Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим нашу дальнейшую деятельность. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
В целях обеспечения конфиденциальности персональных данных нашими специалистами, получающими доступ к персональным данным, разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация данных мер основывается на используемыми нашими специалистами средствами организационной, технической, программной, криптографической, правовой и иной защиты.
Меры по охране конфиденциальности персональных данных в нашей организации, принимаемые оператором, включают в себя:
1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 «Об утверждении Перечня сведений конфиденциального характера» структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Кроме того, персональные данные наших заказчиков охраняются в настоящее время различными режимами ограниченного доступа(режим профессиональной тайны) (см. ФЗ «О коммерческой тайне» и др.).
2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию персональных данных работниками организации на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;
2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных.
Законодательные акты касательно конфиденциальности персональных данных
— Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
— Федеральный закон Российской Федерации 30 декабря 2001 г. № 197- ФЗ «Трудовой кодекс Российской Федерации (14 глава)»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказ ФСТЭК России от 11 февраля 2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
— Приказ ФСТЭК России от 18 февраля 2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Роскомнадзора от 05 сентября 2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных»