Защита персональных данных в организации пошаговая инструкция

Оформляем документы для защиты личных данных работников

С июля этого года Закон о персональных данны х Федеральный закон от 27.07.2006 «О персональных данных» (далее — Закон действует в новой редакци и ст. 3 Федерального закона от 25.07.2011 . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работник и п. 2 ст. 3 Закона . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работнико в п. 2 ч. 1 ст. 18.1 Закона ; п. 8 ст. 86, статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.

Внимание

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работнико в ч. 1 ст. 18 Закона ; п. 8 ст. 86, ст. 88 ТК РФ .

Вот что должно содержаться в Положении о ПД:

Рассказываем руководителю

За нарушение порядка обработки ПД предусмотрена административная ответственност ь ст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзор а Решение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушени й п. 82 Административного регламента проведения проверок. утв. Приказом Роскомнадзора от 01.12.2009 № 630; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805; ФАС ВСО от 12.05.2011 № А33-10809/2010, от 05.04.2011 № А19-25289/09, Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафо в ст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательств а ч. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютс я Постановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .

• права и обязанности работников в сфере обработки П Д п. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодекс а ст. 14 Закона ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработк е ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона ;
• порядок обработки ПД, в том числе хранения, использования и передач и п. 8 ст. 86, статьи 87, 88 ТК РФ . Здесь нужно указать:

— общие требования к обработке П Д статьи 5—7, ст. 9 Закона ; ст. 86, ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самог о п. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сбор а ч. 4 ст. 5 Закона ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работник а ст. 7 Закона ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки П Д п. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работника м ст. 88 ТК РФ ;

— состав и перечень ваших мер по обеспечению защиты П Д ст. 18.1, ст. 19 Закона . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

• ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственност ь ст. 90 ТК РФ; ч. 1 ст. 24 Закона .

Совет

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

Приказ о назначении ответственного лица

Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки П Д ч. 1 ст. 22.1 Закона .

К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ. Например, такой.

Источник: http://glavkniga.ru/elver/2011/24/348-oformljaem_dokumenti_zaschiti_lichnikh_dannikh_rabotnikov.html

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

1. Перечень обрабатываемых ПД.
2. Приказ о назначении комиссии по защите.
3. План мероприятий по защите.
4. Положение о комиссии по защите.
5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
6. Согласие на ОПД.
7. Перечень информационных систем.
8. Обязательство о неразглашении.
9. Соглашение о соблюдении безопасности.
10. Перечень средств защиты информации.
11. Техпаспорт информационных систем.
12. Перечень помещений.
13. Приказ о назначении ответственных лиц.
14. Положение об ОПД.
15. Положение по защите.
16. Политика в отношении ОПД.
17. Инструкция ответственного лица.
18. Инструкция администратора безопасности.
19. Регламент определения уровней защищенности.
20. Техзадание на систему защиты.
21. Модель угроз безопасности.
22. Акт определения уровней защищенности.
23. Протокол определения ущерба субъекту ПД.
24. Уведомление об ОПД.
25. Инструкция пользователя информационных систем.
26. Регламент учета, хранения и уничтожения носителей.
27. Регламент допуска сотрудников и других лиц.
28. Регламент реагирования на запросы субъектов ПД.
29. Регламент резервного копирования.
30. Регламент проведения контрольных мероприятий.
31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

• Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
• Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
• Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
• Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
• Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
• Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
• Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

• Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
• О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
• Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
• Приказ о назначении лиц, ответственных за обработку и защиту.
• Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
• Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
• ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

• Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
• Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
• Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Защита персональных данных

Персональные данные работника – это сведения, которые запрашивает работодатель при оформлении трудовых отношений с физлицом. Согласно статье 86 ТК РФ, при обработке информации о сотруднике работодатель обязан соблюдать ряд общих требований и руководствоваться Конституцией РФ, Трудовым кодексом и другими федеральными законами.

Защита персональных данных в организациях

При официальном трудоустройстве гражданин предоставляет работодателю сведения о себе: реквизиты паспорта, информацию об образовании, семейном положении, трудовом опыте. Все это – конфиденциальная информация. Следовательно, защита персональных данных – прямая обязанность каждого работодателя.

Работодатель не имеет права запрашивать у работника данные о его политических, религиозных и иных убеждениях, членстве в общественных объединениях. Обработка и защита персональных данных реализуются по правилам, установленным главой 14 ТК РФ.

Как осуществляется защита персональных данных в организации: пошаговая инструкция

Кроме сведений, полученных при поступлении на работу, во время трудового процесса у работодателя накапливается информация о сотруднике, которая требует обработки и охраны. Для того чтобы организовать защиту персональных данных работника, нужно в первую очередь составить ряд документов. Работодатель обязан ознакомить сотрудников с Положением по работе с персональными данными, а также получить их письменное согласие на сбор и хранение информации.

Для защиты персональных данных работника могут понадобиться такие документы:

• акты уничтожения носителей информации, результатов проверки;
• инструкции;
• письма;
• приказы (о проверках, о назначении ответственных, об организации обработки информации);
• журналы учета;
• уведомления.

Все перечисленные документы можно подготовить с помощью нашего онлайн-сервиса, заполнив соответствующие шаблоны.

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/

Защита персональных данных в организации — пошаговая инструкция

Должностные инструкции по защите персональных данных можно сгруппировать следующем образом:

1. Для администратора ИСПДн и администратора по информационной безопасности.
2. Для пользователя (при возникновении внештатной ситуации или при работе с ИСПДн).

Инструкции по защите персональных данных могут регламентировать порядок пользования информационной системой, организацию антивирусной защиты, обработку конфиденциальной информации без средств автоматизации, план проверок режима защиты персональных данных.

Предлагаем вам составить и скачать инструкцию для администраторов ИСПДн и других сотрудников, использующих в работе персональные данные.

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/

Как организовать работу с персональными данными сотрудников

Упомянутые в статье разъяснения Роскомнадзора можно найти:

Ознакомьте работника с Положением о работе с персональными данными

Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организаци и ст. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ) . В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании. Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственност и ст. 5.27 КоАП РФ .

Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.

Общие положения. В этом разделе нужно прописать цели принятия Положения, например: «Определить порядок обращения с персональными данными работников». Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст. 3 Закона № 152-ФЗ.

Основные понятия. Все понятия можно взять также из ст. 3 Закона № 152-ФЗ.

Состав персональных данных. В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это:

• документы, необходимые для заключения трудового договора;

• оригиналы и копии приказов и распоряжений;

• личные дела и трудовые книжки;

• налоговая, статистическая и иная отчетность.

Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует

Обработка персональных данных. Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использовани е п. 3 ст. 3 Закона № 152-ФЗ , удаление и уничтожение. В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ.

Передача персональных данных. В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.

Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным. Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственност ь ст. 90 ТК РФ .

• или в трудовом договоре, если в нем есть ссылка на Положение;

• или в листе ознакомления с Положением;

• или в журнале ознакомления с локальными актами.

Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных. О том, как составить Политику обработки персональных данных, мы рассказали в статье «Как составить Политику обработки персональных данных» (см. , 2018, № 22).

Получите согласие работника на обработку персональных данных

Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они получен ы п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ ; абз. 1 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения) :

• из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании);

• по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровь я ст. 69 ТК РФ; п. 3 Разъяснений ;

• из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц п. 10 ч. 1 ст. 6 Закона № 152-ФЗ ; абз. 12 п. 5 Разъяснений ;

• при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2 утв. Постановлением Госкомстата от 05.01.2004 № 1 , либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выпла т) п. 2 Разъяснений .

За обработку персональных данных работника без его письменного согласия организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а ее руководителя — от 10 000 до 20 000 руб. ч. 2 ст. 13.11 КоАП РФ

Но потребуется письменное согласие:

• для получения ПД работника у третьей сторон ы п. 3 ст. 86 ТК РФ ;

• для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступлени й абз. 2 ст. 88 ТК РФ; п. 4 ч. 1 ст. 13 Закона от 07.02.2011 № 3-ФЗ ; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ ; ст. 9 Закона от 01.04.96 № 27-ФЗ ;

• для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизн и п. 4 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ .

А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данны х ч. 3 ст. 9 Закона № 152-ФЗ .

Как оформить согласие на обработку персональных данных

Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным». Согласие, содержащее, например, формулировку «Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора», таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.

Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными данным и ч. 1 ст. 9 Закона № 152-ФЗ .

Согласие должно содержать обязательные сведения. Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб. ч. 2 ст. 13.11 КоАП РФ

В согласии на обработку ПД обязательно укажит е ч. 4 ст. 9 Закона № 152-ФЗ :

• ф. и. о., адрес работника;

• реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

• наименование и адрес вашей компании;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дает согласие работник;

• перечень действий с персональными данными, на совершение которых работник дает согласие;

• способы обработки персональных данных, которые вы используете.

Согласие на обработку персональных данных

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на обработку в документальной и (или) электронной форме моих персональных данных для оформления информационного стенда.

Перечень моих персональных данных, на обработку которых я даю согласие:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».

Настоящее согласие действует в течение всего срока трудового договора. В согласии на обработку персональных данных должен быть указан срок, в течение которого оно действуе т п. 8 ч. 4 ст. 9 Закона № 152-ФЗ . Срок действия согласия можно обозначить цифрой, например 5 лет. Допустимо также указать, что согласие действует:
• до расторжения трудового договора;
• до момента, когда будет достигнута цель обработки;
• до момента, пока сотрудник не отзовет согласие

Настоящее согласие может быть отозвано мной в письменной форме. Согласие также должно содержать условие о том, каким способом работник вправе его отозват ь п. 8 ч. 4 ст. 9 Закона № 152-ФЗ

05.09.2018

Согласие на обработку ПД работник должен подписать личн о ч. 4 ст. 9 Закона № 152-ФЗ

Как передать ПД работника третьему лицу

Работодатель не вправе передавать третьим лицам ПД работника без его согласи я ч. 1 ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ . Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случая х ст. 88 ТК РФ . Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страховани я пп. 2— 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ ; абз. 6— 10 п. 5 Разъяснений; ст. 9 Закона от 01.04.96 № 27-ФЗ ; ст. 4 Закона от 28.03.98 № 53-ФЗ . Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.

Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения. Это возможно, когд а абз. 11 п. 4 Разъяснений :

• или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных;

• или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком;

• или форма и система оплаты труда прописаны в коллективном договоре.

Если организация передает третьему лицу персональные данные работника не в рамках трудовых отношений (например, аудиторам для проверки), она обязана уведомить об этом Роскомнадзор по определенной форм е ч. 1, 2 ст. 22 Закона № 152-ФЗ ; приложение № 1 к Приказу Роскомнадзора от 30.05.2017 № 94 . Уведомление подаетс я ч. 3 ст. 22 Закона № 152-ФЗ :

• или в бумажном виде в адрес территориального органа Роскомнадзора;

Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью. Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюден о ч. 1 ст. 88 ТК РФ .

Согласие на передачу персональных данных

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на передачу в ПАО «Банк»: фамилии, имени, отчества; должности; размера заработной платы.

Цель передачи и обработки: получение кредита.

Срок действия согласия: две недели, следующие за днем получения кредита.

Источник: http://glavkniga.ru/elver/2018/23/3891-kak_organizovati_rabotu_personalinimi_dannimi_sotrudnikov.html

Защита персональных данных в организации пошаговая инструкция

Если сайтом владеет юридическое лицо, закон предъявляет определенные требования к уровню защиты ПДн: вам нужно определить категорию, назначить ответственных, получить разрешения у контролирующих органов и зарегистрироваться в качестве оператора персональных данных.

Также вам необходимо будет обеспечить информационную защиту персональных данных при помощи фаерволов и антивирусных программ. Также вы можете обратиться в специальные дата-центры или заказать защищенное хранение данных в облаке или у специализированных провайдеров.

Набор конкретных мер зависит от необходимого уровня защищенности. Если вы не передаете результаты медицинских анализов и биометрические данные, то скорее всего ваш уровень защищенности — УЗ-3 или ниже. Таблица требований по обеспечению мер безопасности в соответствии с уровнем защищенности приведены в Приказе ФСТЭК России № 21 от 18.02.2013 г.

Дополнительные материалы по теме

• Пояснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
• Ответы на вопросы об обработке персональных данных от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
• Бланк Согласия на обработку персональных данных.
• Бланки уведомлений, электронные формы заявлений и примеры заполненных образцов от Роскомнадзора.
• Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Нарушения и штрафы

Ответственность за нарушения закона несет оператор персональных данных, определение которого дано в 152-ФЗ:

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;»

Санкции за нарушение закона о персональных данных указаны в статье 13.11 КоАП РФ

Статья 13.11 КоАП ч. 1

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

Статья 13.11 КоАП ч. 2

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.

Статья 13.11 КоАП ч. 3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Статья 13.11 КоАП ч. 4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Статья 13.11 КоАП ч. 5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Статья 13.11 КоАП ч. 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Статья 13.11 КоАП ч. 7

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

Сравнение с GDPR

GDPR (General Data Protection Regulation, Генеральный регламент о защите персональных данных) — постановление Европейского союза, которое усиливает и унифицирует защиту персональных данных всех лиц в Европейском союзе. Вступил в силу 25 мая 2018 года.

Цель GDPR — дать гражданам контроль над их персональными данными и упростить нормативную базу для международных экономических отношений. Постановление также устанавливает ограничительные и контролирующие меры на трансграничную передачу данных.

GDPR актуален для тех, кто работает на территории Европейского союза или вступает в отношения с гражданами ЕС. То есть, если ваш интернет-магазин продает что-либо гражданам ЕС, то вы также подпадаете под действие данного нормативного акта. Кроме того, GDPR регулирует мониторинг онлайн-активности граждан ЕС, то есть, если вы собираете cookies пользователей из ЕС, вы попадаете под действие GDPR.

Основное отличие 152-ФЗ — в том, что GDPR распространяется не на все российские компании, а лишь на те, которые работают с гражданами ЕС. Второй важный момент: GDPR разрешает перенос персональных данных между компаниями по запросу пользователя. Третье отличие: в случае утечки данных оператор должен уведомить контролирующие органы в течение 72 часов, а затем и субъектов персональных данных, чьи интересы могут быть затронуты.

Соблюдение правил работы с персональными данными — насущная необходимость для каждого владельца сайтов. Причем в первую очередь нужно соблюсти требования Роскомнадзора, поскольку он проводит тысячи проверок в год. Как минимум владельцы сайта должны размещать уведомление о сборе данных, получать на него согласие и давать пользователям всю необходимую информацию в соответствующем документе.

Если владелец сайта — юридическое лицо, ситуация осложняется, поскольку необходимо подготовить пакет документов и соблюсти ряд процедур. Документы можно подготовить самостоятельно, с помощью юриста, системного интегратора или автоматизированных сервисов. Это может потребовать дополнительных расходов, однако несоблюдение правил обойдется значительно дороже. При этом выполнить требования закона нужно будет всего один раз.

Источник: http://www.uplab.ru/blog/processing-and-protection-of-personal-data/

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
5. Разработка технического задания на создание системы защиты персональных данных.
6. Приобретение средств защиты информации.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

• внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
• внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723