Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению

Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля. Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих. Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей. Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них. Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы. Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия. Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Приведем один пример, как делать не нужно. Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны. Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя. Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных». Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]». Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда? Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства.

К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ. Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации». Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]». В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения. В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж. Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет». Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные. И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения. Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД… Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

Читайте также:  Сопроводительное письмо в пфр: образец, а также когда может потребоваться, как правильно составить текст для пенсионного фонда, нужно ли подписывать гл. бухгалтером?

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: https://habr.com/post/454690/

Политика обработки персональных данных в организации: образец документа

Главная — Организация бизнеса — Кадры — Политика обработки персональных данных в организации


Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлениюОдной из основных задач, которая встает перед работодателями в целом и сотрудниками кадрового отдела в частности, является формирование политики обработки персональных данных в организации. Правильное ее оформление необходимо для соблюдения требований законодательства, ведь их нарушение может повлечь за собой негативные последствия вплоть до дисциплинарной, административной и уголовной ответственности. Поможет составить правильную с документарной точки зрения политику обработки персональных данных в организации образец.

Политика обработки персональных данных в организации — что это, зачем нужна

Под политикой обработки персональных данных в организации чаще всего подразумевается непосредственно локальный нормативный акт, который регламентирует все вопросы, связанные с использованием личных сведений трудящихся, а также иных лиц, так или иначе имеющих взаимоотношение с рассматриваемым субъектом хозяйствования. Российское и международное законодательство защищают личные сведения человека и поэтому в отношении их обработки устанавливаются определенные требования и ограничения.

Персональными данными же в российском законодательстве именуется любая информация, которая может предоставлять сведения о конкретном физическом лице и сопоставлена с ним.

Так, таковой считаются фотографии человека, его паспортные данные, сведения о месте жительства, телефонные номера, биометрические данные и другие.

Каждая организация обязана соблюдать требования законодательства и обеспечивать проведение обработки исключительно в соответствии с ним и, при необходимости — только по предоставлению лицом, к которому относятся данные или его представителем информированного согласия.

В частности, во многих случаях политике обработки персональных данных, как документу, может быть тождественно положение о защите персональных данных, принимаемое в качестве локального нормативного акта.

Однако в некоторых случаях практикуется иной подход — под политикой подразумевается принятый на предприятии подход по работе с персональными данными клиентов и контрагентов, а положение касается исключительно сотрудников.

Но эти вопросы не регламентированы законодательством прямо и конкретное наименование локального нормативного акта, а также сфера действия на которую он распространяется, и большая часть его фактического содержания устанавливаются самим работодателем.

Лица, в отношении персональных данных которых принимаются означенные нормативные документы при вступлении во взаимоотношения с работодателем должны иметь возможность ознакомиться с текстом политики обработки личных сведений.

Кроме этого, под политикой обработки персональных данных может подразумеваться и более широкая сфера деятельности, чем просто конкретный документ.

Так, политикой в целом называется комплекс регламентированных мероприятий по проведению обработки персональных данных и отношение к нему работодателя и его сотрудников.

Кроме этого, политика может устанавливаться и в качестве общих ценностей организации, а не просто нормативного документа.

Законы и нормативы о политике обработки персональных данных

С точки зрения российского законодательства, вопросы, напрямую связанные с политикой обработки персональных данных, рассматриваются рядом юридически значимых документов федерального уровня. В частности, основными из них можно назвать следующие нормативно-правовые акты:

  • Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлениюСтатья 81 Трудового кодекса, в которой рассматривается возможность увольнения работника за нарушение политики обработки персональных данных клиентов и других сотрудников и их незаконную передачу либо разглашение.
  • Статья 86 Трудового кодекса регламентирует в целом порядок и принципы обеспечения безопасности личной информации сотрудников компании.
  • Статья 87 Трудового кодекса посвящена вопросам, связанным с хранением личных данных работников во время осуществления трудовых взаимоотношений.
  • Статья 88 Трудового кодекса регулирует вопросы, связанные с передачей сведений личного характера, которые относятся к личным данным трудящихся.
  • Статья 89 Трудового кодекса устанавливает общие права трудящихся в отношении их персональных сведений.
  • Статья 90 Трудового кодекса рассматривает вопросы несения ответственности за нарушение законодательства в вопросах обработки персональных данных.

ФЗ №152 от 27.07.2006 — это главенствующий документ федерального уровня, в котором закрепляются основные принципы государственного регулирования большинства вопросов, прямо или косвенно связанных с персональными данными и их фактической обработкой в рамках различных видов взаимоотношений.

Помимо тех нормативно-правовых документов и актов, которые приведены выше, в отношении отдельных видов деятельности, например — государственной службы, вопросы регулирования принципов работы с персональными данными могут также регламентироваться и иными законами, касающимися работы соответствующих ведомств.

Как составить политику обработки персональных данных в организации — образец

Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлениюЧтобы составить политику обработки персональных данных, работодателю необходимо решить несколько основных вопросов. В первую очередь, политика должны быть определена в целом, как комплекс идей и практических мероприятий по их реализации. Существуют различные подходы к политике работы с персональными данными, например, предусматривающие получение максимально полного предварительного согласия на широкую обработку личных сведений, или же напротив — предусматривающие исключительно целевую обработку отдельных видов данных с регулярным получением информированного согласия по каждому конкретному случаю обработки.

Вне зависимости от выбранного подхода, рекомендуется закрепить политику работы с личными сведениями в качестве полноценного внутреннего документа предприятия.

Данный документ должен рассматривать в своих положениях непосредственно все виды обработки информации, порядок и принципы ее передачи третьим лицам, мероприятия по ведению хранения и учета, а также защите сведений, принципы их удаления и уничтожения, а также критерии получения согласия лица, к которому относится рассматриваемая информация.

Зачастую политика обработки персональных данных включается в соответствующее положение. Положение об обработке персональных данных — скачать образец. Микропредприятия в отношении персональных данных сотрудников могут не принимать локальные нормативные акты, вместо этого указывая все принципы защиты личных сведений непосредственно в трудовом договоре.

Источник: https://delatdelo.com/organizaciya-biznesa/politika-obrabotki-personalnyh-dannyh-v-organizatsii.html

Политика обработки персональных данных для сайта — образец, генератор

Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению

Краткое оглавление:

 

Пора ставить галочки. Чем грозят нарушения закона о «О персональных данных» № 152-ФЗ

После 1 июля 2017 года вопрос обработки и хранения персональных данных стал особенно актуальным. Виной всему — новая таблица штрафов за нарушения в этой области.

Получить 75-300 тысяч рублей штрафа теперь стало не просто, а очень просто — достаточно, например, не взять согласие пользователя на обработку его персональных данных при отправке заявки с лендинга.

Так еще вчера вы должны были описать на своем сайте политику обработки персональных данных и просить пользователей соглашаться с ней при отправке любой формы с сайта.

Как правильно написать Политику обработки персональных данных

Если подходить к делу основательно, желательно прочитать упомянутый выше закон, ознакомиться с рекомендациями Роскомнадзора (тыц) и составить объемный документ, регламентирующий все нюансы работы с персональными данными пользователей именно на вашем сайте.

Некоторые не заморачиваются и берут чужие правила обработки персональных данных, вставляют туда имя своей организации и выкладывают на своем сайте. Это не совсем красиво и к тому же может привести к конфликту с тем, кто эту Политику писал. Как ни крути, но это, интеллектуальная собственность (причем, не ваша).

Мы решили подарить вам еще один, самый простой способ — ниже есть образец Политики обработки персональных данных.

Образец Политики обработки персональных данных для сайта

Представленный ниже образец Политики обработки персональных данных для сайта является универсальным и подходит для большинства интернет-ресурсов в рунете. Он составлен юристами, претензий со стороны проверяющих органов к нему быть не должно.

Однако, обращаем ваше внимание — не надо выкладывать его не глядя.

Хотя бы ради приличия внимательно прочитайте этот образец Политики — мало ли, вдруг он чем-то не подойдет в вашем конкретном случае — будете потом нас винить:)Желтым цветом для удобства в документе выделены те места, которые вам нужно заменить на свои данные.

Скачать образец политики обработки персональных данных для сайта (.docx, 19КБ)

Если захотите отблагодарить нас, поделитесь ссылкой на эту страницу с друзьями!

Сгенерировать политику обработки персональных данных для сайта

Вы можете с помощью представленного ниже конструктора сгенерировать свою собственную политику обработки персональных данных для вашего сайта. Просто введите нужные данные в форму и нажмите «Сгенерировать». Всё, ваша уникальная Политика готова!

Внимание! Эта форма не отправляет нам ваши персональные данные и не сохраняет их. Это генератор Политики — она составляет документ на основе введенной информации и предоставляет его вам. Подробности описаны в нашей Политике обработки персональных данных

Название вашей организации:Например, ООО «Название Организации», ИП Фамилия И.О., Администратор сайта Фамилия И.О.
Почтовый адрес вашей организации для связи:Например, 420111, г.Казань, ул.Пигузова, д.1, оф.100 (Не обзятально, но желательно)
Какие персональные данные вы будете собирать?Учтите — закон №152-ФЗ гласит, что нельзя указывать все данные без разбора, «с запасом». Можно указывать только те, которые вы реально собираете и которые вам действительно нужны в работе. ФИО Номер телефона Адрес эл.почты Почтовый адрес Паспортные данные Другие (указать через запятую):
Адрес сайта, где будут собираться персональные данные:Например, advegital.com
Цель сбора персональных данных:Закон №152-ФЗ требует четко указывать, что вы собираетесь делать с персональными данными. Например, «Уточнение деталей и отправка заказа клиенту», «Почтовая рассылка новостей компании», «Запись на прием к юристу» и т.д. Можно указать несколько целей через запятую.Если оставить поле пустым, вставится «уточнение деталей заказа».
Эл.почта для связи (для отзыва согласия на обработку ПД и т.д.):Обязательно укажите реальных ящик электронной почты. Это тоже требование Закона №152-ФЗ.
Выделить в документе ваши данные?Чтобы вам было удобнее проверять.

Источник: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html

Образец политики обработки персональных данных в 2019 году

Политика обработки и защиты персональных данных в отношении медицинских и прочих организаций, а также для сайтов: образец документа, инструкция по составлению

8   0   4521

 Государственные органы и работодатели обращают особое внимание на работу с персональными данными граждан и работников. Забота о безопасности информации и обеспечение конфиденциальности личных сведений – важный аспект для функционирования любого предприятия или учреждения.

ФЗ №152 устанавливает понятие персональных данных (ПД). Это любая информация, относящаяся к субъекту, а также позволяющая идентифицировать его личность прямо или косвенно. Законодательство не устанавливает конкретный перечень сведений, которые можно отнести к персональным данным.

Читайте также:  Дополнительные дни отпуска по уходу за ребенком-инвалидом: положены ли оплачиваемые выходные родителям (матери и отцу), имеющим детей с ограниченными возможностями

В сфере трудовых взаимоотношений к ПД можно отнести:

  • ФИО;
  • паспортные данные;
  • дату рождения;
  • место проживания и адрес фактической регистрации;
  • номер ИНН или СНИЛС;
  • сведения об образовании;
  • сведения о стаже работы и т.д.

Указанный перечень можно считать минимальным. Любые данные, сообщаемые работником работодателю, можно отнести к персональным, если они позволяют идентифицировать этого работника.

К ПД также можно отнести:

  • условия и нюансы трудового соглашения;
  • данные о воинском учете;
  • данные из медицинской карты;
  • социальные выплаты;
  • информация о наградах или дисциплинарных взысканиях.

Все это должно храниться в личном деле сотрудника и не может быть использовано против него. Информация также не может быть передана третьим лицам без согласия этого работника.

Любой работодатель является оператором по обработке ПД, то есть работодатель отвечает за сбор, хранение и накопление любых данных по отношению к сотруднику.

Обработка данных может проводиться руководителем или сотрудником отдела кадров вручную или с применением автоматизированных технологий. Конфиденциальность должна сохраняться как на время фактической работы физлица на предприятии, так и по завершению трудовой деятельности.

ФЗ №125 обязует предприятия хранить личные дела сотрудников в архиве в течение 75 лет. В течение этого периода никакая информация не может быть передана третьим лицам или использована в корыстных целях. Комплекс соответствующих мер должен быть направлен на конфиденциальность.

Как составить положение 

Необходимость создания конфиденциальности и порядок работы с персональными данными должен быть отражен в Политике обработки ПД.

На 2019 год положение о защите ПД имеет следующую структуру:

  1. Общие положения с указанием целей и задач документа, а также с перечнем основных нормативно правовых актов, на основании которых создана политика конфиденциальности.
  2. Основные понятия с расшифровкой терминов и значений, используемых в документе.
  3. Состав ПД, включая перечень личных сведений работников.
  4. Условия обработки ПД внутри конкретного предприятия, на основании законодательства РФ.
  5. Список документов, предъявляемых работником работодателю, в которых содержится личная информация.
  6. Порядок доступа к информации, включая условия как для внутреннего, так и для внешнего обращения к базе данных и личным делам.
  7. Защита ПД, включая поэтапный комплекс мер, направленных на формирование полной конфиденциальности и создания безопасности хранения информации.
  8. Права и обязанности сотрудника в отношении обработки ПД, а также условия для внесения изменений и необходимость уведомления об этих изменениях.
  9. Ответственность за нарушение конфиденциальности, включая разъяснения различных случаев и меры наказания на основании законодательства РФ.

Образец политики обработки персональных данных в 2019 году можно скачать по ссылке.

Введение политики обработки ПД в действие проходит в несколько этапов:

  1. Разработка политики и согласование содержания документа с руководителями подразделений и юристами.
  2. Утверждение политики как нормативного акта. Утвердить документ должен глава предприятия путем издания приказа. При внесении в акт изменений также необходим соответствующий приказ.
  3. Ознакомление сотрудников предприятия с приказом и политикой. Также с документами должны быть ознакомлены не только уже работающие сотрудники, но и вновь нанятый персонал.
  4. Подтвердить ознакомление с текстом документа личной подписью сотрудника в специальном журнале. Подтверждение не обязательно и производится на усмотрение работодателя.

На практике руководитель и любой сотрудник предприятия должен иметь возможность обратиться к тексту положения при необходимости. Для удобства использования многие крупные предприятия выкладывают нормативные документы в ресурс общего корпоративного доступа.

В случае, если в данный момент положение о конфиденциальности персональных данных отсутствует, необходимо незамедлительно его разработать и согласовать со всеми инстанциями. Грамотно составленный документ поможет избежать многих проблем и разногласий.

Какие могут быть нарушения

Варианты нарушений и возможные санкции рассмотрены в таблице:

Нарушение Санкции для физлиц Санкции для должностных лиц Санкции для юрлиц
Обработка ПД в «других» целях. Например, передача сторонним предприятиям или рекламным компаниям. Предупреждение или штраф в размере 1-3 тыс. рублей Предупреждение или штраф в размере 5-10 тыс. рублей Предупреждение или штраф в размере 30-50 тыс. рублей
Обработка ПД без согласия. Согласие должно быть предоставлено в письменном виде и заверено личной подписью физлица. Также обязательно присутствие даты заполнения документа и срока действия. Штраф в размере 3-5 тыс. рублей Штраф в размере 10-20 тыс. рублей Штраф в размере 15-75 тыс. рублей
Отсутствие доступа к положению о ПД сотрудникам предприятия в любое время при необходимости. Штраф в размере 700 – 1 500 рублей Штраф в размере 3-6 тыс. рублей Штраф в размере 5-10 тыс. рублей для ИП и 15-30 тыс. рублей для организаций
Сокрытие информации от владельца данных об изменениях в ПД или политике. Штраф в размере 4-6 тыс. рублей Штраф в размере 5-10 тыс. рублей Штраф в размере 20-40 тыс. рублей
Нарушение сохранности ПД, в следствие чего третьи лица могли получить информацию. Штраф в размере 700 – 2 000 рублей Штраф в размере 4-10 тыс. рублей Штраф в размере 10-20 тыс. рублей для ИП и 25-50 тыс. рублей для организаций

Таким образом, передача личной информации работодателю или в другие учреждения должна сопровождаться заполнением согласия на обработку личных данных.

При этом получатель согласия не вправе распространять персональные сведения после оказания услуги или после увольнения в течение нескольких десятков лет. Если же процедура обработки информации или конфиденциальность будет нарушена, потерпевший может обратиться в суд для разъяснения ситуации.

Видео по теме:

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Источник: https://juristampro.ru/obrazec-politiki-obrabotki-personalnyh-dannyh/

Политика в отношении обработки и защиты персональных данных

I.         ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика в отношении обработки и защиты персональных данных (далее – «Политика») является официальным документом ООО «Русский медицинский журнал» (далее – «Общество»), сайт которого расположен в информационно-телекоммуникационной сети Интернет по адресу: https://www.rmj.ru/ (далее – «Сайт»).

  1. Данная Политика принята оператором обработки персональных данных в целях соблюдения и исполнения законодательства Российской Федерации, обеспечения соблюдения и защиты прав лиц, персональные данные которых обрабатываются Обществом (далее – «Субъектов»), определения порядка обработки и использования персональных данных.
  2. Политика является открытым и общедоступным документом, определяющим основы деятельности Общества при обработке и защите персональных данных. Политика размещается на Сайте по адресу в информационно-телекоммуникационной сети Интернет https://www.rmj.ru/about/policy-personal-data/. Все изменения Политики размещаются по указанному адресу.
  3. В Политике используются понятия, толкование которых соответствует определениям, приведенным в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон»).

II.         ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных ограничивается достижением конкретных целей, перечисленных в п. 5. Политики.
  2. Целями обработки персональных данных Обществом является:
  • — предоставление доступа в персональный раздел Сайта (личный кабинет);
  • — информирование Субъекта о новостях в сфере здравоохранения, планируемых мероприятиях (семинары, симпозиумы, конференции);
  • — хранение в информационных системах Общества данных Субъектов для ведения учёта и статистики;
  • — использование данных Субъектов для обеспечения возможности быстрого поиска на Сайте;
  • — опубликование на Сайте в разделах «Наши авторы», «Блогеры РМЖ» и «Каталог статей», а также в печатных версиях изданий, учредителем которых является Общество, необходимой информации об авторах материалов для доведения до сведения читателей;
  • — иные цели, прямо обозначенные Субъектом при предоставлении персональных данных.
  • III.      ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  1. Обработка персональных данных осуществляется на основании и с соблюдением действующего законодательства Российской Федерации, в том числе: 
  1. 1) Конституции Российской Федерации;
  2. 2) Гражданского кодекса Российской Федерации;
  3. 3) Федерального закона «Об информации, информационных технологиях и о защите информации»;
  4. 4) Федерального закона «Об обществах с ограниченной ответственностью»;
  5. 5) Указа Президента РФ от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  6. 6) Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

7) Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

IV.       ОБЪЁМ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Общество обрабатывает персональные данные следующих категорий Субъектов:
  2. — физические лица, прошедшие процедуру регистрации на Сайте;

    — физические лица — авторы, направившие материалы для размещения на Сайте или в изданиях, учредителем которых является Общество, в соответствии с условиями  публикации материалов, размещенными на Сайте по адресу https://www.rmj.ru/about/terms_of_publication/.

    — иные лица, обратившиеся по формам обратной связи (почтовому адресу, электронному адресу и телефону), размещенным на Сайте.

  3. Общество обрабатывает персональные данные в следующем объёме:
  • — сведения о медицинской специализации, фамилия, имя и отчество, адрес электронной почты, город проживания;
  • — фамилии, имя и отчество авторов, их ученая степень, звание и основная должность;
  • — название учреждения и отдела (кафедры, лаборатории), в котором выполнялась работа, а также почтовый адрес учреждения; сведения об источниках финансирования подготовки материалов; сведения о возможном конфликте интересов, который может наступить в связи с размещением материала;
  • — иные данные, предоставленные Субъектом.
  • V.       ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  1. Общество осуществляет сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, блокирование, обезличивание, уничтожение персональных данных Субъектов.
  2. Общество вправе передавать персональные данные Субъектов организациям, которые осуществляют производство и выпуск изданий, учредителем которых является Общество, в том числе ООО «Медицина-информ», ООО «МедиаПро» для использования в целях размещения материалов Субъектов в данных изданиях.
  3. Субъект персональных данных подтверждает свое согласие на обработку в объеме и способами, указанными в Политике, путем:

— заполнения формы регистрации на Сайте;

— отправки по каналам электронной связи на адрес postmaster@doctormedia.ru и/или oganezova@doctormedia.ru авторского материала (научной статьи, обзора, поста для размещения в разделе «Блогеры РМЖ» и др.), соответствующего требованиям, размещенным в разделе «Условия публикации» по адресу: https://www.rmj.ru/about/terms_of_publication/.

— отправки персональных данных по официальным каналам почтовой или электронной связи, сообщения персональных данных по телефону. 

  1. Срок действия согласия Субъекта на обработку является неограниченным. 
  2. Общество вправе поручить обработку персональных данных третьему лицу с согласия Субъекта. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом и настоящей Политикой. В поручении третьему лицу определяется перечень действий с персональными данными, которые будут совершаться лицом, цели обработки, устанавливается обязанность такого лица обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите персональных данных.
  3. Общество гарантирует конфиденциальность получаемых персональных данных Субъектов.
  4. Общество не передает персональные данные третьим лицам, за исключением случаев, указанных в Политике.
  5. Общество обеспечивает обработку персональных данных с использованием баз данных, находящихся только на территории Российской Федерации.
Читайте также:  Премирование директора: основные требования, а также порядок оформления положения, приказа и других документов для выплаты поощрения руководителю

VI.        СРОКИ И УСЛОВИЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1.  При обработке персональных данных обеспечивается точность персональных данных, их достаточность, актуальность по отношению к заявленным целям обработки персональных данных.
  2. Субъект вправе требовать от Общества получения перечня обрабатываемых персональных данных, их уточнения, обновления, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав.
  3. Субъект вправе отозвать согласие на обработку персональных данных.
  4. Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи с Сайта, а также уничтожение записей, содержащих персональные данные Субъекта, в системах обработки персональных данных Общества, что может сделать невозможным пользование Сайтом.
  5. Субъект имеет право осуществлять все перечисленные в п. 18, п. 19 действия путем направления письменного уведомления на адрес: 105064, г. Москва, а/я 399 с соответствующей пометкой.
  6. Срок обработки и хранения персональных данных определяется указанными в настоящей Политике целями обработки. 
  7. Обработка персональных данных останавливается с прекращением деятельности Общества.

VII.      ОБЕСПЕЧЕНИЕ ЗАЩИТЫ И БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. При обработке персональных данных Общество принимает организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

VIII.     ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика подлежит изменению или дополнению в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных.
  2. Все отношения с участием Общества, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.

Редакция Условий действует с 15 октября 2019 г

Источник: https://www.rmj.ru/about/policy-personal-data/

Обработка персональных данных в медицинской организации

Мероприятия по обеспечению информационной безопасности при работе с персональными данными в медицинской организации

Утверждение графика мероприятий по организации обработки персональных данных

В первую очередь, медицинской организации целесообразно составить график мероприятий по организации обработки и защиты персональных данных, однако с учетом того, что Закон № 152-ФЗ в полную силу заработал еще в 2010 г.

1 и, соответственно, большая часть мероприятий и требований закона должна была быть выполнена к 1 января 2010 г.

Поэтому, скорее всего, потребуется внести некоторые изменения в положения и регламенты медицинской организации в связи с вышеуказанными изменениями законодательства.

Назначение ответственного за организацию обработки персональных данных

Работник учреждения здравоохранения назначается ответственным за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ приказом руководителя (см. образец). В его обязанности согласно закону теперь также входит:

  • осуществление контроля над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;
  • доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;
  • организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и осуществление контроля над их приемом и обработкой.

Ответственный сотрудник получает указания непосредственно от руководства медицинской организации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы в учреждении здравоохранения.

Обследование информационной системы медицинской организации

Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:

  • постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Источник: https://vladmedicina.ru/news/meditsinskoe/2013-05-06-obrabotka-personalnyh.htm

Закон о персональных данных. Советы юриста и шаблоны документов

Ниже инструкция по минимизации рисков возложения на организацию ответственности за невыполнение требований законодательства о персональных данных.

Один из наиболее странных штрафов грозит организации за невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Странным этот штраф мы считаем по той причине, что Федеральный закон «О персональных данных» не дает определения тому, что есть политика в отношении обработки ПД и каково должно быть ее содержание.

По смыслу закона это не тот документ, который содержит сведения о реализуемых оператором требованиях к защите ПД (такие сведения должны быть, исходя из части 2 статьи 18.1 ФЗ, опубликованы наряду с политикой). Не является такая политика и локальным актом (обычно именуется «Положение об обработке ПД» или как-то так).

Политика в отношении обработки ПД – это не то же, что согласие об обработке ПД. Ввиду неясности по сути сего документа организации компилируют в него текст Федерального закона и добавляют информацию, которая должна содержаться в согласии на обработку ПД.

Следующий ниже текст Политики составлен с целью формального соблюдения требований ФЗ и недопущения назначения штрафа. Разумеется, по мере нарастания административной и (неизбежно) судебной практики документ будет подлежать корректировке. Желтым маркером отмечены поля, которые требуют заполнения в отношении конкретной организации.

Политику следует разместить на видном месте, например, в футере сайта.

Скачать WORD-файл Политика организации в отношении обработки ПД (шаблон)

  1. Общие положения
    • Настоящий документ (далее – «Политика») определяет политику общества с ограниченной ответственностью «____________» (ИНН____________, ОГРН____________, адрес:____________, далее — «Оператор») в отношении обработки персональных данных и содержит, помимо прочего, сведения о реализуемых Оператором требованиях к защите персональных данных.
    • Политика утверждена и опубликована на сайте ____________ (далее – «Сайт») во исполнение Оператором предусмотренных частью 2 статьи 18.1 Федерального закона от 07.2006 N 152-ФЗ «О персональных данных» (далее – «Федеральный закон») обязанностей по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику Оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также по обеспечению возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    • Политика разработана с учетом требований законодательства Российской Федерации в области персональных данных. Примененные в Политике термины следует понимать в значении, определенном для них в Федеральном законе, если иное прямо не оговорено в Политике.
    • Политика доступна любому пользователю сети Интернет при переходе по ссылке ____________.
    • Оператор обрабатывает персональные данные пользователей с учетом следующих принципов:
  • — обработка персональных данных осуществляется Оператором на законной и справедливой основе;
  • — обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • — обработке Оператором подлежат только персональные данные, которые отвечают целям их обработки;
  • — содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • — при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

  1. Права субъекта персональных данных на доступ к его персональным данным
  • Субъект персональных данных имеет право на получение следующих сведений:
  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные законодательством Российской Федерации.
    • Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных законодательством Российской Федерации.
  1. Реализуемые оператором требования к защите персональных данных
    • Оператор использует систему защиты персональных данных, нейтрализующую актуальные угрозы, определенные в соответствии с Федеральным законом. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
    • Оператор обеспечивает надлежащий уровень защищенности персональных данных при их обработке.

Источник: https://fire.p5s.ru/support/info/politika-organizatsii-v-otnoshenii-obrabotki-personalnyh-dannyh/

Ссылка на основную публикацию
Adblock
detector