Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.
Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !
Какой комплект бумаг должен быть в организации?
Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:
- Перечень обрабатываемых ПД.
- Приказ о назначении комиссии по защите.
- План мероприятий по защите.
- Положение о комиссии по защите.
Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
- Согласие на ОПД.
- Перечень информационных систем.
- Обязательство о неразглашении.
- Соглашение о соблюдении безопасности.
- Перечень средств защиты информации.
- Техпаспорт информационных систем.
- Перечень помещений.
- Приказ о назначении ответственных лиц.
- Положение об ОПД.
- Положение по защите.
- Политика в отношении ОПД.
- Инструкция ответственного лица.
- Инструкция администратора безопасности.
- Регламент определения уровней защищенности.
- Техзадание на систему защиты.
- Модель угроз безопасности.
- Акт определения уровней защищенности.
- Протокол определения ущерба субъекту ПД.
- Уведомление об ОПД.
- Инструкция пользователя информационных систем.
- Регламент учета, хранения и уничтожения носителей.
- Регламент допуска сотрудников и других лиц.
- Регламент реагирования на запросы субъектов ПД.
- Регламент резервного копирования.
- Регламент проведения контрольных мероприятий.
- Регламент по трансграничной передаче данных.
И некоторые другие документы в зависимости от специфики деятельности оператора.
Образцы и бланки
Ниже приведены бланки и образцы документов по обработке персональных данных:
Что содержит пакет сопровождающей документации?
Для каждого из этих действий предусмотрены нормативные документы.
Сбор и обработка
Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
- Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
- Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
- Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
- Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
- Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
- Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.
Хранение
Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.
Защита
- Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
- О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
- Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
- Приказ о назначении лиц, ответственных за обработку и защиту.
- Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
- Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
- ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.
Передача
Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
- Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
- Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.
Разглашение
Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.
К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
+7 (499) 938-47-92 (Москва) +7 (812) 467-38-62 (Санкт-Петербург)
Как еще может называться данный документ:
- Политика обработки персональных данных
- Политика в отношении обработки данных
- Privacy policy
- Зачем нужен документ:
- Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
- Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.
- Как еще может называться данный документ:
- Согласие на обработку персональных данных
- Согласие пользователя
Зачем нужен документ:
Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.
Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.
Как еще может называться данный документ:
- Правила обработки персональных данных
- Зачем нужен документ:
- Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
- Зачем нужен документ:
Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.
- Зачем нужен документ:
- Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
- Зачем нужен документ:
- Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
- Как еще может называться данный документ:
- Правила рассмотрения запросов субъектов персональных данных или их представителей
- Зачем нужен документ:
- Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
- Зачем нужен документ:
- Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
- Как еще может называться данный документ:
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Зачем нужен документ:
Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:
Источник: https://sunapse.ru/dokumenty-po-obrabotke-personalnyh-dannyh-v/
Организация работы с персональными данными
С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
N | Документ | Сведения |
1 |
Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) |
Анкетные и биографические данные работника |
2 |
Копия документа, удостоверяющего личность работника |
Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
3 |
Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) |
Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность |
4 | Трудовая книжка |
Сведения о трудовом стаже, предыдущих местах работы |
5 |
Копии свидетельств о заключении брака, рождении детей |
Состав семьи, изменения в семейном положении |
6 | Документы воинского учета |
Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
7 |
Справка о доходах с предыдущего места работы |
Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
8 | Документы об образовании |
Подтверждают квалификацию работника, обосновывают занятие определенной должности |
9 |
Документы обязательного пенсионного страхования |
Ф.И.О., личные данные |
10 | Трудовой договор |
Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
11 | Приказы по личному составу |
Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Положение о работе с персональными данными
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.
Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.
Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.
Таблица 2. Структура Положения о персональных данных работников
N | Обязанность | Содержание раздела |
1 | Общие положения | Цель принятия Положения |
Вопросы, которые регулирует Положение | ||
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ |
||
2 |
Основные понятия. Состав персональных данных работников |
Основные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
Перечень документов организации, которые содержат персональные данные |
||
3 |
Получение персональных данных работников |
Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
4 |
Использование персональных данных |
Цели использования личной информации сотрудников |
5 |
Обработка персональных данных |
Условия, соблюдаемые при обработке персональных данных работника |
6 |
Передача персональных данных (доступ к персональным данным) |
Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) |
7 |
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных |
Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Фрагмент Положения о персональных данных работников
Введение Положения в действие
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Образец приказа
Если есть профсоюз
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.
Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.
Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.
После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
N п/п |
Наименование локального нормативного акта | Дата | Подпись |
1 |
Правила внутреннего трудового распорядка ООО «Черный лес» |
Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi
Документы по персональным данным для ФЗ № 152
В связи с выходом ФЗ № 152 «О персональных данных» операторам персональных данных, необходимо выполнить комплекс мероприятий по защите персональных данных, включая разработку пакета организационно-распорядительных документов.
Вы будете полностью соответствовать требованию ФЗ № 152
Мы предлагаем купить за 11900р 5900 рублей полный комплект типовых организационно-распорядительных документов по персональным данным с 30% скидкой, который поможет полностью документировать все процедуры по защите персональных данных и ваша компания будет соответствовать всем требованиям закона, либо или заказать разработку всей документации у нас.
Пакет типовых документов | 5900р |
Разработка документов для компании | от 20000р |
Это будет выгодно малым и средним компаниям, которые не в состоянии потратить большие деньги на разработку организационно-распорядительной документации по защите персональных данных и не могут себе позволить содержать в штате таких специалистов как специалист по информационной безопасности и технический писатель.
Памятка по ФЗ-152.
Пакет документов включает в себя (обновление 2019 года):
Положение по обработке персональных данных, включающее формысогласия субъекта на обработку персональных данных (ПД)уведомления оператора об обработке ПДпоручения третьей стороне на обработку ПДакта уничтожения персональных данныхуведомления о прекращении обработки и уничтожении ПДотзыва согласия субъекта на обработку персональных данныхзапроса субъекта на предоставление сведений об обработке ПДзапроса субъекта на уточнение ПДуведомления субъекта об обработке персональных данныхуведомления о внесении изменений в персональные данныеуведомления о прекращении обработки персональных данных оператором и др.
Приказ об организации работ по защите персональных данных, содержащий сведения о назначении (утверждении):
ответственного за обработку персональных данных в информационных системах персональных данныхответственного за обеспечение функционирования средств защиты информациисписка лиц, допущенных к работе со средствами защиты информациисписка лиц, допущенных к работе с персональными данными, обрабатываемыми в информационной системе, для выполнения служебных (трудовых) обязанностейсписка помещений, в которых разрешается обработка персональных данных списка мест хранения носителей ПДн
- Политика обеспечения безопасности персональных данных
- БОНУС: Книга «Федеральный закон «О персональных данных»: научно-практический комментарий».
Перечень персональных данных, обрабатываемых в ИСПДн Матрица доступа Перечень защищаемых информационных ресурсов Акт классификации ИСПДн Модель угроз Инструкция по учёту носителей персональных данных Инструкция администратору ИСПДн Инструкция о порядке допуска лиц к информационным ресурсам ИСПДн Инструкция по внесению изменений в ИСПДн Инструкция по организации антивирусной защиты в ИСПДн Инструкция по организации парольной защиты Инструкция по резервному копированию и восстановлению персональных данных Инструкция пользователю ИСПДн Инструкция по использованию ресурсов сети Интернет Порядок взаимодействия с субъектами персональных данных и контролирующими органами по вопросам обработки персональных данных План внутренних проверок состояния защиты персональных данных Порядок повышения осведомлённости работников Журнал регистрации входящих запросов и обращений субъектов Журнал инструктажа пользователей и обслуживающего персонала Журнал учета мероприятий по защите информации
Под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой.
Ответственность за отсутствие документов
1) Уголовная Статьи: 137 УК РФ.
Штраф до 200.000 рублей, либо лишение свободы на срок до 2х лет.
2) Административная Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
Суммарный штраф от 335000р.,возможно лишение свободы на срок до 2х лет.
- 3) Гражданская Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
- Возмещение морального вреда по решению суда.
Почему компании заказывают у нас?
Документы разработаны полностью в соответствии с требованиями нормативных документов в области защиты персональных данных Индивидуальная разработка, в отличии от сервисов и генераторов документов, исключит возможные проблемы и штрафы со стороны проверяющих структур Найдёте дешевле – продадим со скидкой 10% от этой цены Уже более 237 организаций из разных регионов России успешно воспользовались нашими документами по защите персональных данных Приобретая пакет документов по персональным данным Вы значительно сэкономите своё время и обеспечите всей необходимой документацией свою организацию и она будет соответствовать ФЗ № 152
Как купить комплект документов
Стоимость полного комплекта проектов организационно-распорядительных документов составляет 5900 рублей! Все, что Вам надо сделать — это адаптировать шаблоны документов по защите персональных данных к специфике Вашей организации.
- Можно облегчить задачу — заказать адаптацию документов у нас.
- Так же, мы можем провести обследование информационных систем на предмет законности обработки персональных данных и, при необходимости, выработать рекомендации по обеспечению безопасности обрабатываемых персональных данных
- Вы можете купить данный пакет типовых документов по защите персональных данных сделав запрос по почте или заполнить соответствующую форму.
Мы принимаем:
Сбербанк Яндекс.Деньги WebMoney Mastercard Visa
Источник: http://www.swrit.ru/dokumenty-po-personalnym-dannym.html
Документы по защите персональных данных в организации Образцы
С недавнего времени в силу вступили изменения к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована.
Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству.
Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).
Комплекс документов и мероприятий по организации защиты персональных данных очень большой, требует кропотливой работы и больших временных затрат.
В среднем найм организации, которая проведет полную подготовку Вашего предприятия к деятельности и возможным проверкам обойдется Вам в 200 — 250 тыс. рублей.
Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.
Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:
- собираете и храните данные паспортов Ваших клиентов,
- кредитных карт,
- телефонных номеров,
- электронных и почтовых адресов.
Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.
Комплект включает в себя:
- Соглашение об обеспечении безопасности персональных данных
- Согласие на обработку персональных данных (кандидаты на работу)
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Модель угроз 1С Бухгалтерия
- Модель угроз Компании
- Модель угроз программного обеспечения
- Модель угроз мобильного приложения
- Модель угроз сервиса рассылок
- Протокол определения ущерба 1С Бухгалтерия
- Протокол определения ущерба Компании
- Протокол определения ущерба программного обеспечения
- Протокол определения ущерба мобильного приложения
- Протокол определения ущерба сервиса рассылок
- Акт определения уровня защищенности персональных данных 1С Бухгалтерия
- Акт определения уровня защищенности персональных данных Компании
- Акт определения уровня защищенности персональных данных программного обеспечения
- Акт определения уровня защищенности персональных данных мобильного приложения
- Акт определения уровня защищенности персональных данных рассылок
- Техническое задание на систему защиты персональных данных 1С Бухгалтерия
- Техническое задание на систему защиты персональных данных Компании
- Техническое задание на систему защиты персональных данных программного обеспечения
- Техническое задание на систему защиты персональных данных мобильного приложения
- Техническое задание на систему защиты персональных данных рассылок
- Приказ о назначении комиссии
- Положение о комиссии
- План мероприятий
- Приказ об утверждении документов
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных
- Обязательство о неразглашении персональных данных
- Перечень обрабатываемых персональных данных
- Типовое Соглашение
- Типовая форма согласия на обработку персональных данных
- Перечень информационных систем персональных данных
- Перечень применяемых средств защиты информации
- Технический паспорт информационных систем персональных данных
- Перечень помещений для обработки персональных данных
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
- Инструкция администратора безопасности информационных систем персональных данных
- Инструкция лица, ответственного за организацию обработки персональных данных
- Положение об обработке персональных данных
- Политика оператора в отношении обработки персональных данных
- Положение об обеспечении безопасности персональных данных
- Регламент определения уровня защищенности персональных данных
- Уведомление в РосКомНадзор
- Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
- Инструкция пользователя информационных систем персональных данных
- Регламент учёта, хранения и уничтожения носителей персональных данных
- Регламент допуска сотрудников и третьих лиц к обработке персональных данных
- Регламент реагирования на запросы субъектов персональных данных
- Регламент резервного копирования персональных данных
- Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
- Регламент трансграничной передачи персональных данных
Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация).
Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме.
Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.
На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами.
И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись.
Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.
Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией.
Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных.
Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.
Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных.
Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности.
Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.
Штрафы за нарушения персональных данных 2018 года
Нарушения:
1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.
2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.
- Привлекут к ответственности по части 1, только когда действия не подпадают: • под часть 2 или
- • состав преступления
- Наказание:
Предупреждение или штраф:• гражданам — от 1 тыс. до 3 тыс. руб.;• должностному лицу и предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 30 тыс. до 50 тыс. руб.
- Судебная практика:
- Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32
- Что делать, чтобы избежать штрафа:
- Обрабатывать данные только:• в случаях, которые предусмотрел закон;
- • в целях, которые заявлялись
Нарушения:
1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.2.
Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных.
Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:• к документу, который определяет политику оператора в отношении обработки персональных данных, или
- • к сведениям о реализуемых требованиях к защите персональных данных
- Наказание:
- Штраф:
• гражданам — от 3 тыс. до 5 тыс. руб.;
• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;• организации — от 15 тыс. до 75 тыс. руб.
Предупреждение или штраф:• гражданам — от 700 руб. до 1,5 тыс. руб.;• должностному лицу — от 3 тыс. до 6 тыс. руб.;• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.
Судебная практика:
Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.
Что делать, чтобы избежать штрафа:
1. Получить согласие субъекта персональных данных на обработку его персональных данных.2. Включить в согласие необходимые сведения
- Опубликовать на сайте общедоступные ссылки:• на Политику организации в отношении обработки персональных данных и
- • иные сведения о требованиях к защите персональных данных.
- Нарушения:
- 1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:• к документу, который определяет политику оператора в отношении обработки персональных данных, или
- • к сведениям о реализуемых требованиях к защите персональных данных.
- Наказание:
Предупреждение или штраф:• гражданам — от 700 руб. до 1,5 тыс. руб.;• должностному лицу — от 3 тыс. до 6 тыс. руб.;• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.
- Судебная практика:
- Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016
- Что делать, чтобы избежать штрафа:
- Опубликовать на сайте общедоступные ссылки:• на Политику организации в отношении обработки персональных данных и
- • иные сведения о требованиях к защите персональных данных
Источник: https://www.advokatorium.com/index.php/ru/dokumenty_po_zascite_personalnyh_dannyh_v_organizatsii_obraztsy
Необходимый пакет документации по 152-ФЗ — ООО "ЦБИС"
Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.
Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.
Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!
Почему же так много документов, и что в них должно содержаться? Давайте разбираться.
Какие документы необходимо разработать по 152-ФЗ?
В самом ФЗ-152 по большей части требования сформулированы общими фразами, и тем, кто не сталкивался с этим прежде, трудно понять, что же прячется под теми или иными формулировками.
Ниже приведен составленный на основе практического опыта перечень документов, требуемых статьями 18.1 и 19 закона:
Внимание: указанных выше документов не достаточно, чтобы соответствовать 152-ФЗ полностью и пройти проверку Роскомнадзора, так как нужно учитывать иные пункты закона и подзаконных нормативно-правовых актов.
Камни преткновения
На практике операторы персональных данных сталкиваются со следующими основными проблемами при разработке пакета ОРД для соответствия требованиям закона:
Лайфхак по правильной разработке пакета ОРД
Чтобы сделать пакет документов действительно соответствующим требованию закона и пройти проверку Роскомнадзора, необходимо сделать следующее:
Подзаконные нормативно-правовые акты по персональным данным
Чтобы соответствовать 152-ФЗ, необходимо выполнить требования не только статей 18.1 и 19 ФЗ-152, но и следующих нормативно-правовых актов:
Пакет ОРД по 152-ФЗ: цена вопроса
Трудоемкость разработки пакета документации достаточно большая, ввиду большого объема самих документов, а также необходимости анализа целого ряда подзаконных нормативно-правовых актов и практики правоприменения (анализ судебных решений).
Поэтому стоимость типового комплекта документации для одной организации, как правило, составляет от 45 до 150 тысяч рублей.
Скачать коммерческое предложение на разработку документов в соответствии с 152-ФЗ
СКАЧАТЬ PDF
Что предлагаем мы?
Мы предлагаем вам типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.
Источник: https://xn--90ao1ar.xn--p1ai/podgotovka-po-152-fz/razrabotka-dokumentatsii/
Проверка Роскомнадзора 2015: какие документы проверяют
Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных.
Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.
Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.
Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.
В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.
В пакете с орд должны присутствовать:
- перечень ПДн (категория, субъекты, основания);
- список должностных лиц, допущенных до ПДн;
- регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
- положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
- положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
- приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
- приказ о назначении и должностная инструкция администратора ИСПДн;
- приказ об определении границ контролируемой зоны;
- перечень помещений, в которых ведется обработка ПДн;
- порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
- положение об обеспечении безопасности ПДн;
- регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
- регламент реагирования на инциденты безопасности ПДн;
- правила разграничения доступа;
- инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
- журнал ознакомления с документами;
- перечень ИСПДн, используемых в организации.
Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.
Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.
Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.
Помощь в прохождении проверки Роскомнадзора
Узнать больше
Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Источник: https://kontur.ru/articles/2545
Все документы, необходимые для защиты персональных данных, теперь можно готовить в «Контур.Бухгалтерии»
Как правило, работу с персональными данными в небольших организациях обычно возлагают на бухгалтера. Для выполнения этой обязанности бухгалтеру требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать их под свою специфику и заполнить.
В частности, каждый работодатель должен: определить политику в отношении обработки персональных данных; в некоторых случаях — получить согласие своих работников и клиентов на обработку их персональных данных и включить соответствующие положения в договоры с ними; документально определить, какие работники организации используют персональные данные в своей деятельности; назначить ответственного за организацию обработки персональных данных; отвечать по установленной законом форме на обращения субъектов персональных данных (подробнее см. «Защита персональных данных: что надо знать бухгалтеру»).
Кроме того, организация или ИП должны повесить в офисе и разместить на своем веб-сайте документ, определяющий их политику по обработке персональных данных. Наконец, каждый работодатель должен заполнить довольно сложное уведомление о том, что он работает с персональными данными и направить уведомление в Роскомнадзор.
Общее количество документов и действий по обработке данных исчисляется десятками. Это позволяет представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.
При этом важно понимать, что пренебречь подобными обязанностями нельзя, поскольку штрафы за нарушение правил обработки персональных данных исчисляются десятками тысяч рублей, а количество проверок, проводимых Роскомнадзором, год от года только растет (подробнее см.
«Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными»).
Как избавиться от проблемы
Веб-сервис «Контур.Бухгалтерия» позволяет бухгалтеру сэкономить время и сосредоточиться на своей основной работе. В сервисе бухгалтер пошагово выполняет указанные действия, отвечая на понятные вопросы. Например, вписывает Ф.И.О.
и должность человека, который будет отвечать за персональные данные, указывает бухгалтерские программы, которые используются для подготовки и отправки отчетности, называет документы, которые могут содержать персональные данные, и так далее.
По итогам выполнения этих действий в сервисе автоматически формируются все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными. Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ.
Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.
Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.
Что же касается политики по обработке персональных данных, то сервис позволяет не только подготовить ее, следуя готовому шаблону, но и в несколько кликов разместить документ на сайте. Для этого достаточно скопировать созданную сервисом ссылку и указать ее на сайте.
Сервис также позволяет быстро и без ошибок заполнить довольно сложное уведомление в Роскомнадзор о том, что организация или ИП обрабатывают персональные данные. С помощью «Контур.Бухгалтерии» это смогут сделать даже те, кто неважно знает закон № 152-ФЗ.
Готовое уведомление нужно распечатать и послать в Роскомнадзор по почте. А чтобы эта очень важная для успешного прохождения проверок информация дошла до ведомства быстрее, прямо из сервиса в Роскомнадзор можно отправить электронное уведомление.
После принятия электронного уведомления Роскомнадзор известит об этом отправителя по электронной почте.
Описанные выше возможности появились в «Контур.Бухгалтерии» благодаря интеграции с другим сервисом СКБ Контур — «Персональные данные». Поэтому те бухгалтеры, которым в данный момент не требуется полноценная программа для ведения учета, формирования и отправки отчетности, могут приобрести сервис «Персональные данные» отдельно.
Источник: https://www.Buhonline.ru/pub/tks/2015/9/10279