Документы по персональным данным
Содержание
- Документы по персональным данным в организации 2018
- Документы по защите персональных данных в организации Образцы:
- Законодательство о защите персональных данных в РФ
- Штрафы за нарушения персональных данных 2018 года
- Нормативная база
- Перечень основных локальных документов
- Алгоритм утверждения положения о защите персональных сведений
- Основные разделы Положения
- Инструкция для работников
- Справка об информационных системах персональных данных
- Из чего состоит пакет документов по защите персональных данных
Документы по персональным данным в организации 2018
Ужесточились требования и штрафы в связи с изменениями к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована, оформлена и приведена в соответствие.
Каждая организация или индивидуальный предприниматель будут проверяться на предмет соответствия их деятельности законодательству. В проверку войдут и подавшие информацию в Роскомнадзор и те, кто не подал еще. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).
Пакет документов и мероприятий по организации защиты персональных данных для любой организации очень большой, требует кропотливой работы и больших временных затрат. В среднем найм подрядчика по ведению этой деятельности, которая проведет полную подготовку Вашего предприятия к возможным проверкам обойдется Вам в 200 — 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.
Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:
- собираете и храните данные паспортов Ваших клиентов,
- кредитных карт,
- телефонных номеров,
- электронных и почтовых адресов.
Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.
Документы по защите персональных данных в организации Образцы:
- Соглашение об обеспечении безопасности персональных данных
- Согласие на обработку персональных данных (кандидаты на работу)
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Модель угроз 1С Бухгалтерия
- Модель угроз Компании
- Модель угроз программного обеспечения
- Модель угроз мобильного приложения
- Модель угроз сервиса рассылок
- Протокол определения ущерба 1С Бухгалтерия
- Протокол определения ущерба Компании
- Протокол определения ущерба программного обеспечения
- Протокол определения ущерба мобильного приложения
- Протокол определения ущерба сервиса рассылок
- Акт определения уровня защищенности персональных данных 1С Бухгалтерия
- Акт определения уровня защищенности персональных данных Компании
- Акт определения уровня защищенности персональных данных программного обеспечения
- Акт определения уровня защищенности персональных данных мобильного приложения
- Акт определения уровня защищенности персональных данных рассылок
- Техническое задание на систему защиты персональных данных 1С Бухгалтерия
- Техническое задание на систему защиты персональных данных Компании
- Техническое задание на систему защиты персональных данных программного обеспечения
- Техническое задание на систему защиты персональных данных мобильного приложения
- Техническое задание на систему защиты персональных данных рассылок
- Приказ о назначении комиссии
- Положение о комиссии
- План мероприятий
- Приказ об утверждении документов
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных
- Обязательство о неразглашении персональных данных
- Перечень обрабатываемых персональных данных
- Типовое Соглашение
- Типовая форма согласия на обработку персональных данных
- Перечень информационных систем персональных данных
- Перечень применяемых средств защиты информации
- Технический паспорт информационных систем персональных данных
- Перечень помещений для обработки персональных данных
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
- Инструкция администратора безопасности информационных систем персональных данных
- Инструкция лица, ответственного за организацию обработки персональных данных
- Положение об обработке персональных данных
- Политика оператора в отношении обработки персональных данных
- Положение об обеспечении безопасности персональных данных
- Регламент определения уровня защищенности персональных данных
- Уведомление в РосКомНадзор
- Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
- Инструкция пользователя информационных систем персональных данных
- Регламент учёта, хранения и уничтожения носителей персональных данных
- Регламент допуска сотрудников и третьих лиц к обработке персональных данных
- Регламент реагирования на запросы субъектов персональных данных
- Регламент резервного копирования персональных данных
- Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
- Регламент трансграничной передачи персональных данных
Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.
На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.
Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.
Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.
Законодательство о защите персональных данных в РФ
- Конституция РФ
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
- Трудовой кодекс РФ
- Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
- Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
- Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
- Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
- Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»
Штрафы за нарушения персональных данных 2018 года
Нарушения:
1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.
2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.
Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступления
Наказание:
Судебная практика:
Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32
Что делать, чтобы избежать штрафа:
Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись
Нарушения:
1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных
Наказание:
Штраф:
• гражданам — от 3 тыс. до 5 тыс. руб.;
• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;
• организации — от 15 тыс. до 75 тыс. руб.
Судебная практика:
Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.
Что делать, чтобы избежать штрафа:
1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения
Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.
Нарушения:
1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.
Наказание:
Иван Иванов
При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.
Нормативная база
Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.
Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.
Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:
Политика предприятия в области защиты персональных данных
До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.
Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.
Внутренние документы регулируют:
- общие принципы работы;
- порядок обработки на бумажных носителях;
- правила работы в информационных системах;
- особенности хранения;
- порядок передачи;
- инструкция для сотрудников;
- другие моменты.
Перечень основных локальных документов
Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:
- положение об обработке персональных данных (ст. 22);
- план мероприятий для проведения контроля (ст. 18.1);
- распорядительный акт о назначении ответственных (ст. 22.1);
- внесение дополнений в должностные инструкции (ст. 22.1);
- форма согласия на обработку персональных данных (ст. 6 и 9);
- форма запроса на доступ (ст. 14);
- формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).
Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.
Документы для скачивания (бесплатно)
- Инструкция по защите ПД (образец)
- Положение о защите персональных данных работников (образец)
- Приказ о назначении ответственных за обработку ПД (образец)
Алгоритм утверждения положения о защите персональных сведений
Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.
Процесс принятия и внедрения локального акта состоит из нескольких этапов:
- создание проекта;
- получение согласования от компетентных специалистов компании;
- введение в действие путем подписания приказа;
- доведение документа до сотрудников, которые знакомятся с ним под роспись.
В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.
Основные разделы Положения
Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:
- общие сведения;
- список информации и документов, содержащих данные о гражданах;
- обязательства нанимателя;
- процедура предоставления личных сведений;
- способы и виды работы с информацией о гражданах;
- оформление доступа к сведениям;
- защита конфиденциальной информации;
- права и обязанности субъекта;
- ответственность должностных лиц и компании.
Перечень информации, относящейся к персональной
Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:
- обезличенные – по ним нельзя определить конкретное лицо;
- общие – первичные и основные;
- специальные – здоровье, религия, раса, нация и т.д.;
- биометрические – физиология и биология.
Персональные данные – это любые сведения, относящиеся к физическому лицу.
В перечень входит:
- фамилия, имя, отчество;
- число и населенный пункт рождения;
- адрес проживания;
- информация о документе, удостоверяющем личность;
- СНИЛС;
- ИНН;
- сведения о дипломах;
- информация о полученных доходах и оплате труда;
- семейный статус;
- другое.
Методы сбора и защиты ведомостей
Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.
Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.
Согласно Закону № 152-ФЗ фирма обязана:
- определить, кто будет отвечать за организацию процесса обработки личных данных;
- ввести в работу внутренние документы;
- обеспечивать безопасное применение и использование;
- контролировать процесс работы с информацией;
- предотвращать вред, если будет нарушено законодательство;
- знакомить с правилами работы граждан, принимаемых по трудовому договору.
Закон от 27.07.2006 № 149-ФЗ называет методы защиты:
- реализация правил конфиденциальности;
- пресечение неразрешенного доступа;
- выявление фактов незаконного доступа и устранение вреда;
- организация защиты технических средств;
- запись резервных копий.
Назначение ответственных за хранение и обработку
Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:
- начальник кадрового отдела;
- инспекторы отдела по работе с персоналом;
- работники бухгалтерии;
- специалисты отдела информатизации.
Как обрабатываются данные?
Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:
- взятие у гражданина согласия;
- согласованность с поставленными задачами и целями.
В процессе обработки информации оператор выполняет следующие действия:
- собирает;
- уточняет;
- систематизирует;
- использует;
- удаляет;
- хранит.
Нарушения положения и ответственность должностных лиц
Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.
Административная ответственность (КоАП РФ):
- ст. 13.11 – нарушение порядка работы с информацией;
- ст. 13.12 – несоблюдение правил защиты;
- ст. 13.14 – разглашение сведений;
- ст. 19.5 – невыполнение предписания контролирующего органа.
В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.
Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.
Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.
Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.
Инструкция для работников
В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:
- безопасного использования различных программ и технических средств;
- применения логинов и паролей;
- предоставления доступа;
- антивирусной защиты;
- работы с носителями;
- другие моменты.
Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.
О том, как организовать защиту информации на предприятии, рассказано в видео ниже.
Шаблоны документов для защиты персональных данных
Правила обработки персональных данных
Приказ об организации работ по обеспечению безопасности персональных данных
Приказ об утверждении организационно-распорядительных документов по защите персональных данных
Инструкция Администратора безопасности информационных систем персональных данных
Инструкция о порядке работы с персональными данными
Инструкция ответственного за организацию обработки персональных данных
Инструкция пользователя информационной системы персональных данных
Положение об обработке персональных данных с использованием средств автоматизации
Форма обязательство служащего <Предприятия>, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
Обязательство о неразглашении информации ограниченного доступа
Согласие на обработку персональных данных
Акт уничтожения персональных данных субъекта(ов) на электронных носителях
Акт уничтожения бумажных носителей персональных данных субъекта(ов) персональных данных
Приказ об утверждении мест хранения материальных носителей персональных данных
Приказ об утверждении списка должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей
Политика обработки и защиты персональных данных государственного бюджетного учреждения здравоохранения
Акт определения уровня защищенности персональных данных информационной системы персональных данных «Наименование ИСПДн 1»
Технический паспорт информационной системы персональных данных «Наименование ИСПДн 1» государственного бюджетного учреждения здравоохранения
Информационное письмо уведомление об обработке (о намерении осуществлять обработку) персональных данных
Акт классификации информационной системы персональных данных «Наименование ИСПДн 2» ГБУЗ Учреждение
Справка об информационных системах персональных данных
Акт оценки возможного вреда субъектам, чьи персональные данные обрабатываются в информационной системе персональных данных
Схема потоков передачи персональных данных
Матрица доступа к защищаемым ресурсам автоматизированной системы обработки информации
Правила рассмотрения запросов субъектов
Инструкция по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним правовыми актами <Предприятия>.
Правила работы с обезличенными персональными данными
Перечень информационных систем персональных данных
Перечень персональных данных
Перечень должностей служащих <Предприятия>, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Перечень должностей служащих <Предприятия>, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Регламент резервного копирования и восстановления данных
Должностная инструкция ответственного за организацию обработки персональных данных
Согласие на обработку персональных данных
Порядок доступа служащих в помещения, в которых ведется обработка персональных данных
Описание технологического процесса обработки информации в информационных системах персональных данных
Практически каждая компания собирает, обрабатывает и хранит данные о сотрудниках, клиентах, поставщиках, партнерах и других физлицах. При работе с конфиденциальной информацией не обойтись без комплекта документов по защите персональных данных.
Из чего состоит пакет документов по защите персональных данных
Различают организационные, технологические и методические документы. Организационные фиксируют задачи, функции и ответственность служб, отвечающих за защиту персональных данных работников. К ним относятся положения, должностные инструкции, акты, приказы, уведомления, письма.
Технологические инструктивные документы по защите персональных данных в организации отражают систему защиты конфиденциальных сведений о работниках. К ним относят: перечни, инструкции по обработке и защите ПДн.
Методические документы детализируют процессы защиты персональных данных работников, устанавливают порядок работы с документами, содержащими конфиденциальную информацию о сотрудниках, в типовых ситуациях. К ним относят правила работы с персональными данными.
Комплект документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами субъекты персональных данных должны ознакомиться под роспись.
