec, Лаборатория Касперского, Dr.Web и др.
Аутсорсинг по защите персональных данных.
Аутсорсинг в области безопасности – полная или частичная передача функций обслуживания и управления системой защиты внешнему исполнителю в течение определенного срока.
АО «РАМЭК-ВС» по договору аутсорсинга возьмет на себя все проблемы, связанные с реализацией и поддержанием на заданном уровне установленных мер технической защиты по требованиям безопасности ИСПДн. Для решения этой задачи Компания имеет полный набор лицензий ФСБ и ФСТЭК России на осуществление деятельности в этой области.
В рамках договора по аутсорсингу информационной системы персональных данных мы обеспечим Заказчикам:
- поддержание в актуальном состоянии организационно-распорядительной документации по вопросам обеспечения безопасности персональных данных;
контроль изменений в функционировании информационных систем персональных данных (смена ответственных лиц, аппаратных или программных компонентов информационной системы и т. п.); - совместное участие в проверках Роскомнадзора по вопросам соответствия законодательным требованиям;
устранение замечаний Регулятора.
ПРЕИМУЩЕСТВА работы с АО «РАМЭК-ВС»
- Мы разработаем оптимальное по стоимости и качеству решение с учетом имеющихся у Заказчика ресурсов;
- Для вас будут работать высококвалифицированные специалисты с опытом реализации более 100 проектов разных уровней сложности;
- Мы постоянно взаимодействуем с Роскомнадзором по вопросам обеспечения безопасности персональных данных на предприятии;
- Мы обеспечим снижение бизнес-рисков, а также устранение претензий со стороны регулирующих органов (прокуратура, Роскомнадзор, ФСБ России, ФСТЭК России), выявленных в ходе проверок.
Напишите нам. Наши специалисты готовы проконсультировать Вас прямо сейчас!
Создание и внедрение системы защиты персональных данных
Заказчик:ГАУЗ Республики Мордовия «Республиканский консультативно-диагностический центр»
Внедрение системы защиты персональных данных
Заказчик:ОАО «Богучанская ГЭС»
Создание и внедрение системы защиты персональных данных
Заказчик:ФГУП «ЦНИИ ЭИСУ»
Создание и внедрение системы защиты персональных данных
Заказчик:ФГУП «Центральный институт авиационного моторостроения им. П.И.Баранова»
Модернизация информационной Системы Персональных Данных
Заказчик:Институт развития образования Иркутской области
Система защиты персональных данных ИС
Заказчик:ГУ «Комитет социальной поддержки населения Саратовской области»
Система защиты персональных данных ИС
Заказчик:Министерство социального развития Саратовской области
Аттестационные испытания и поставка оборудования
Заказчик:ФУ «Информационный центр персонифицированного учета» (г. Москва)
Создание системы защиты персональных данных
Заказчик:ГАУ «Финансово-хозяйственное управление Мэрии Москвы»
- Главная
- Правовые ресурсы
- Подборки материалов
- Аутсорсинг персональные данные
Аутсорсинг персональные данные
Подборка наиболее важных документов по запросу Аутсорсинг персональные данные (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Банковская тайна и использование банками услуг аутсорсинга информационной безопасности
(Канашевский В.А.)
(«Lex russica», 2018, N 7)Ключевые слова: банковская тайна, коммерческая тайна, конфиденциальная информация, аутсорсинг, информационная безопасность, провайдер услуг, локализация, персональные данные, база данных, кредитная организация, финансовая организация, платежная система.
Нормативные акты
«Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге» СТО БР ИББС-1.4-2018″
(принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)При аутсорсинге существенных функций организация БС РФ должна обеспечить выполнение своих обязательств по предоставлению возможности контроля соблюдения требований к защите информации, установленных в рамках законодательства о национальной платежной системе [3, 9, 10], персональных данных [4, 11, 12] и безопасности критической информационной инфраструктуры [13], со стороны уполномоченных органов исполнительной власти РФ и Банка России (в пределах их полномочий, установленных законодательством РФ), в том числе обеспечить доступ к информации, связанной с деятельностью поставщика услуг.
Правовые ресурсы
- «Горячие» документы
- Кодексы и наиболее востребованные законы
-
Обзоры законодательства
- Федеральное законодательство
- Региональное законодательство
- Проекты правовых актов и законодательная деятельность
- Другие обзоры
-
Справочная информация, календари, формы
- Календари
- Формы документов
- Полезные советы
- Финансовые консультации
- Журналы издательства «Главная книга»
- Интернет-интервью
- Классика российского права
- Полезные ссылки и онлайн-сервисы
- Подписаться на рассылки
- Новостной информер КонсультантПлюс
- Новостные RSS-ленты
- Экспорт материалов
- Документы
- Подборки материалов