Урегулирование бюрократических моментов при организации обработки ПДн имеет большое значение и занимает достаточно много времени. Если ИП или предприятие любой направленности собирает, хранит, обновляет, изменяет, уничтожает личную информацию граждан, то нужно подготовить пакет документов, которые бы регулировали ключевые аспекты проведения данных операций. На законодательном уровне прописан ряд требований, которые нужно соблюдать, причем количество и разновидности необходимых положений, регламентов, приказов и т.д. могут варьироваться в зависимости от категории персональных данных, субъектов и других факторов.
Зачем формировать пакет документов?
Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:
Изменения в обработке персональных данных с 01 марта 2023 года
- упорядочивания текущих операций;
- назначения ответственных лиц;
- внутреннего отслеживания процессов;
- предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
- поддерживать имидж надежной организации в глазах клиентов и партнеров;
- избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.
Узнайте, как быстро и качественно разработать пакет документов для вашей организации, и получите 5 основных локальных актов бесплано:
Необходимые документы по персональным данным
Список деловых бумаг, которые потребуются оператору, обширный, при этом отсутствие даже одной может стать причиной серьезных проблем в будущем. В зависимости от решаемых задач документация может быть:
- организационной — позволяет определить, какие департаменты и конкретные лица несут ответственность за обеспечение защиты ПДн, а также какие точно задачи в рамках данной деятельности на них возлагаются;
- методической — позволяют более детально определить ключевые моменты работы с бумагами, в которых содержатся личные данные граждан (в том числе сотрудников);
- технологической — является отображением СЗПДн.
Все без исключения документы по защите персональных данных должны быть утверждены директором предприятия, причем везде нужна пометка о согласии на обработку ПДн заинтересованных лиц. В отдельных случаях часть файлов из пакета может передаваться владельцам обрабатываемых сведений для изучения, при этом они расписываются, что с ними ознакомились.
В перечень документов, без которых не обойтись организации, которая использует ПДн, входят:
1. Первичные организационно-распорядительные документы
1.1. Приказ об организации обработки персональных данных
Новые требования к обработке персональных данных
1.2. План работ по организации обработки персональных данных
1.3. Положение об обработке и защите персональных данных
1.4. Политика в отношении обработки персональных данных
2. Документы, определяющие режим обработки и защиты персональных данных
2.1. Приказ о персональных данных
2.2. Перечень персональных данных, обрабатываемых оператором
2.3. Перечень информационных систем персональных данных
2.4. Перечень должностных лиц, допущенных к обработке персональных данных
2.5. Система разграничения доступа к ИСПДн
2.6. План внутреннего контроля в области персональных данных
2.7. Приказ о выделении помещений, предназначенных для обработки ПДн
3. Инструкции по работе в информационных системах и журналы учета
3.1. Инструкция пользователя ИСПДн
3.2. Инструкция по осуществлению парольной защиты
3.3. Инструкция по осуществлению антивирусного контроля
3.4. Инструкция по учету машинных носителей персональных данных
3.5. Инструкция по резервированию и восстановлению ПДн
3.6. Журнал учета машинных носителей персональных данных
3.7. Журнал учета обращений субъектов персональных данных
3.8. Журнал внутреннего контроля соблюдения законодательства и локальных актов в области персональных данных
4. Проекты актов определения уровня защищенности персональных данных и оценки возможного вреда субъектам
4.1. Приказ о назначении комиссии по определению уровня защищенности персональных данных и оценке возможного вреда
4.2. Акт оценки вреда, который может быть причинен субъектам персональных данных
4.3. Акт определения уровня защищенности персональных данных
5. Частные модели угроз безопасности персональных данных
6. Формы согласий и уведомлений субъектов об обработке их персональных данных
6.1. Письменное согласие субъекта на обработку ПДн (специальная форма);
6.2. Согласие работника на передачу его персональных данных третьей стороне (форма);
6.3. Согласие субъекта на получение его персональных данных у третьей стороны (форма);
6.4. Уведомление субъекта о получении его персональных данных у третьей стороны (форма);
6.5. Согласие работника на обработку ПДн (при поручении обработки третьему лицу).
7. Рекомендации по изменению должностных инструкций, договоров с работниками, обязательств о неразглашении персональных данных, договоров с третьими лицами оп поручении обработки ПДн
7.1. Изменения в должностную инструкцию работника, ответственного за организацию обработки и защиты ПДн
7.2. Изменения в должностную инструкцию работника, допущенного к обработке ПДн
7.3. Обязательство работника о неразглашении персональных данных
7.4. Изменения трудового договора с работником, имеющим доступ к ПДн
7.5. Договор поручения обработки персональных данных третьему лицу.
8. Проект уведомления об обработке персональных данных, направляемого в Роскомнадзор.
9. Дополнительные формы документов:
9.1. Акт приема-передачи носителей персональных данных (форма);
9.2. Акт об уничтожении носителей персональных данных (форма);
9.3. Лист ознакомления с законодательством
Получите 5 основных локальных актов, подготовленных индивидуально для вашей организации, бесплано:
Порядок действий
Подготовка деловых бумаг происходит в определенной последовательности, поскольку одни документы составляются на основании других:
- На начальном этапе нужно разработать «Положение о ПДн», которое закрепляется соответствующим приказом и фактически является отображением политики конфиденциальности.
- Следующий шаг — подготовка и утверждение документа с детально расписанными видами обрабатываемых сведений.
- Очень важно правильно распределить ответственность за обеспечение и безопасность конфиденциальной информации.
- Далее следует позаботиться о составлении заявлений о согласии на обработку ПДн субъектами, журналах учета, выдачи и передачи сведений, а также контроле наличия документации, в которой присутствует приватная информация.
- Обязательный момент — определение мер обеспечения сохранности и условий размещения бумаг с ПДн (чаще всего такие документы хранятся в опечатанных или запирающихся сейфах).
- Нужно помнить о необходимости подготовки дополнительной документации, связанной с получением и использованием сведений через официальный сайт.
- Чтобы беспрепятственно осуществлять деятельность, любому оператору предстоит уведомить о начале обработки Роскомнадзор, подав соответствующее уведомление в электронном формате и отослав экземпляр в территориальное отделение.
Профессиональная разработка
Поскольку с ПДн сейчас работает подавляющее большинство организаций, найти типовые формы документов, регулирующие операции с персональными данными, несложно. Большинство шаблонов можно найти на официальных сайтах ФСТЭК, Роскомнадзора и ФСБ, но использовать их без адаптации нельзя.
Каждый бизнес имеет свою специфику, в частности, отличается количество и категория субъектов ПДн, виды совершаемых действий с личными сведениями, характеристики созданной информационной системы и т.д. Поэтому необходимо разрабатывать организационно-распорядительную документацию в индивидуальном порядке, причем разумнее всего будет довериться в данном вопросе специалистам нашего Центра, которые осведомлены о последних законодательных изменениях и готовы помочь привести фирму в полное соответствие с ФЗ-152. Сотрудничество с нами будет особенно выгодным для представителей малого и среднего бизнеса, которые не могут себе позволить тратить массу ресурсов на решение подобных вопросов.
Документы по персональным данным – разработка полного комплекта, внедрение организационных и технических мер защиты, обновление документов и техническая поддержка, оценка эффективности системы защиты, страхование рисков. 100%-ная защита персональных данных
Источник: 152online.ru
Организация защиты персональных данных работников
Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент. Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя. Какие существуют требования к обработке персональных данных работников организации?
Персональные данные: законодательное определение
- Конституция Российской Федерации;
- ст. 85 Трудового кодекса РФ;
- Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
- Указ Президента России от 06.03.1977 г. № 188.
Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.
Перечень данных, считающихся персональными:
- ФИО физического лица;
- дата рождения;
- место проживания и/или прописки;
- полученное человеком образование;
- состав семьи;
- социальный статус;
- сведения, касающиеся владения имуществом;
- ранее занимаемые им должности;
- уровень получаемых доходов и их источники;
- иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.
КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.
Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.
Насколько необходимо Положение о персональных данных
Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.
Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.
Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:
- положение о защите персональных данных наемных сотрудников;
- обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
- согласие самого работника на обработку персональных данных.
ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Источник получения персональных данных
Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.
Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.
К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».
Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
Как передаются персональные данные
Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.
Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.
Требования к передаче персональных данных
- Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
- Запрет на коммерческое использование полученных данных.
- При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
- То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
- Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.
Источник: assistentus.ru
Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец
Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.
Для чего необходимо положение о защите персональных данных
Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.
Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.
С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.
Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.
Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.
Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.
Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.
Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов.