Письмо 3.09.08 № 17-02-09/ 185.pdf

Page 1 of 16

Письмо Рособразования от 3 сентября 2008 года No17-02-

09/185 «О предоставлении уведомлений об обработке

персональных данных»

Письмо

Федерального агентства по образованию от 29.07.2009 No 17-110

«Об обеспечении защиты персональных данных»

Руководителям учреждений, подведомственных Рособразованию

В соответствии с письмами Роскомнадзора от 23.06.2009 г. No 07-2/6639 и

Рособразования от 03.09.2008 г. No 17-02-09/185 напоминаем Вам, что

информационные системы персональных данных, созданные после

вступления в действие Федерального закона Российской Федерации от

26.07.2006 г. No 152-ФЗ «О персональных данных» должны соответствовать

требованиям данного закона. Ранее созданные информационные системы

должны быть приведены в соответствие с требованиями закона не позднее 1

января 2010 года.

Лица, виновные в нарушении требований закона, несут гражданскую,

уголовную, административную, дисциплинарную и иную предусмотренную

законодательством Российской Федерации ответственность. Контроль за

соблюдением законодательства о персональных данных осуществляют

территориальные органы Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций (Роскомнадзора).

В соответствии со статьей 9 Федерального закона Российской Федерации от

26.07.2006 г. No 152-ФЗ обработка персональных данных должна

осуществляться с письменного согласия субъектов персональных данных или

их законных представителей.

Письменное согласие в виде анкеты, заполняемой и подписываемой каждым

абитуриентом, учащимся и работником учреждения должно включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер

основного документа, удостоверяющего его личность, сведения о дате

выдачи указанного документа и выдавшем его органе;

Page 2 of 16

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего

согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие

субъекта персональных данных;

5) перечень действий с персональными данными» на совершение которых

дается согласие, общее описание используемых оператором способов

обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва

по инициативе субъекта персональных данных.

В целях автоматизации обработки персональных данных в анкетах

рекомендуется дополнительно указывать внутренний идентификационный

номер (личный код) субъекта персональных данных, присваиваемый на весь

период обучения или работы. Это позволит обезличить базы данных, если в

них не содержатся иные персональные данные, и существенно сократить

затраты на защиту информации.

Защита персональных данных должна осуществляться в соответствии с

постановлениями Правительства Российской Федерации от 17.11.2007 г. No

781 «Об утверждении Положения об обеспечении безопасности

персональных данных при их обработке в информационных системах

персональных данных» и от 15.09.2008 г. No 687 «Об утверждении

Положения об особенностях обработки персональных данных,

осуществляемой без использования средств автоматизации».

Информация об основных нормативно-методических документах и

требованиях по организации защиты персональных данных прилагается.

Приложение на 8 л.

И. И. Булаев

Приложение

Page 3 of 16

^ Информация об основных нормативно-методических документах и

требованиях по организации защиты персональных данных

Законодательством Российской Федерации ответственность за надлежащую

защиту персональных данных возлагается на организации, в которых

персональные данные обрабатываются. Уполномоченным органом по

контролю за соблюдением законодательства о персональных данных

является Федеральная служба по надзору в сфере связи, информационных

технологий и массовых коммуникаций (Роскомнадзор).

Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также

проверки по жалобам и обращениям физических и юридических лиц.

Проверки систем защиты персональных данных могут также осуществляться

ФСТЭК России или ФСБ России при проведении контроля систем защиты

конфиденциальных данных или использования криптосредств. При

обнаружении неправомерных действий с персональными данными, их

обработка должны быть прекращена до устранения выявленных нарушений.

Нарушение законодательства о персональных данных, в соответствии с

Федеральным законом от 27.07.2006 г. No 152-ФЗ «О персональных данных»

(статья 24) влечет за собой гражданскую, уголовную, административную,

дисциплинарную и иную предусмотренную законодательством Российской

Федерации ответственность, налагаемую в судебном порядке.

1. Законодательство о защите персональных данных.

Под персональными данными (ПД) понимают любую информацию,

относящуюся к определенному или определяемому на основании такой

информации физическому лицу (субъекту ПД), в том числе: фамилия, имя,

отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,

имущественное положение, образование, профессия, доходы, другая

информация.

Оператор персональных данных — государственный орган, муниципальный

орган, юридическое или физическое лицо, организующие и (или)

осуществляющие обработку персональных данных, а также определяющие

цели и содержание такой обработки.