Содержание
Организация защиты персональных данных работников
Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.
Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.
Персональные данные: законодательное определение
Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».
Порядок действий с этой информацией определен в таких законодательных документах, как:
- Конституция Российской Федерации;
- ст. 85 Трудового кодекса РФ;
- Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
- Указ Президента России от 06.03.1977 г. № 188.
Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.
Перечень данных, считающихся персональными:
- ФИО физического лица;
- дата рождения;
- место проживания и/или прописки;
- полученное человеком образование;
- состав семьи;
- социальный статус;
- сведения, касающиеся владения имуществом;
- ранее занимаемые им должности;
- уровень получаемых доходов и их источники;
- иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.
КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.
Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.
Насколько необходимо Положение о персональных данных
Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.
Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.
Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:
- положение о защите персональных данных наемных сотрудников;
- обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
- согласие самого работника на обработку персональных данных.
ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Источник получения персональных данных
Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.
Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.
К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
Как передаются персональные данные
Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.
Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.
Источник: http://assistentus.ru/sotrudniki/zashchita-personalnyh-dannyh/
Внутренняя защита персональных данных
АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА
от 2 марта 2015 года N 031-10-124/5
Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и о внутренних проверках режима защиты персональных данных в администрации города Иркутска
(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)
1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (Приложение N 1).
1.2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (Приложение N 2).
2. Руководителям структурных подразделений администрации города Иркутска в месячный срок с момента подписания настоящего распоряжения ознакомить под роспись сотрудников подведомственного структурного подразделения администрации города Иркутска. Листы ознакомления представить в отдел информационной безопасности и криптографической защиты информации департамента информатизации комитета по экономике администрации г. Иркутска.
3. Контроль за исполнением настоящего Распоряжения возложить на заместителя мэра — руководителя аппарата администрации города Иркутска.
И.о. главы администрации города Иркутска
А.Б.ЛОГАШОВ
Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска
Приложение N 1
к распоряжению администрации
города Иркутска
от 2 марта 2015 г. N 031-10-124/5
(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)
1. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (далее — Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в том числе Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами администрации города Иркутска.
1.2. Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2011 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», иных нормативных правовых актов.
2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства
2.2. При проведении контроля используются процедуры документальной проверки, опрос и интервью с муниципальными служащими, работниками, замещающими должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее — служащие) администрации города Иркутска. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего контроля в качестве дополнительного способа может применяться «проверка на месте», которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования.
2.3. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:
— политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;
— организационная структура обеспечения безопасности ПДн создана;
— процессы выполнения требований безопасности ПДн исполняются и удовлетворяют поставленным целям;
— защитные меры (межсетевые экраны, средства защиты информации от несанкционированного доступа и т.п.) настроены и используются правильно;
— остаточные риски безопасности ПДн оценены и остаются приемлемыми;
— рекомендации предшествующих проверок реализованы.
2.4. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учета нештатных ситуаций информационных систем персональных данных (далее — ИСПДн), ведущийся администратором безопасности.
2.5. Ответственный за организацию обработки ПДн для проведения контроля имеет право привлекать администратора безопасности ИСПДн и других служащих.
Заместитель мэра — председатель комитета
по экономике администрации г. Иркутска
А.А.АЛЬМУХАМЕДОВ
Начальник отдела информационной безопасности
и криптографической защиты информации
департамента информатизации комитета
по экономике администрации г. Иркутска
Е.В.ТОРГАШИН
Приложение N 2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска
Приложение N 2
к распоряжению администрации
города Иркутска
от 2 марта 2015 г. N 031-10-124/5
(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)
1. Общие положения
1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее — План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.
1.2. План содержит следующую информацию:
— название проводимого мероприятия;
1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.
Руководители структурных подразделений администрации города Иркутска доводят до сведения муниципальных служащих и (или) работников, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.
2. Мероприятия по проверке режима защиты персональных данных
2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:
— ежедневные мероприятия — мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее — ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;
— еженедельные и ежемесячные мероприятия — мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;
— ежегодные или проводимые раз в несколько лет — мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.
3. Журнал учета мероприятий по контролю обеспечения защиты персональных данных
3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее — Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.
В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.
В Журнал заносится следующая информация:
— название проведенного мероприятия;
— дата проведенного мероприятия;
— результат (отчет, действия) мероприятия (при необходимости).
Источник: http://docs.cntd.ru/document/543706522
Защита персональных данных в организациях
zashchita_personalnyh_dannyh_v_organizaciyah.jpg
Похожие публикации
Система защиты персональных данных в организации – это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством. Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк (ст. 3 закона «О персональных данных» № 152-ФЗ от 27.07.2006). Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность. Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».
Защита персональных данных в организациях: закон
Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.
Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма. Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:
Трудовым кодексом РФ – ст. 86-90;
Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. 18.1, 19, 22.1;
Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;
Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № 21 от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.
Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством (п.1 и п.2 ст. 13.11 КоАП РФ).
Внутренние документы по защите персональных данных в организации
Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:
Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);
Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);
Видео (кликните для воспроизведения). |
Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;
Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);
Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.
Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. 22 закона «О персональных данных»). Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д.
Защита персональных данных в организации: пошаговая инструкция
Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:
Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.
Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.
Разработать Положение о персональных данных, включив раздел об их защите.
Назначить сотрудника, который будет отвечать за работу с ПД.
Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.
Подготовить образцы расписок о неразглашении ПД.
Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.
Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.
Источник: http://spmag.ru/articles/zashchita-personalnyh-dannyh-v-organizaciyah
Что такое защита персональных данных физических лиц в РФ и из каких аспектов состоит?
Персональные данные человека являются тем не многим, что находится под жесткой защитой государства.
Осуществление деятельности организации, которая ведет работу с хранением и обработкой личной информации, должно быть сопряжено с соблюдением их защиты.
Читайте далее о том, что такое персональные данные и какие меры используются против утечки информации.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !
Теоретические аспекты
-
Права субъектов.
Права субъектов – это все предложенные государством возможности, которые субъект или владелец информации может реализовать в полной мере. То есть эти возможности дают полное право субъекту распоряжаться своей информацией на свое личное усмотрение.
Так, например, субъект имеет полное право на требование к обеспечению безопасности своих ПД, а так же на возмещение причиненных убытков и возмещение морального вреда.
Обработки.
Защита обработки личной информации определяется как определенного рода комплекс действий, которые оператор обязуется выполнять для защиты ПД субъекта. В любом случае защита обработки характеризуется как охрана личных данных, что регулируется государством, и нарушения в рассматриваемом аспекте наказываются в соответствии с законодательством РФ.
Законодательные сведения
ПД Основополагающим нормативным документом в осуществлении безопасности ПД человека является Конституция Российской Федерации. Самый главный документ страны прямо указывает на право человека в своей личной жизни. Так же хранение, передача, обработка информации могут совершаться только с согласия лица-владельца информации.
Не менее важным законодательным документом является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 EST № 108. Конвенция обязывает стороны принимать все необходимые меры для охраны ПД, накопленных в автоматизированных базах, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Данная Конвенция была ратифицирована, что свидетельствует Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД». ПД, а именно их несанкционированный доступ и разглашение регламентируется законодательством РФ и, следовательно, использовать их любая организация может лишь с согласия правообладателя.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирует основные понятия, связанные с передачей, хранением и обработкой сведений, так же регулирует право на доступ и ограничение к доступу информации. Так же данный пункт регулирует Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных«.
Согласно этому закону дается определение ПД и устанавливается ограничение в их использовании. С принятием рассматриваемого закона важно учитывать, что обработка их третьими лицами может осуществляться только лишь с согласия этого лица.
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных» при их обработке в информационных системах персональных данных» характеризует актуальные угрозы ПД в соответствии с их уровнем (подробнее о составлении Положения о защите персональных данных мы рассказываем тут).
На основании четырех типов угроз устанавливается четыре типа защищенности персональной информации. Приказ Роскомнадзора от 5 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» характеризует принятием мер для формирования охраны данных путем их обезличивания. Так, на основании законодательства, субъект ПД имеет полное право на получение информации.
При этом он имеет право требовать от оператора предоставление ему необходимой информации. Так же субъект определяет регулирование, то есть он определяет степень ее устаревания, незаконность получения сведений, что может указать на данный факт оператору.
Все отношения, которые связаны с обработкой ПД субъекта трудовых отношений, регулируются законодательством, а именно:
Право
Рассматриваемый аспект относится к правовой системе, которая непосредственно опирается на законодательство РФ в соответствующей области. Основой разработки многочисленных правовых актов является усиление информационной безопасности в стране.
В настоящее время это является необходимостью. Развитие технических способностей обеспечивает порой несанкционированное вмешательство и использование личных сведений человека или субъекта ПД. Государство в полной мере разрабатывает законопроекты на обеспечение безопасности личных данных гражданина, а так же регулирует его соблюдение.
В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под контролем действующих законов. Согласно п.2 ст. 17 №152-ФЗ «О защите персональных данных» субъект имеет право на защиту своих ПД.
Статья 17 ФЗ №152. Право на обжалование действий или бездействия оператора
- Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
При этом субъект вправе требовать от оператора, коим является как работодатель, так и другая организация, предоставления необходимых сведений о нем и отчет об их обработке. Субъект так же вправе требовать изменение существующей информации или ее удаление. В любом случае нарушение законодательства полагается уголовная ответственность.
Требования
Защита ПД имеет множество требований в рассматриваемом ключе. Информация является единицей, которая может стать основой для ее получения и использования с преступной целью.
Возникновение многочисленных технических средств, которые являются средством для получения сведений, способствует осуществлению кражи, использования и уничтожения ПД. Так же человеческий фактор может стать причиной утечки. Защита информации в организации является, а так же преследует одноименную цель.
Защита ПД включает в себя:
- Проведение анализа на возможный канал утечки.
- Формирование системы учета и регистрации всей поступающей информации.
- Организация технических средств безопасности. Так же сформированы меры и способы действия безопасности ПД сотрудника.
Какие используются меры?
Среди практических мер защиты информации выделяют:
- Ограничение доступа лиц к информационной системе.
- Идентификация субъекта и объекта доступа.
- Использование антивирусов.
- Использование межсетевых экранов.
- Осуществление контроля передвижения информации.
- Криптографические методы.
- Предотвращение вторжений. Все рассмотренные меры должны исключать полностью несанкционированное вторжение в систему.
Как реализовать?
Реализация осуществления защиты персональных данных человека осуществляется на основании действующего законодательства и определяется как комплексная система мер. Реализовать ее на предприятии необходимо путем формирования всех необходимых действий, которые будут воздействовать на несанкционированное вторжение.
Как реализовывается защита ПД в организациях и различных учреждения мы рассказываем в отдельном материале.
Документы
Существуют различного рода документы по защите персональных данных:
Узнать о том, какие документы нужны для организации защиты персональных данных, а также ознакомиться с их образцами, можно в нашей специальной статье, а ознакомиться с их полным перечнем и главными нюансами их оформления можете тут.
Информационные системы
Среди основных информационных систем защиты ПД следует указать:
- Физическая защита базы данных и носителя.
- Распознавание пользователей.
- Архивация данных, криптографическая защита.
- Разграничение доступа к системе.
- Регистрация всех обращений.
Так же обеспечением безопасности могут стать специальные блоки-приставки, контрольные суммы.
Гос. органы и обеспечение безопасности
Вся информация, которая может быть общедоступной о государственных органах РФ, устанавливается и регулируется Правительством РФ с учетом законодательства. ПД госслужащего могут находиться в общедоступном пользовании только в соответствии с законодательством.
С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных. Основными законодательным актами, которые регулируют наказание за нарушение защиты ПД являются следующие документы:
Таким образом, осуществление безопасности личных сведений человека является аспектом, который регулируется государством. В настоящее время стремительное развитие технических средств требует создание дополнительных мер защиты от доступа, а так же созданию мер для жесткого наказания несанкционированной обработки ПД и их использования без согласия владельца.
Подробнее о том, какие уполномоченные органы по защите прав субъектов персональных данных существуют в РФ и какую роль они играют, мы рассказываем в специальном материале.
Видео по теме
Далее смотрим видео о защите персональных данных:
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
+7 (800) 350-22-67 Это быстро и бесплатно !
Как подготовиться к проверке Роскомнадзора?
Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.
Есть восемь моментов, на которые обращает внимание Роскомнадзор.
1. Ознакомление работников
Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:
- Политика в отношении обработки персональных данных;
- Положение об обработке персональных данных;
- Положение об обработке персональных данных без использования средств автоматизации.
2. Обучение работников в области защиты персональных данных
Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:
- приказом о допуске к обработке ПДн;
- Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
- планом проведения внутреннего контроля;
- приказом об утверждении перечня помещений, в которых ведется обработка;
- инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.
Убедитесь в том, что персональные данные в вашей компании защищены
3. Актуализация уведомления в Роскомнадзор об обработке ПДн
При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.
В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.
С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.
4. Согласие субъектов на обработку ПДн
В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:
- обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
- обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
- составление общедоступных справочников внутри организации, адресных книг и т п.
При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:
- ФИО, адрес, паспортные данные субъекта ПДн;
- ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- наименование (ФИО) и адрес оператора;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие;
- наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
- перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
- срок, в течение которого действует согласие субъекта ПДн;
- подпись субъекта ПДн.
5. Поручение обработки третьему лицу
В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.
Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.
Поручение оператора содержит:
- перечень действий с ПДн;
- цели обработки ПДн;
- обязанность соблюдения конфиденциальности ПДн;
- обязанность обеспечения безопасности ПДн;
- требования к защите ПДн.
При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.
6. Обработка ПДн на бумажных носителях
Бумажные носители ПДн также должны отвечать ряду требований законодательства:
- в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
- в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
- для всех документов должны быть указаны сроки их хранения;
- в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
- если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
- материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.
Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.
Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.
7. Избыточность обрабатываемых персональных данных
Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.
8. Публикация Политики
Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.
Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур
Видео (кликните для воспроизведения). |
Источник: http://kontur.ru/articles/2832
Юрист: стаж 15 лет
Образование: Воронежский Государственный Университет
Специализация: Гражданское право