Документы по защите персональных данных

Самое главное по теме: "Документы по защите персональных данных" с профессиональной точки зрения. Мы собрали и подготовили ответы на многие сопутствующие вопросы. Если вы не нашли на них ответ, то можете обратиться к дежурному консультанту.

Онлайн-сервис Б-152 для разработки документов по №152-ФЗ

Сервис предоставляет возможность разработки всей необходимой внутренней документации, которая нужна для выполнения требований закона №152-ФЗ, с помощью простого и понятного веб-интерфейса.

Узнайте подробнее о нюансах №152-ФЗ
у экспертов по вашей отрасли

Документы, составленные экспертами в области ПДн

В сервисе собрана необходимая документация, которая нужна для выполнения требований закона №152-ФЗ и прохождения проверок Роскомнадзора без штрафов. База документов обновляется автоматически, и благодаря сервису у вас всегда будут последние версии документов, соответствующих изменениям в законодательстве.

Подсказки по заполнению документов

Сервис содержит подсказки, которые помогут правильно заполнить документы. Готовый документ сопровождается пояснением для чего нужен, что с ним дальше делать и когда актуализировать в следующий раз.

Уведомления об изменениях и простое обновление документов

При изменении законодательства онлайн-сервис Б-152 предупредит вас об изменении того или иного документа. Сервис обновит документы автоматически или задаст несколько новых вопросов, после чего вы сможете скачать уже обновленный документ.

Удобство работы с сервисом

Работа с сервисом Б-152 происходит через этот сайт. Сразу после авторизации на сайте можно начинать работу над подготовкой документов по защите персональных данных. Делать это можно везде, где есть доступ в интернет, главное знать логин и пароль для входа.

Не нужны специальные знания

Чтобы получить готовый документ вам необходимо только заполнить анкету. Вопросы в анкете просты, поэтому заполнять их может человек, не имеющий специальных знаний в области информационной безопасности. После ввода информации в анкете онлайн-сервис Б-152 ее анализирует и выдает готовый документ.

Поддержка экспертов в области защиты персональных данных

При возникновении вопросов вы получите квалифицированную поддержку наших специалистов. Они помогут заполнить документы и разъяснят требования законодательства в области защиты персональных данных. Вам не придется гуглить. Также эксперты проверяют документы, заполненные вами с помощью онлайн-сервиса Б-152*.

*Опция доступная пользователям в тарифе «Премиум».

i Полезная информация

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес места регистрации и проживания;
  • семейное, социальное, имущественное положение;
  • образование, профессия, доходы;
  • паспортные данные;
  • и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных) http://bit.ly/delo_provider.

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

В Российской Федерации существует три основных регулятора в данной сфере:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
  • Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

  • Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
  • Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.
  • Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

Это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Email , IP -адрес, идентификатор в социальной сети – все это может быть персональными данными.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, не зависимо от местонахождения такой компании.
Нормы GDPR коснутся всех тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины.

Читайте так же:  Газификация частного дома крым

GDPR также будут применяться ко всем организациям, вне зависимости от местонахождения, если они любым образом собирают, анализируют или контролируют поведение жителей Евросоюза.

Все российские компании, ориентированные на субъектов в Евросоюзе после 26 мая 2018 г. окажутся в сфере действия Регламента GDPR. В этой связи, согласно требованиям Регламента, такие компании должны назначить своего представителя в Евросоюзе.

Представитель – это физическое или юридическое лицо, созданное в Евросоюзе, которое представляет контролёра или обработчика персональных данных, в отношении их обязательств, предусмотренных Регламентом.

Представитель должен действовать от имени контролёра или обработчика, может взаимодействовать с любыми компетентными органами Евросоюза, государства-члена, включая надзорные органы.

Представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или обработчика, и осуществлять любые действия в целях обеспечения соблюдения Регламента GDPR.

Если у российских операторов персональных данных, к примеру, предоставляющие услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.

Представитель может не назначаться, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролёр является органом или учреждением государственной власти.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

Субъект персональных данных из стран-членов Евросоюза, в соответствии с Регламентом GDPR, вправе обратиться в соответствующий компетентный орган. Если решение компетентного органа не будет исполнимо на территории Российской Федерации, Европейская Комиссия, согласно Регламенту GDPR, может принять решение о недостаточности мер защиты персональных данных в отношении третьей страны. В этом случае трансграничная передача данных такой третьей стране может быть запрещена

Источник: http://b-152.ru/152fz-online-service

Перечень документов по защите персональных данных

Защита персональных данных
с помощью DLP-системы

П о российскому федеральному законодательству, проверять эффективность и функциональность мероприятий по защите персональных данных (ПД) должны:

  • Правительство.
  • ФСБ.
  • Федеральная служба по техническому и экспертному контролю, ФСТЭК.
  • Роскомнадзор.

Эти контролирующие органы всегда требуют предоставлять отчетную документацию о защите ПД. Любая компания-оператор ПД обязана иметь бумаги, представленные в таблице.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-dokumentov-po-zashchite-personalnyh-dannyh/

Документы по персональным данным для ФЗ № 152

В связи с выходом ФЗ № 152 «О персональных данных» операторам персональных данных, необходимо выполнить комплекс мероприятий по защите персональных данных, включая разработку пакета организационно-распорядительных документов.

Вы будете полностью соответствовать требованию ФЗ № 152

Мы предлагаем купить за 11900р 5900 рублей полный комплект типовых организационно-распорядительных документов по персональным данным с 30% скидкой, который поможет полностью документировать все процедуры по защите персональных данных и ваша компания будет соответствовать всем требованиям закона, либо или заказать разработку всей документации у нас.

Пакет типовых документов 5900р
Разработка документов для компании от 20000р

Это будет выгодно малым и средним компаниям, которые не в состоянии потратить большие деньги на разработку организационно-распорядительной документации по защите персональных данных и не могут себе позволить содержать в штате таких специалистов как специалист по информационной безопасности и технический писатель.

Пакет документов включает в себя (обновление 2019 года):

Положение по обработке персональных данных, включающее формы
согласия субъекта на обработку персональных данных (ПД)
уведомления оператора об обработке ПД
поручения третьей стороне на обработку ПД
акта уничтожения персональных данных
уведомления о прекращении обработки и уничтожении ПД
отзыва согласия субъекта на обработку персональных данных
запроса субъекта на предоставление сведений об обработке ПД
запроса субъекта на уточнение ПД
уведомления субъекта об обработке персональных данных
уведомления о внесении изменений в персональные данные
уведомления о прекращении обработки персональных данных оператором и др.

Приказ об организации работ по защите персональных данных, содержащий сведения о назначении (утверждении):
ответственного за обработку персональных данных в информационных системах персональных данных
ответственного за обеспечение функционирования средств защиты информации
списка лиц, допущенных к работе со средствами защиты информации
списка лиц, допущенных к работе с персональными данными, обрабатываемыми в информационной системе, для выполнения служебных (трудовых) обязанностей
списка помещений, в которых разрешается обработка персональных данных
списка мест хранения носителей ПДн

Политика обеспечения безопасности персональных данных
Перечень персональных данных, обрабатываемых в ИСПДн
Матрица доступа
Перечень защищаемых информационных ресурсов
Акт классификации ИСПДн
Модель угроз
Инструкция по учёту носителей персональных данных
Инструкция администратору ИСПДн
Инструкция о порядке допуска лиц к информационным ресурсам ИСПДн
Инструкция по внесению изменений в ИСПДн
Инструкция по организации антивирусной защиты в ИСПДн
Инструкция по организации парольной защиты
Инструкция по резервному копированию и восстановлению персональных данных
Инструкция пользователю ИСПДн
Инструкция по использованию ресурсов сети Интернет
Порядок взаимодействия с субъектами персональных данных и контролирующими органами по вопросам обработки персональных данных
План внутренних проверок состояния защиты персональных данных
Порядок повышения осведомлённости работников
Журнал регистрации входящих запросов и обращений субъектов
Журнал инструктажа пользователей и обслуживающего персонала
Журнал учета мероприятий по защите информации

Под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой.

Ответственность за отсутствие документов

1) Уголовная
Статьи: 137 УК РФ.
Штраф до 200.000 рублей, либо лишение свободы на срок до 2х лет.

2) Административная
Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
Суммарный штраф от 335000р.,возможно лишение свободы на срок до 2х лет.

Читайте так же:  Кассационная жалоба в арбитражный суд образец заполненный

3) Гражданская
Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
Возмещение морального вреда по решению суда.

Почему компании заказывают у нас?

Документы разработаны полностью в соответствии с требованиями нормативных документов в области защиты персональных данных
Индивидуальная разработка, в отличии от сервисов и генераторов документов, исключит возможные проблемы и штрафы со стороны проверяющих структур
Найдёте дешевле – продадим со скидкой 10% от этой цены
Уже более 237 организаций из разных регионов России успешно воспользовались нашими документами по защите персональных данных
Приобретая пакет документов по персональным данным Вы значительно сэкономите своё время и обеспечите всей необходимой документацией свою организацию и она будет соответствовать ФЗ № 152

Как купить комплект документов

Стоимость полного комплекта проектов организационно-распорядительных документов составляет 5900 рублей!
Все, что Вам надо сделать — это адаптировать шаблоны документов по защите персональных данных к специфике Вашей организации.

Можно облегчить задачу — заказать адаптацию документов у нас.

Так же, мы можем провести обследование информационных систем на предмет законности обработки персональных данных и, при необходимости, выработать рекомендации по обеспечению безопасности обрабатываемых персональных данных

Вы можете купить данный пакет типовых документов по защите персональных данных сделав запрос по почте или заполнить соответствующую форму.

Мы принимаем:

Сбербанк Яндекс.Деньги WebMoney Mastercard Visa

Источник: http://www.swrit.ru/dokumenty-po-personalnym-dannym.html

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.
Читайте так же:  Зарегистрировано ли право собственности на квартиру

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Прочее

В разделе Вы можете скачать документы по защите персональных данных.

Список некоторых из них:

1. Журналы учета:

1.1. мероприятий по контролю над соблюдением режима защиты ПДн,

Видео (кликните для воспроизведения).

1.2 органов с запросами ПДн,

1.3 обращений субъектов Пдн,

2.1 персональных данных, подлежащих защиты в ИСПДн,

2.2 перечень применяемы средств защиты.

3.1 о разграничении прав доступа к обрабатываемым ПДн

3.2 об обработке и защите ПДн

Вы можете указать свои настройки документа. При этом автоматически изменится текст документа. Остается лишь скачать файл в формате Word.

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/other/

Меры по обеспечению защиты персональных данных в организации

Защита персональных данных
с помощью DLP-системы

Л юбая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным.
На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

  • ФИО;
  • информация о дате рождения;
  • гражданство;
  • СНИЛС;
  • индивидуальный налоговый номер;
  • владение иностранными языками;
  • полученное образование;
  • приобретенные профессии, специальности;
  • сведения о составе семьи;
  • место проживания;
  • контакты;
  • отношение к военной обязанности;
  • трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

Внешняя защита ПД предполагает следующие действия:

  • пропускной режим;
  • соблюдение установленных правил приема посетителей и их учета;
  • использование приборов для охраны;
  • программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят:

  • обрабатываемые ПД;
  • технология работы с информацией средствами вычислительной техники;
  • техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
  • средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

  • определение актуальных угроз безопасности;
  • формирование моделей угроз;
  • разработка систем защиты ПДн (СЗПДн);
  • проверка работоспособности средств защиты информации (СЗИ);
  • заключение о пригодности к эксплуатации;
  • установка и ввод в эксплуатацию СЗИ;
  • обучение сотрудников работе с СЗИ;
  • контроль работы СЗИ;
  • оформление техдокументации;
  • определение круга сотрудников, допущенных к работе с ИСПД;
  • при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
  • принятие мер по ликвидации последствий этих нарушений;
  • обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
  • проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

  • управление доступом к ПД, регистрация и учет всех действий с этими данными;
  • обеспечение целостности персональной информации;
  • применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
  • создание межсетевого экрана;
  • анализ защищенности и принятие мер по ее усилению;
  • обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Читайте так же:  Судебный приказ приостанавливает срок исковой давности

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

  • положение о ПД;
  • список служащих, работающих с персональными данными;
  • приказ об утверждении работника, отвечающего за работу с персональными данными;
  • положение о мерах по ЗПД;
  • инструкцию о служебном расследовании фактов разглашения личных данных работников;
  • инструктаж по ЗПД;
  • журнал антивирусных проверок;
  • журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона.
Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/mery-po-obespecheniyu-zashchity-personalnyh-dannyh-v-organizacii/

Документы по персональным данным в организации

Ужесточились требования и штрафы в связи с изменениями к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована, оформлена и приведена в соответствие.

Каждая организация или индивидуальный предприниматель будут проверяться на предмет соответствия их деятельности законодательству. В проверку войдут и подавшие информацию в Роскомнадзор и те, кто не подал еще. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Пакет документов и мероприятий по организации защиты персональных данных для любой организации очень большой, требует кропотливой работы и больших временных затрат. В среднем найм подрядчика по ведению этой деятельности, которая проведет полную подготовку Вашего предприятия к возможным проверкам обойдется Вам в 200 — 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

  • собираете и храните данные паспортов Ваших клиентов,
  • кредитных карт,
  • телефонных номеров,
  • электронных и почтовых адресов.

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.

Документы по защите персональных данных в организации Образцы:

Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.

Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.

Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.

Законодательство о защите персональных данных в РФ

  • Конституция РФ
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
  • Трудовой кодекс РФ
  • Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
  • Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  • Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
  • Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
  • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»
Читайте так же:  Сколько стоит жалоба в верховный суд

Штрафы за нарушения персональных данных 2018 года

1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.

2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступления

Наказание:

Предупреждение или штраф:
• гражданам — от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 30 тыс. до 50 тыс. руб.

Судебная практика:

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32

Что делать, чтобы избежать штрафа:

Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись

Нарушения:

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных

Наказание:

• гражданам — от 3 тыс. до 5 тыс. руб.;

• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;
• организации — от 15 тыс. до 75 тыс. руб.

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Судебная практика:

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.

Что делать, чтобы избежать штрафа:

1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.

1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.

Наказание:

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Судебная практика:

Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016

Что делать, чтобы избежать штрафа:

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных

Видео (кликните для воспроизведения).

Источник: http://www.advokatorium.com/index.php/ru/dokumenty_po_personalnym_dannym_v_organizatsii

Документы по защите персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here