При внедрении процессов обработки персональных данных в организациях, возникает целый ряд вопросов, касающихся информационных систем персональных данных (далее ИСПДн).
Для более полного понимания этой темы, разберем основные вопросы, которые обычно возникают при использовании и управлении ИСПДн.
Начнем с определений, которые будем использовать:
ПДн (персональные данные) -любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
ИС (информационная система) – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.
ИСПДн (информационные системы персональных данных) – совокупность информации, содержащейся в базах данных, а именно ПДн, и обеспечивающих ее обработку с использованием информационных технологий и технических средств.
СЗИ (средства защиты информации) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.
ЛНА (Локальные нормативные акты) или ОРД (организационно-распорядительная документация) – это ключевые комплекты документов, регулирующие внутренние процессы организации.
ИСПДн представляет собой систему, состоящую из набора ПДн, размещенных в базе данных, а также информационных технологий и технических средств, используемых для обработки этих данных. Обработка может осуществляться с использованием средств вычислительной техники или вручную оператором.
Основными составляющими ИСПДн являются:
- Персональные данные в базах — совокупность информации и ее носителей, которые используются в ИС (ФИО, почтовые адреса, номера телефонов и т.д.).
- Информационные технологии — приемы, способы и методы, которые оператор применяет для обработки персональных данных (серверы, сетевое оборудование и пр.)
- Технические средства для обработки персональных данных включают: компьютеры, сети, аудио- и видеоустройства, копировальное оборудование и другие средства обработки информации.
- Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение (CRM-системы, 1С:Бухгалтерия и т.п.)
- Средства защиты информации (СЗИ).
- Технические средства и коммуникационные системы, не вовлеченные в обработку персональных данных, но размещенные в помещениях вместе с ИСПДн, включают в себя следующие: телефонная инфраструктура, вычислительное оборудование, средства радиосвязи, сигнализации для охраны и противопожарной защиты, системы кондиционирования воздуха, устройства контроля и измерения, а также офисная техника.
Пример ИСПДн — информационная система для обработки данных о клиентах. Данная информационная система включает в себя базу данных с информацией о клиентах, их предпочтениях, истории операций и оплат. В систему входят средства для взаимодействия с клиентами через онлайн-платформы, программное обеспечение для анализа предпочтений и формирования персонализированных предложений, а также системы безопасности для защиты личных данных клиентов.
Необходимо провести разделение персональных данных с целью установления правил и мер по обработке и защите данных для различных категорий, и определения ответственности за нарушение установленных норм.
Исходя из действующего законодательства, можно выделить такие типы ПДн :
- специальные
- биометрические
- иные
Также в настоящее время в законодательстве предусмотрен особый тип персональных данных – разрешенные субъектом ПДн к распространению.
Далее рассмотрим, на какие группы можно разделить ИСПДн.
Группы ИСПДн по принадлежности
В этой группе ИСПДн можно выделить следующие категории:
- Принадлежащие государственным и муниципальным учреждениям (обычно это подтверждается наличием документа, в котором прописано название ИС, кто владелец ИС);
- Принадлежащие юридическим и физическим лицам, занимающихся обработкой персональных данных и определяющими цели и характер такой обработки.
Примечание: вторая категория исключает системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.
Группы ИСПДн по территориальному размещению
- Распределенные: системы находятся в различных регионах и населенных пунктах страны. Например, система управления телекоммуникационной сетью, где оборудование и серверы распределены по разным географическим зонам для обеспечения эффективной связи, является распределенной ИСПДн.
- Городские: все элементы системы располагаются в пределах одного города.
- Корпоративные: все элементы системы принадлежат одной организации и могут быть размещены как в одном, так и в нескольких городах. Например, система управления крупной сетью розничных магазинов, где базы данных и кассовые терминалы размещены в разных частях страны, является корпоративной распределенной ИСПДн.
- Кампусные: все элементы системы распределены по близко расположенным зданиям. Например, ИСПДн медицинского комплекса будет кампусной.
- Локальные. Все элементы системы размещены в пределах одного здания. ИСПДн такого рода чаще всего используются на небольших предприятиях.
Группы ИСПДн по наличию выхода в интернет
- С многоточечным выходом – позволяет осуществлять прямой доступ в Интернет с любого устройства в сети.
- С одноточечным выходом в интернет – все устройства используют один общий шлюз для подключения к сети Интернет.
- Без выхода в интернет- доступ ограничен или присутствует закрытая корпоративная сеть.
Группы ИСПДн по доступным операциям с данными
- Допускается только просмотр и поиск информации, база сформирована и не подлежит дополнению или изменению.
- Возможны различные операции с данными, такие как ввод, удаление и сортировка.
- Допускается изменение и передача данных — стандартные процессы в функционировании практически всех систем.
Группы ИСПДн по разграничению доступа к персональным данным
- Доступ к ПДн предоставлен субъекту персональных данных и определенным сотрудникам оператора.
- Доступ к ПДн предоставлен всем сотрудникам оператора.
Группы ИСПДн по уровню обезличивания данных (ОТНОСИТСЯ только к государственным организация)
- Пользователям ИСПДн предоставляется обезличенная информация, не подлежащая прямой идентификации с конкретным человеком. Однако внутри самой системы эти данные сохраняются в персонализированной форме, что делает их персональными.
- Для передачи в другие организации данные проходят процесс обезличивания, однако сотрудники оператора получают их без обезличивания.
- Даже во время передачи данные не подвергаются процессу обезличивания.
Группы ИСПДн по объему предоставления базы данных другим компаниям
- Оператор по запросу сторонней организации предоставляет доступ к полной базе ПДн.
- При запросе оператор предоставляет доступ только к определенной части данных, например, к информации о конкретных пользователях.
- Оператор не раскрывает информацию, сохраняет базу данных исключительно для своих нужд и не передает ее третьей стороне.
Для создания документов ЛНА, необходимо учитывать особенности ИСПДн, это влияет на уровень ответственности, на правильный учет и описание процессов движения ПДн в компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы можете сформировать документы правильно!