Нашей организации пришло электронное письмо от Единого центра сертификации "XXX" о том, что мы не можем продолжать свою деятельность, так как необходимо с ИХ помощью разработать комплект документации по информационной безопасности и уведомить Роскомнадзор об обработке персональных данных, а также получить сертификат соответствия ГОСТ Р 52069.0-2013. В нашей организации хранятся только личные дела сотрудников, передача информации третьим лицам осуществляется только в целях осуществления образования сотрудников (в соответствии с ст. 86 п. 1 Трудового Кодекса) и для получения банковских карт. Является ли данное письмо правомерным и необходимо ли нам разрабатывать документацию, а также уведомлять Роскомнадзор? Если в соответствии с ФЗ-152 п.2 п.п.1, 8:2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством; 2) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В случае, если мы должны разрабатывать документацию по информационной безопасности, имеем ли мы право сами разработать ее без получения сертификата соответствия? Какой список обязательных документов по информационной безопасности?
Ответ
1. Да, организация обязана разрабатывать документацию по обработке персональных данных ( Закона № 152-ФЗ).
Организация также обязана направлять в Роскомнадзор уведомление об обработке персональных данных, за исключением случаев обработки персональных данных, указанных в Закона № 152-ФЗ ( Закона № 152-ФЗ).
Если отношения по обработке персональных данных выходят за рамки трудовых отношений (например, при передаче персональных данных работников сторонним организациям для ведения кадрового и бухгалтерского учета, для оформления и обслуживания зарплатных карт и т.п.) уведомлять Роскомнадзор необходимо.
2. Законодательством не установлен единый перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.
Организация разрабатывает такой перечень самостоятельно в соответствии с требованиями и Закона № -ФЗ.
Единственным условием является, что они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом № -ФЗ.
Как правило, организации разрабатывают следующие документы по работе с персональными данными (ПД):
Положения (о защите, обработке, хранении и использовании ПД),
Инструкции (для ответственных за обработку данных, по учету лиц допущенных к ПД),
Приказы (назначение ответственных за обработку ПД, установление списка лиц имеющих доступ к ПД, о местах хранения ПД и т.п.),
Согласия (на обработку ПД, на получение ПД третьих лиц),
Журналы (учета обращений субъектов ПД, учета передачи ПД и т.п.) и другие.
Требование об обязательном получении сертификата соответствия ГОСТ Р 52069.0-2013 законодательство не содержит.
Оценка соответствия осуществляется в обязательном порядке в отношении средств защиты информации ( Закона № 152-ФЗ).
Обоснование данной позиции приведено ниже в материалах «Системы Юрист» .
1.Статья из журнала «Кадровое дело», №8, август 2015: Персональные данные: что проверит Роскомнадзор
«Основные документы, которые проверит Роскомнадзор
Приходя в организацию, Роскомнадзор обязательно проверит ( Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее - Административный регламент):
Документы, в которых содержатся или могут содержаться персональные данные;
Информационные системы персональных данных;
Деятельность по обработке данных.
В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными ( Административного регламента).*
Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.
Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора ( Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 ( Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. ( Закона № 152-ФЗ).
Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора ( Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.
Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации ( ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись ( , ТК РФ).
Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных ( , Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.
Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения ( постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2)».
2. Статья из журнала «Справочник кадровика», №5, май 2015.: Работа с персональными данными. Готовимся к проверке
«Перечень мер по защите персональных данных работодатель определяет самостоятельно. Единственное требование: они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных.
Пожалуй, к числу обязательных можно отнести все те меры, которые перечислены в Закона о персональных данных. К ним относятся:
1. Назначение ответственного за организацию обработки персональных данных.
2. Разработка документа, определяющего политику организации в отношении обработки персональных данных, других локальных нормативных актов, предусматривающих в том числе меры по предотвращению и выявлению нарушений трудового законодательства в данной сфере и устранению последствий таких нарушений.
3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со Закона о персональных данных.
4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.
5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.
Документ, регламентирующий права и обязанности работников в области персональных данных ();
Локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (). *
Готовясь к проверке, необходимо не только проверить наличие указанных документов, но и проверить их содержание на предмет соответствия законодательству, а также ознакомить с ними всех работников, чьи права и обязанности они так или иначе затрагивают.
Что же касается работников, которые не имеют доступа к персональным данным других лиц для исполнения трудовой функции, закон требует регламентировать их права и обязанности по отношению к собственным персональным данным.
Чтобы выполнить это требование, достаточно будет отразить соответствующие права и обязанности в локальном нормативном акте об обработке персональных данных. Дополнительно их можно закрепить в правилах внутреннего трудового распорядка. За основу регламентации указанных прав и обязанностей следует взять ТК РФ, а также ст. - Закона о персональных данных.
Итак, Закон о персональных данных требует наличия:
1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;
2) локальных актов по вопросам обработки персональных данных;
3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений*.
СИТУАЦИЯ
Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?
Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору. Поэтому законодатель требует размещения такого документа на официальном сайте оператора.
Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.
Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки. Кроме того, в этом локальном акте можно указать права и обязанности работников в области персональных данных.
Что касается процедур, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, то названные процедуры могут быть прописаны либо в отдельном положении, либо в общем локальном нормативном акте об обработке персональных данных.
В частности, недопустимо проводить обработку специальных или биометрических персональных данных без согласия их субъекта, если такая возможность не предусмотрена законом. Запрещено устанавливать дисциплинарные взыскания за нарушения в области персональных данных, не предусмотренные законодательством, и т. д.
Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в Закона о персональных данных.
В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства ( Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:
За непредоставление информации (ст. , КоАП РФ);
Нарушения в области персональных данных (ст. , КоАП РФ)».
Образовательная организация должна обеспечивать защиту сведений, составляющих государственную или иную охраняемую законом тайну при реализации образовательных программ с применением электронного обучения либо (ст. 16 № 273-ФЗ). Здесь возникает вопрос использования таких сведений, как персональные данные в образовательном учреждении.
В статье 28 закона «Об образовании» не указана обязанность образовательной организации по обеспечению . Однако хотелось бы подчеркнуть, что существует отдельный отраслевой закон «О персональных данных» № 152-ФЗ, который определяет в качестве оператора любое юридическое лицо, которое осуществляет обработку персональных данных. Данное определение настолько широкое, что под него подпадает и деятельность образовательной организации.
Особенностью закона № 152-ФЗ является то, что он, возлагая ответственность по надлежащей обработке, при этом оставляет полную свободу при разработке локальной нормативной базы. Таким образом, образовательная организация свободна в перечне данных. Рассмотрим их примерный список.
Локальный акт образовательной организации «Положение об обработке персональных данных»
Основной локальный акт по защите персональных данных в образовательной организации называется «Положение об обработке персональных данных». Необходимо учитывать основную ошибку, которую часто допускают при разработке такого важного документа - не учитываются все субъекты, данные которых обрабатываются.
Согласно федеральному закону № 152, обрабатывается информация разных субъектов (работников, обучающихся, родителей). Можно издать целых два таких положения: в отношении работников и в отношении обучающихся/воспитанников. Но возможно обойтись одним документом, это решение сугубо индивидуальное.
При разработке этого локального акта в образовательной организации необходимо учитывать следующие основные вопросы:
Какие документы регламентируют работу с персональными данными? Необходимо перечислить все документы.
Какие персональные данные обрабатываются и в каких документах содержатся?
Каковы условия получения и (что немаловажно) хранения персональных данных? Существуют требования законодательства к условиям их хранения.
Какая ответственность установлена за нарушение законодательства? Укажите ответственность по защите персональных данных именно в вашей образовательной организации.
Как осуществляется доступ работников к персональным данным?
Как осуществляется доступ лиц, не являющихся работниками (это родители, медицинские работники, представители государственных и муниципальных органов, учредители)?
Как выше уже было сказано, локальный акт образовательной организации может быть единым, в котором урегулированы все вопросы. В развитие его могут быть приняты типовые формы обработка персональных данных в школе, такие как «Форма согласия», например.
Какие еще могут быть локальные акты образовательной организации по защите персональных данных?
- Отдельным локальным актом можно регламентировать порядок хранения персональных данных. «Инструкция по обеспечению безопасности (»это достаточно сложный с технической точки зрения документ, в разработке которого необходима помощь технических сотрудников.
- «Требования к педагогическим работникам, выполняющим функции классного руководителя».
- Если классный руководитель работает с электронными журналами, это должно обязательно находить отражение в его должностной инструкции, так как именно он является ответственным за внесение данных в электронный журнал и учащихся.
- «Инструкция по работе с персональными данными в автоматизированной информационной системе ”Электронный дневник”» может быть отдельной, если нужно подробно прописать вопросы, которые регулируют использование этих данных именно в системе электронного дневника: перечень действий, ответственность и пр.
- «Требования к помещениям по работе с персональными данными» и т.д.
Помимо локальных актов в образовательной организации могут существовать другие подписанные работниками документы по защите:
- утвержденные перечни лиц, имеющие доступ к тем или иным;
- обязательства о неразглашении;
- согласие на обработку данных.
Если говорить о документе «Согласие на обработку персональных данных», то оно может даваться по разным поводам, в зависимости от целей обработки таких сведений. Главное - это соблюсти определенную форму, обусловленную законодательством.
Также к документам, касающихся защиты персональных данных в образовательной организации, могут быть отнесены уведомления, например, о получении персональных данных от третьих лиц, запросы и заявления.
Необходимо учитывать, что каждая образовательная организация является уникальной, в том числе в части использования, обработки и защиты персональных данных в школе. Возможно, образовательная организация вообще не обрабатывает персональные данные автоматизированным способом, а только осуществляет обработку без использования средств автоматизации. Соответственно, перечень локальных актов будет совершенно другим.
Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.
Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.
Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.
В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:
1. Перечень сведений конфиденциального характера
Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .
2. Инструкция администратора информационной безопасности
Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .
3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).
4. Перечень персональных данных, подлежащих защите в информационных системах.
Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Приказ об утверждении мест хранения персональных данных.
Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .
6. Перечень помещений, в которых ведется обработка персональных данных.
7. Инструкция пользователей информационной системы персональных данных.
Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.
8. Приказ о назначении комиссии по уничтожению персональных данных.
Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .
9. Проект системы защиты информационной системы персональных данных. Пример .
10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .
11. План внутренних проверок режима защиты персональных данных.
План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .
12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .
13. Журнал учета носителей информации информационной системы персональных данных.
14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.
Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .
15. План проведения внутренних проверок состояния защиты ПД.
Образец документа можно найти и .
16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.
Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .
17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .
18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .
19. Акт классификации информационной системы персональных данных.
Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.
20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .
21. Инструкция по организации парольной защиты.
22. Журнал периодического тестирования средств защиты информации.
23. Форма акта уничтожения документов, содержащих персональные данные.
Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .
24. Журнал учета средств защиты информации(перечень технических средств). Пример .
25. Журнал проведения инструктажа по информационной безопасности (для организаций).
26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.
27. Приказ о перечне лиц, допущенных к обработке персональных данных.
28. Положение о защите персональных данных.
Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.
Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).
29. Соглашение о неразглашении персональных данных.
Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .
30. План мероприятий по обеспечению безопасности персональных данных.
В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .
31. Модель угроз безопасности в информационной системе персональных данных.
Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .
Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .
32. Форма ответа на запрос субъекта персональных данных. Пример .
Не забывайте заполнять и обновлять эти документы!
Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].
Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:
О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .
Что требуется для сбора информации?
Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:
Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.
Назначение ответственных лиц
Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.
Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.
Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.
В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.
Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.
Определение уровня защищенности
К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.
Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.
Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.
В акте указываются:
- персональные данные, обрабатываемые в ИСПДн;
- объем обрабатываемых ПД;
- уровень защищенности;
- тип актуальных угроз для ИСПДн.
Начало обработки
Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.
Для начала обработки данных требуется следующее документальное оформление:
- Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
- Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
- Образцы уведомления уполномоченного органа.
- Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
- Порядок отношений с распорядителем баз ПД.
- Порядок работы с запросами субъектов ПД.
- Договор с субъектами, обрабатывающими базы ПД.
Организационно-распорядительная документация
Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.
Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Защита персональный данных в организации.
Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.
Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.
Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.
ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Административная ответственность за разглашение персональных данных.
С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.
Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.
Организация защиты персональный данных в организации.
Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.
| 1. | Уведомление об обработке персональных данных.
Основание: ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
| 2. | Изменения в уведомление об обработке персональных данных.
Основание: Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. |
| 3. | Приказ Об организации обработки персональных данных. |
| 4. | Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.
Основание: ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. |
| 5. | Согласие субъекта персональных данных на обработку его персональных данных.
Основание: ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. |
| 6. | Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Основание: Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. |
| 7 | Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.
Основание: Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. |
| 8. | Документы, определяющие политику оператора в отношении обработки персональных данных.
Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. |
| 9. | Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
Основание: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
| 10. | Документы по организации приема и обработке обращений и запросов субъектов персональных данных.
Основание: Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. |
| 11. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Основание: п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. |
| 12. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.
Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. |
| 13. | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Основание: 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. |
| 14. | Документы о классификации информационных систем.
Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных. |
| 15. | Типовые формы документов.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия. |
| 16. | Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия. |
| 17. | Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. |
| 18. | Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.
Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. |
| 19. | Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом. |
| 20. | Документы, устанавливающие порядок обработки персональных данных работников.
Основание: Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников. |
| 21. | Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.
Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1). |
Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.
Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»
П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.
Примерный перечень документов по защите персональных данных.
| №
п / п |
Наименование документа | № документа, дата |
| 1. | . | |
| 2. | Акт определения уровня защищенности ИСПДн «________». | |
| 3. | Акт определения уровня защищенности ИСПДн «……». | |
| 4. | Акт о выделении к уничтожению документов, неподлежащих хранению. | |
| 5. | Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных. | |
| 6. | Акты уничтожения персональных данных. | |
| 7. | Описание информационной системы персональных данных «Сотрудники». | |
| 8. | Описание информационной системы персональных данных «Клиенты». | |
| 9. | Описание информационной системы персональных данных «…..». | |
| 10. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники». | |
| 11. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты». | |
| 12. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..». | |
| 13. | Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных. | |
| 14. | Инструкция пользователя информационной системы персональных данных. | |
| 15. | Инструкция об организации антивирусной защиты. | |
| 16. | Инструкция администратора безопасности информационной системы персональных данных. | |
| 17. | Инструкция администратора информационной системы персональных данных. | |
| 18. | Инструкция пользователя при обработке персональных данных без средств автоматизации. | |
| 19. | Инструкция по эксплуатации машинных носителей информации. | |
| 20. | План внутренних проверок режима защиты персональных данных. | |
| 21. | ||
| 22. | Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. | |
| 23. | Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….». | |
| 24. | Положение об обеспечении безопасности персональных данных. | |
| 25. | Положение об обработке персональных данных в ООО «….». | |
| 26. | Положение об ответственном за обработку персональных данных в ООО «….». | |
| 27. | Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». | |
| 28. | Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии. | |
| 29. | Приказ о начале обработке персональных данных. | |
| 30. | Приказ об ответственных и комиссии по информационной безопасности. | |
| 31. | Приказ о назначении сотрудников, имеющих доступ в персональным данным.
— список сотрудников. |
|
| 32. | Приказ утверждающий перечень мест хранения материальных носителей персональных данных.
— перечень мест хранения ИСПДн. |
|
| 33. | Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн. | |
| 34. | Приказ о контролируемой зоне:
— Схема границ. — Список лиц, имеющих право вскрывать помещение. — Список лиц, имеющих находиться в помещение. |
|
| 35. | . | |
| 36. | Перечень информационных систем персональных данных. | |
| 37. | Согласие сотрудника на обработку его персональных данных. | |
| 38. | Согласие клиента на обработку его персональных данных. | |
| 39. | Согласие …. на обработку его персональных данных. | |
| 40. | Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных. | |
| 41. | Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 42. | Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 43. | Журнал учета лицевых счетов пользователей средств криптографической защиты информации. | |
| 44. | Журнал учета и выдачи машинных носителей персональных данных. | |
| 45. | Журнал учета проверок, проводимых органами государственного контроля (надзора). | |
| 46. | Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным. | |
| 47. | Журнал регистрации входящих конфиденциальных документов. | |
| 48. | Журнал регистрации исходящих конфиденциальных документов | |
| 49. | Журнал регистрации и выдачи печатей опечатывающих устройств. | |
| 50. | Журнал инвентарного учета документов ограниченного распространения. | |
| 51. | Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов). | |
| 52. | Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер. | |
| 53. | Журнал учета хранилищ (сейфов). | |
| 54. | Журнал учета ключевой информации. | |
| 55. | Журнал учета движения материальных носителей персональных данных. | |
| 56. | Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные. | |
| 57. | Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации. |
В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.
Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.
Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.
5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.
Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).
