Рейтинг: 4.4/5.0 (1898 проголосовавших)Категория: Бланки/Образцы
В настоящее время все государственные и негосударственные предприятия должны внедрять определенные процедуры для защиты личной информации.
Сохранность личной информации–защита личных данных, которая позволяет обеспечить сохранность, целостность и доступность личной информации при ее обработке в специальных информационных системах личных данных.
Сущность плана мероприятий по охране персональных данных
Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке. Данные процедуры защищают персональные данные от утечки информации.
Сам план процедур по охране личных данных предполагает определенный список процедур, необходимый для обеспечения защиты личных данных. Процедуры должны быть оформлены в полном соответствии со всеми документами организации.
Кроме того, план процедур в обязательном порядке должен быть заверен уполномоченным лицом, которое отвечает за порядок безопасности в этой организации.
В этом документе должны быть четко прописаны все необходимые процедуры, с учетом тех, которые уже имеются. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз.
Процедуры, необходимые для безопасности личных данных
В список вписываются следующие необходимые пункты процедур по охране личной информации:
В списке прописываются следующие основные пункты по охране личной информации:
Реализация мероприятий по защите данных
После проведения внутренней проверки по защите личной информации, при необходимости, в список процедур должны быть внесены коррективы.
Непосредственная реализация перечня мер по защите персональной информации осуществляется после проведения внутренней проверки и составления доклада о ее результатах.
Необходимые процедуры обязаны выполнять все учреждения, которые используют ИСПДн, и могут проводиться уполномоченными лицами учреждений без привлечения внешних сил.
Ниже расположен типовой бланк и образец плана мероприятий по защите персональных данных вариант которого можно скачать бесплатно.
Типовая форма и пример плана мероприятий по защите персональных данных
+ Защита коммерческой тайны 2 документа MS Word 2010 0,05 Mb -> СКАЧАТЬ
Библиотека по защите информации 24 Книги ОТКРЫТЬ
Выложенные здесь документы по информационной безопасности и защите персональных данных разработаны самостоятельно, с учетом имеющейся нормативной базы в стране. Документы использовались на строительно-монтажном предприятии, имеющем удаленные филиалы. Размещены они в таком порядке, в котором,на наш взгляд, их следует принимать и исполнять. Вы можете скачать документы сразу одним файлом или только требуемые документы.
Документы по защите информации
1. Концепция информационной безопасности организации, инструкции ответственных лиц.
- концепция информационной безопасности организации -> СКАЧАТЬ
- должностная инструкция администратора безопасности -> СКАЧАТЬ
- должностная инструкция администратора ЛВС -> СКАЧАТЬ
- должностная инструкция администратора баз данных -> СКАЧАТЬ
- приказ об утверждении концепции информационной безопасности и назначании лиц, ответственных за защиту информации -> СКАЧАТЬ
2. Перечень информационных ресурсов организации.
- перечень информационных ресурсов организации (образец) -> СКАЧАТЬ
3. Перечень защищаемых помещений.
- приказ о защищаемых помещениях и помещених с ограниченным доступом -> СКАЧАТЬ
- приложение 1 - перечень защищаемых помещений и помещений с ограниченным лоступом (образец) -> СКАЧАТЬ
- приложение 2 - список сотрудников, имеющих доступ в помещения с ограниченным доступом (образец) -> СКАЧАТЬ
- технический паспорт защищаемого помещения -> СКАЧАТЬ
4. Планы мероприятий и планы работ по защите информации.
- план действий по обеспечению информационной безопасности -> СКАЧАТЬ
- план работ по защите информации -> СКАЧАТЬ
5. Порядок разграничения прав доступа к информационным ресурсам.
- порядок доступа к информационным, программным и аппаратным ресурсам -> СКАЧАТЬ
- приказ о порядке доступа к информационным ресурсам и утверждении их перечня -> СКАЧАТЬ
6. Положение об использовании программного обеспечения.
- положение об использовании программного обеспечения -> СКАЧАТЬ
- приказ об использовании программного обеспечения -> СКАЧАТЬ
7. Положение об использовании сети Internet и электронной почты.
- положение об использовании сети Интернет и электронной почты -> СКАЧАТЬ
- приложение 1 - список адресов электронной почты сотрудников -> СКАЧАТЬ
- приказ об использовании сети интернет и электронной почты -> СКАЧАТЬ
8. Положение о парольной защите.
- положение по организации парольной защиты -> СКАЧАТЬ
- приказ по организации парольной защиты -> СКАЧАТЬ
9. Положение о резервном копировании.
- положение о резерном копировании -> СКАЧАТЬ
- приказ о резервном копировании -> СКАЧАТЬ
10. Положение об антивирусном контроле.
- положение об антивирусном контроле -> СКАЧАТЬ
- приказ об антивирусном контроле -> СКАЧАТЬ
11. Положение об использовании съемных носителях информации.
- положение об использовании мобильных устройств и носителей информации -> СКАЧАТЬ
12. План обеспечения непрерывной работы и восстановления работоспособности.
- план обеспечения непрерывности работы и восстановления автоматизированной системы -> СКАЧАТЬ
- приказ об введение в действие плана -> СКАЧАТЬ
13. Регламент реагирования на инциденты информационной безопасности.
- регламент реагирования на инциденты информационной безопасности -> СКАЧАТЬ
14. Памятка сотруднику по информационной безопасности.
- памятка по информационной безопасности -> СКАЧАТЬ
15. Сертификаты ФСБ, ФСТЭК, лицензии.
- сертификаты ФСБ, ФСТЭК, лицензии на программные и аппаратные средства защиты информации -> СКАЧАТЬ
16. Нормативно-справочная информация.
- руководящие документы Гостехкомиссии, ГОСТы, ISO, федеральные законы по защите информации -> СКАЧАТЬ
17. Образцы документов.
а) для начальников структурных подразделений:
- заявка на предоставление доступа к информационным ресурсам -> СКАЧАТЬ
- служебная записка на изменение состава информационных ресурсов -> СКАЧАТЬ
- перечень информационных ресурсов организации -> СКАЧАТЬ
- заявка на предоставление работнику мобильного устройства или носителя информации -> СКАЧАТЬ
- перечень программного обеспечения, разрешенного для использования -> СКАЧАТЬ
б) для администратора информационной безопасности:
- журнал регистрации и учета заявок на предоставление доступа к информационным ресурсам -> СКАЧАТЬ
- журнал инструктажа пользователей с правилами доступа к ресурсам -> СКАЧАТЬ
- паспорт автоматизированного рабочего места -> СКАЧАТЬ
- перечень данных? подлежащих резервному копированию и хранению -> СКАЧАТЬ
- расписание резервного копирования -> СКАЧАТЬ
- список работников, имеющих право работы с мобильными устройствами вне территории -> СКАЧАТЬ
- картотека Инциденты информационной безопасности -> СКАЧАТЬ
18. Приказ о проведении работ по защите информации.
- финальный приказ, конкретизирующий дальнейшие действия должностных лиц -> СКАЧАТЬ
Защита персональных данных
1. Политика в области защиты персональных данных.
- политика организации в области обработки и защиты персональных данных -> СКАЧАТЬ
2. Перечень песональных данных.
- перечень персональных данных -> СКАЧАТЬ
3. Список информационных систем, в которых циркулируют персональные данные.
- список автоматизированных систем с персональными данными -> СКАЧАТЬ
- список неавтоматизированных систем -> СКАЧАТЬ
- персональные данные в медпункте -> СКАЧАТЬ
4. Положение об обработке персональных данных.
- положение об обработке персональных данных -> СКАЧАТЬ
- приложение 7 - список должностных лиц, осуществляющих обработку персональных данных -> СКАЧАТЬ
- приложение 8 - журнал учета допуска к обработке персональных данных -> СКАЧАТЬ
5. Модель угроз и модель нарушителя.
- модель угроз и нарушителя безопасности персональных данных -> СКАЧАТЬ
6. Инструкция об обработке персональных данных без использования средств автоматизации.
- инструкция об обработке персональных данных без использования средств автоматизации -> СКАЧАТЬ
7. Приказы по персональным данным.
- приказ об утверждении нормативных актов по защите персональных данных -> СКАЧАТЬ
- приказ о порядке исполнения нормативных актов по вопросам обработки персональных данных -> СКАЧАТЬ
8. Прочие документы.
- что необходимо для реализации учета обрабатываемых персональных данных и их защиты -> СКАЧАТЬ
- журнал учета допуска работников к обработке персональных данных -> СКАЧАТЬ
- лист ознакомления с документами по защите персональных данных -> СКАЧАТЬ
- информационное письмо в Роскомнадзор о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных -> СКАЧАТЬ
- регламент проведения проверок органами Роскомнадзора -> СКАЧАТЬ
- регламент проведения проверок ФСБ РФ в области защиты персональных данных -> СКАЧАТЬ
АДМИНИСТРАЦИЯ МУЧКАПСКОГО РАЙОНА
МУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ДОПОЛНИТЕЛЬНОГО ОБРАЗОВАНИЯ ДЕТЕЙ
ДЕТСКО-ЮНОШЕСКАЯ СПОРТИВНАЯ ШКОЛА «САЛЮТ»
31.01.2013 р.п. Мучкапский № 9-Ф
Об утверждении Плана мероприятий
по защите персональных данных
в МБОУ ДОД ДЮСШ «Салют»
Во исполнении Федерального закона от 27.07.2006 N152-ФЗ "О персональных данных", Постановления Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в целях выполнения законодательства Российской Федерации в области защиты персональных данных в образовательном учреждении ПРИКАЗЫВАЮ:
1. Утвердить План мероприятий по защите персональных данных в МБОУ ДОД ДЮСШ «Салют» согласно приложению.
2. Разместить настоящий приказ на официальном сайте учреждения.
Директор МБОУ ДОД ДЮСШ «Салют» Б.С.Румянцев
С приказом ознакомлены:
зам.директора по УВР И.Н. Коростелёва
МБОУ ДОД ДЮСШ «Салют»
от 31.01.2013 № ______
по защите персональных данных в МБОУ ДОД ДЮСШ «Салют»
Ответственный за выполнение
Оформление правового основания обработки персональных данных
При вводе информационной системы персональных данных (далее -ИСПДн) в эксплуатацию
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию.
Направление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор Тамбовской области) Уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации
При вводе ИСПДн в эксплуатацию и при необходимости
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
Уведомление направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений сведений, указанных в Уведомлении (ч.3 ст. 22 Федерального Закона №152-ФЗ от 27.07.2006 «О персональных данных»), а также в случае прекращения обработки персональных данных.
Документальное регламентирование работы с персональными данными
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
Разработка проектов нормативных правовых актов (приказов):
- о назначении ответственных за организацию обработки персональных данных в МБОУ ДОД ДЮСШ «Салют», ответственных за обработку персональных данных и ответственных за защиту персональных данных;
- положения об обработке персональных данных в МБОУ ДОД ДЮСШ «Салют» (устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения; регламентирующее: перечни персональных данных, обрабатываемых в МБОУ ДОД ДЮСШ «Салют» в связи с реализацией трудовых отношений, а также в связи с оказанием дополнительных образовательных услуг и платных услуг для населения и других муниципальных функций; типовую форму согласия на обработку персональных данных сотрудников МБОУ ДОД ДЮСШ «Салют» (работников), иных субъектов персональных данных (не являющихся работниками МБОУ ДОД ДЮСШ «Салют»);
- должностных инструкций ответственного за организацию обработки персональных данных и ответственного за защиту персональных данных;
- правил рассмотрения запросов субъектов персональных данных или их представителей;
- правил осуществления внутреннего контроля;
- перечня информационных систем персональных данных;
- перечня должностей работников МБОУ ДОД ДЮСШ «Салют», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- порядок доступа работников в помещения, в которых ведется обработка персональных данных;
Получение письменного согласия субъектов персональных данных (физических лиц) на обработку персональных данных в случаях, когда этого требует законодательство
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
Письменное согласие получается при передаче персональных данных субъекта для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия утверждается в Положении о порядке обработки персональных данных.
Пересмотр договора с субъектами персональных данных в части обработки персональных данных
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
Например, в договор может быть включено согласие субъекта на обработку и передачу его персональных данных.
Установка сроков обработки персональных данных и процедуры их уничтожения по окончании срока обработки
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
Для каждой ИСПДн организации – оператором персональных данных должны быть установлены сроки обработки персональных данных, что должно быть документально подтверждено в паспорте ИСПДн. При пересмотре сроков – необходимые изменения должны быть внесены в паспорт ИСПДн
Ограничение доступа работников к персональным данным
Ответственный за защиту персональных данных в МБОУ ДОД ДЮСШ «Салют»
В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствие с требованиями закона необходимо разграничить доступ к персональным данным сотрудников организации согласно матрице доступа (сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД), которая утверждается распоряжением администрации района. При необходимости пересматривается (увольнение, прием новых сотрудников и прочее), подшивается в паспорт ИСПДн
Повышение квалификации сотрудников в области защиты персональных данных
Ответственный за организацию обработки персональных данных в МБОУ ДОД ДЮСШ «Салют»
Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за выполнение работ по информационной безопасности)
Инвентаризация информационных ресурсов с целью выявления присутствия и обработки в них персональных данных
Комиссия при МБОУ ДОД ДЮСШ «Салют»
Реестр видов организационно-распорядительных документов проектной и эксплуатационно-технической документации (Скачать ).
Краткое практическое руководство по вводу режима защиты Персональных Данных (ПДн) в организации (Скачать ).
Вы можете воспользоваться услугами наших специалистов при организации мероприятий по проведению самооценки эффективности мер по защите персональных данных, обратившись в наше Учреждение по эл. почте либо по телефонам указанным на сайте.
Вы можете приобрести программный комплекс. позволяющий автоматизировать и систематизировать мероприятия по разработке документального обеспечения, эксплуатации и контролю средств и систем защиты персональных данных.
Предлагаем Вам ознакомиться с основными вопросами, решение которых необходимо обеспечить при организации защиты персональных данных, в наших презентациях:
В вашем браузере отключен JavaScript
В вашем браузере отключен JavaScript
План мероприятий по обеспечению защиты персональных данных (ПДн) определяет необходимый перечень мероприятий для обеспечения защиты персональных данных.
План должен быть оформлен в соответствии с внутренним порядком документооборота организации и должен быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником, на основании отчета о результатах проведения внутренней проверки.
В плане должен быть уточнен список мероприятий по обеспечению безопасности ПДн с учетом уже имеющихся. Не обязательно внедрять все мероприятия (особенно в части технических мер).
План составляется на основании списка мер, методов и средств защиты, определенных в концепции информационной безопасности и политики информационной безопасности.
Выбор конкретных мероприятий осуществляется на основании анализа акта о результатах проверки и модели угроз безопасности.
В план включаются следующие категории мероприятий по защите персональных данных :
В План включается следующая информация о мероприятиях:
В случае уточнения мероприятий обеспечения безопасности, вследствие специфики обеспечения безопасности конкретной организации, соответствующие изменения должны быть внесены в план.
Дата введения плана должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
Техподдержка 8-800-333-14-84 Звонок по РФ бесплатный ICQ: 609-394-313 E-mail: support@freshdoc.ru Skype: freshdoc.support Отдел продаж +7 (495) 212-14-84 sales@freshdoc.ru Заказать звонок
Копирование и дальнейшее распространение любых текстов с сайта freshdoc.ru без разрешения авторов или администрации сайта, а также заимствование фрагментов текстов будет рассматриваться как нарушение авторских прав. Помните об ответственности, предусмотренной ст.146, п.3 УК РФ. Смотрите правила.
© 2016 DocLab
В этом документе должны быть четко прописаны все необходимые процедуры, с учетом тех, которые уже имеются. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз. План внутренних проверок составляется на все информационные системы персональных данных Оператора. Процедуры должны быть оформлены в полном соответствии со всеми документами организации. В План включается следующая информация о мероприятиях: Название. В случае уточнения мероприятий обеспечения безопасности, вследствие специфики обеспечения безопасности конкретной организации, соответствующие изменения должны быть внесены в план. Помните об ответственности, предусмотренной ст. В этом случае рекомендуем использовать любой другой браузер из предложенного выше списка. Выбор конкретных мероприятий осуществляется на основании анализа Акта о результатах проверки и Модели угроз безопасности.
План внутренних проверок состояния защиты персональных данных определяет необходимый перечень мероприятий для обеспечения защиты персональных данных. Кроме того, план процедур в обязательном порядке должен быть заверен уполномоченным лицом, которое отвечает за порядок безопасности в этой организации. Не обязательно внедрять все мероприятия особенно в части технических мер. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз. Непосредственная реализация перечня мер по защите персональной информации осуществляется после проведения внутренней проверки и составления доклада о ее результатах.
Дата введения плана должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки. План внутренних проверок составляется на все информационные системы персональных данных Оператора. Не обязательно внедрять все мероприятия особенно в части технических мер. План составляется на основании списка мер, методов и средств защиты, определенных в концепции информационной безопасности и политики информационной безопасности. План должен быть оформлен в соответствии с внутренним порядком документооборота организации и должен быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником, на основании отчета о результатах проведения внутренней проверки. Сущность плана мероприятий по охране персональных данных Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке. В этом случае рекомендуем использовать любой другой браузер из предложенного выше списка.
Наш сервис не работает в устаревшей версии MS Internet Explorer. В этом случае рекомендуем использовать любой другой браузер из предложенного выше списка. Выбор конкретных мероприятий осуществляется на основании анализа акта о результатах проверки и модели угроз безопасности. Сущность плана мероприятий по охране персональных данных Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке.
Данные процедуры защищают персональные данные от утечки информации. В случае уточнения мероприятий обеспечения безопасности, вследствие специфики обеспечения безопасности конкретной организации, соответствующие изменения должны быть внесены в план. Сущность плана мероприятий по охране персональных данных Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке.
Разместите анонс любого плэйкаста на главной странице сайта. Это могут быть Ваши собственные работы или понравившиеся плэйкасты других пользователей сайта. Каждый анонс добавляется в начало списка анонсов и проведет на главной странице сайта не менее 2 часов. Если все свободные места уже заняты, то Ваша заявка будет добавлена в очередь и появится на главной странице при первой же возможности. Сделайте подарок друзьям и близким, порадуйте себя, представьте интересные плэйкасты на всеобщее обозрение.
Добавляя анонс, вы автоматически соглашаетесь с Правилами размещения анонсов .
Просмотр плэйкаста.
Введите ссылку или номер.
Социальная сеть Cсылка HTML-код BB-код Отправить на Email
Для отправки плейкаста, выберите социальную сеть, в которой находится ваш друг:
За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.). В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.
У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.
А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.
Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.
Обязательное и добровольное предоставление данныхПредоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).
Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152
Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных. Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.
Является ли ваша компания оператором?Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.ru/p582/p585/ и указать цель обработки персональных данных.
Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.
Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).
Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству. При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.
Защита персональных данныхЛюбое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.
Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.
К мерам по внутренней защите персональных данных относятся следующие действия:
• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
• утверждение перечня документов, содержащих персональные данные;
• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
• утверждение порядка уничтожения информации;
• выявление и устранение нарушений требований по защите персональных данных;
• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
Среди мер по внешней защите персональных данных следует выделить такие:
• введение пропускного режима, порядка приема и учета посетителей;
• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
• список лиц, обрабатывающих персональные данные;
• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;
• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
• локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.
Иные организационные и технические меры, направленные на защиту персональных данныхСледует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:
• утверждение требований к помещению, где хранятся персональные данные.
Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами. В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;
• обеспечение программной защиты информационной системы организации. При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.). Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;
• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.
Передача персональных данных третьим лицамПоводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д. Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге. Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?
По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.
Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.
Какие контрольные органы вправе затребовать персональные данныеСуды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.
Так, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А40-76345/08-122-112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного приставаисполнителя по их обработке.
Трансграничные передачиЕсли ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.
Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108.
До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.
Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.
Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту. Но, например, США эту конвенцию не ратифицировали. Есть такая программа U.S. – EU Safe Harbor. Она упорядочивает отношения только между ЕС и США. Мы же в ЕС не входим. В США законодательства, регулирующего область персональных данных, как такового не существует. Есть только упоминание в законах штатах о так называемом privacy (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data:).
Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:
• общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и
обработки персональных данных за границей);
• правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
• описание объекта защиты;
• характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
• регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
• состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
• заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).
Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.
Сколько хранить?Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.
Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.
Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки. Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй – требования к их безопасности. Подробнее ознакомиться с текстом документа можно на сайте government.ru. По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.
Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.
Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.
Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.
Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.
