Документы по персональным данным

Ответы на вопросы по теме: "Документы по персональным данным" с профессиональной точки зрения. Здесь собран полный тематический материал и ответы на вопросы максимально развернуты. Всегда имеются нюансы - если это ваш случай, то обратитесь к дежурному консультанту.

Документы по персональным данным для ФЗ № 152

В связи с выходом ФЗ № 152 «О персональных данных» операторам персональных данных, необходимо выполнить комплекс мероприятий по защите персональных данных, включая разработку пакета организационно-распорядительных документов.

Вы будете полностью соответствовать требованию ФЗ № 152

Мы предлагаем купить за 11900р 5900 рублей полный комплект типовых организационно-распорядительных документов по персональным данным с 30% скидкой, который поможет полностью документировать все процедуры по защите персональных данных и ваша компания будет соответствовать всем требованиям закона, либо или заказать разработку всей документации у нас.

Пакет типовых документов 5900р
Разработка документов для компании от 20000р

Это будет выгодно малым и средним компаниям, которые не в состоянии потратить большие деньги на разработку организационно-распорядительной документации по защите персональных данных и не могут себе позволить содержать в штате таких специалистов как специалист по информационной безопасности и технический писатель.

Памятка по ФЗ-152.

Пакет документов включает в себя (обновление 2019 года):

Положение по обработке персональных данных, включающее формы
согласия субъекта на обработку персональных данных (ПД)
уведомления оператора об обработке ПД
поручения третьей стороне на обработку ПД
акта уничтожения персональных данных
уведомления о прекращении обработки и уничтожении ПД
отзыва согласия субъекта на обработку персональных данных
запроса субъекта на предоставление сведений об обработке ПД
запроса субъекта на уточнение ПД
уведомления субъекта об обработке персональных данных
уведомления о внесении изменений в персональные данные
уведомления о прекращении обработки персональных данных оператором и др.

Приказ об организации работ по защите персональных данных, содержащий сведения о назначении (утверждении):
ответственного за обработку персональных данных в информационных системах персональных данных
ответственного за обеспечение функционирования средств защиты информации
списка лиц, допущенных к работе со средствами защиты информации
списка лиц, допущенных к работе с персональными данными, обрабатываемыми в информационной системе, для выполнения служебных (трудовых) обязанностей
списка помещений, в которых разрешается обработка персональных данных
списка мест хранения носителей ПДн

Под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой.

Ответственность за отсутствие документов

1) Уголовная
Статьи: 137 УК РФ.
Штраф до 200.000 рублей, либо лишение свободы на срок до 2х лет.

2) Административная
Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
Суммарный штраф от 335000р.,возможно лишение свободы на срок до 2х лет.

3) Гражданская
Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
Возмещение морального вреда по решению суда.

Почему компании заказывают у нас?

Документы разработаны полностью в соответствии с требованиями нормативных документов в области защиты персональных данных
Индивидуальная разработка, в отличии от сервисов и генераторов документов, исключит возможные проблемы и штрафы со стороны проверяющих структур
Найдёте дешевле – продадим со скидкой 10% от этой цены
Уже более 237 организаций из разных регионов России успешно воспользовались нашими документами по защите персональных данных
Приобретая пакет документов по персональным данным Вы значительно сэкономите своё время и обеспечите всей необходимой документацией свою организацию и она будет соответствовать ФЗ № 152

Как купить комплект документов

Стоимость полного комплекта проектов организационно-распорядительных документов составляет 5900 рублей!
Все, что Вам надо сделать — это адаптировать шаблоны документов по защите персональных данных к специфике Вашей организации.

Можно облегчить задачу — заказать адаптацию документов у нас.

Так же, мы можем провести обследование информационных систем на предмет законности обработки персональных данных и, при необходимости, выработать рекомендации по обеспечению безопасности обрабатываемых персональных данных

Вы можете купить данный пакет типовых документов по защите персональных данных сделав запрос по почте или заполнить соответствующую форму.

Мы принимаем:

Сбербанк Яндекс.Деньги WebMoney Mastercard Visa

Документы по персональным данным

Приведите персональные данные в соответствие требованиям 152-ФЗ

Подготовьтесь к проверке Роскомнадзора и Роструда

Избавьтесь от проблем и штрафов

Получите 5 основных документов по персональным данным для вашей организации бесплатно за 5 минут

8 лет успешной работы
по приведению обработки ПДн требованиям закона

Более 2200 организаций
и учреждений воспользовались сервисом «152 онлайн»

Официальная лицензия
на деятельность по защите конфиденциальной информации

Преимущества сервиса «152 онлайн»

Никаких генераторов и шаблонов. Все документы и рекомендации разрабатываются вручную «под ключ». Вам останется только распечатать, подписать и внедрить их в работу. А если у вас возникнут вопросы, мы проконсультируем вас бесплатно!

Разработка комплекта документов и комплекса мер осуществляется специалистами индивидуально с учетом особенностей заказчика

Индивидуальный комплект организационно-распорядительной документации по персональным данным будет готов за 5-10 дней

Опыт наших специалистов в обасти обеспечения безопасности персональных данных составляет более 11 лет

Мы заключаем с нашими заказчиками официальные договора. Оплата услуг осуществляется по безналичному расчету

[1]

Подготовка к проверкам

Мы осуществляем подготовку к проверкам Роскомнадзора и Роструда в области защиты персональных данных

Работы по разработке документов и комплекса мер максимально оптимизированы, что позволяет нам сокращать стоимость услуг

Контроль изменения ФЗ

В течение срока обслуживания мы осуществляем доработку комплекта документов при изменении законодательства и НМД

Если у вас возникнут вопросы в области персональных данных, мы бесплатно и оперативно вас проконсультируем

Риски связанные с нарушением прав субъектов персональных данных в рамках премиального пакета услуг будут застрахованы

Отзывы о работе с сервисом «152 онлайн»

1. Заключение договора

Читайте так же:  Сроки обжалования решения

Оставьте заявку на сайте или по тел. (499) 677-2-152

. Мы свяжемся с вами для уточнения деталей заказа и направим вам Договор-Счет

2. Сбор информации

Мы направим вам несложную анкету для получения сведений, необходимых для разработки комплекта документов и внедрения в вашей компании организационных мер по защите персональных данных

3. Разработка документов

В течении 10 дней мы разработаем комплект организационно-распорядительных документов по персональным данным индивидуально для вашей компании на основании заполненной анкеты

Мы направим вам комплект документов, а также необходимые инструкции и рекомендации, и поможем внедрить разработанный комплекс мер по защите персональных данных в вашей компании

Мы осуществляем мониторинг законодательства и нормативно-методической базы и доработаем ваши документы при выявлении расхождений с нормами закона в течение срока обслуживания

Мы консультируем вас по вопросам соблюдения законодательства, взаимодействия с контролирующими органами, субъектами персональных данных и т.п. в течение срока обслуживания

Комплект документов по персональным даннным

Комплект состоит примерно из 30-40 документов и разрабатывается специалистами вручную индивидуально для вашей компании. При разработке учитываются все особенности (сфера деятельности, внутренние процессы и т.п.)

Разработанные документы предоставляются в формате .docx (MS Office Word). Вам останется только распечатать и подписать их. Содержимое всех документов доступно для редактирования. При необходимости, их можно быстро отредактировать самостоятельно

С канцелярией не будет проблем. Документы соответствуют ГОСТ Р 7.0.97-2016 «Организационно-распорядительная документация. Требования к оформлению документов»

Образец документа «Приказ об организации обработки персональных данных»

Основные документы бесплатно

Получите 5 основных документов по персональным данным для вашей организации бесплатно за 5 минут

ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ОПЕРАТОР»

» 01 » января 20 19 г.

Об организации обработки персональных данных

В целях исполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

1. Ввести в ЗАО «Оператор» режим защиты персональных данных.

2. Назначить ответственным за проведение работ по организации обработки персональных данных Заместителя директора Некрасова Николая Алексеевича.

3. Разработать и внедрить документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных.

4. Обеспечить применение необходимых правовых, организационных и технических мер по защите персональных данных, в соответствии с законодательством РФ о персональных данных.

5. Утвердить и ввести в действие План проведения работ по организации обработки и защиты персональных данных.

6. Контроль за исполнением настоящего приказа оставляю за собой.

Документы по персональным данным в организации

Ужесточились требования и штрафы в связи с изменениями к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована, оформлена и приведена в соответствие.

Каждая организация или индивидуальный предприниматель будут проверяться на предмет соответствия их деятельности законодательству. В проверку войдут и подавшие информацию в Роскомнадзор и те, кто не подал еще. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Пакет документов и мероприятий по организации защиты персональных данных для любой организации очень большой, требует кропотливой работы и больших временных затрат. В среднем найм подрядчика по ведению этой деятельности, которая проведет полную подготовку Вашего предприятия к возможным проверкам обойдется Вам в 200 — 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

  • собираете и храните данные паспортов Ваших клиентов,
  • кредитных карт,
  • телефонных номеров,
  • электронных и почтовых адресов.

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.

Документы по защите персональных данных в организации Образцы:

Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.

Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.

Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.

Читайте так же:  Как иностранцу получить снилс

Законодательство о защите персональных данных в РФ

  • Конституция РФ
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
  • Трудовой кодекс РФ
  • Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
  • Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  • Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
  • Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
  • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»

Штрафы за нарушения персональных данных 2018 года

1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.

2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступления

Наказание:

Предупреждение или штраф:
• гражданам — от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 30 тыс. до 50 тыс. руб.

Судебная практика:

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32

Что делать, чтобы избежать штрафа:

Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись

Нарушения:

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных

Видео (кликните для воспроизведения).

Наказание:

• гражданам — от 3 тыс. до 5 тыс. руб.;

• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;
• организации — от 15 тыс. до 75 тыс. руб.

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Судебная практика:

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.

Что делать, чтобы избежать штрафа:

1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.

1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.

Наказание:

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Судебная практика:

Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016

Читайте так же:  Семейные отношения регулируются

Что делать, чтобы избежать штрафа:

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных

Документы по защите персональных данных в организации

Практически каждая компания собирает, обрабатывает и хранит данные о сотрудниках, клиентах, поставщиках, партнерах и других физлицах. При работе с конфиденциальной информацией не обойтись без комплекта документов по защите персональных данных.

Из чего состоит пакет документов по защите персональных данных

Различают организационные, технологические и методические документы. Организационные фиксируют задачи, функции и ответственность служб, отвечающих за защиту персональных данных работников. К ним относятся положения, должностные инструкции, акты, приказы, уведомления, письма.

Технологические инструктивные документы по защите персональных данных в организации отражают систему защиты конфиденциальных сведений о работниках. К ним относят: перечни, инструкции по обработке и защите ПДн.

Методические документы детализируют процессы защиты персональных данных работников, устанавливают порядок работы с документами, содержащими конфиденциальную информацию о сотрудниках, в типовых ситуациях. К ним относят правила работы с персональными данными.

Комплект документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами субъекты персональных данных должны ознакомиться под роспись.

Документы по персональным данным

Нормативные правовые акты в области персональных данных

Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях»

Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ — Глава 14 «Защита персональных данных работника»

Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»

Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»

Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»

Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»

Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»

Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ Минкомвязи России от 20.07.2017 г. № 373 «О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ» от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403

Приказ Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

Приказ Роскомнадзора от 30.10. 2018 г. № 159 «О внесении изменений в М етодические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»

Постановление Правительства Российской Федерации от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Время публикации: 20.01.2010 11:21
Последнее изменение: 21.03.2019 06:31

Читайте так же:  Англия виза для россиян

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0

  • 20.06.2019
  • | Обработка ПДн
  • | 980

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

адрес места регистрации и/или проживания;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

    1. Акт установления уровня защищенности информационных систем персональных данных.
    2. Акт классификации государственной информационной системы или муниципальной информационной системы.
    3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
    4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
    5. Журнал регистрации инцидентов информационной безопасности.
    6. Заключение об оценке вреда субъектам персональных данных.
    7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
    8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
    9. Инструкция по учёту машинных носителей и регистрации их выдачи.
    10. Модель угроз.
    11. Отзыв согласия субъекта персональных данных.
    12. Перечень информационных систем персональных данных.
    13. Перечень мероприятий по защите персональных данных.
    14. План внутренних проверок состояния защиты персональных данных.
    15. Политика обработки персональных данных.
    16. Положение об ответственном за организацию обработки персональных данных.
    17. Положение о порядке обработки персональных данных.
    18. Положение по работе с инцидентами информационной безопасности.
    19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
    20. Приказ «О журнале учета посетителей».
    21. Приказ «О журнале регистрации инцидентов информационной безопасности».
    22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
    23. Приказ «О назначении ответственного за организацию обработки персональных данных».
    24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
    25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
    26. Приказ «Об организации мероприятий по защите персональных данных».
    27. Приказ «Об ответственности за обработку и защиту персональных данных».
    28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
    29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
    30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
    31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
    32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
    33. Приказ «Об утверждении форм актов уничтожения персональных данных».
    34. Приказ «Об утверждении форм согласий на обработку персональных данных».
    35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
    36. Типовая форма поручения обработки персональных данных.
    37. Уведомление об обработке персональных данных.
Скачать чек-лист
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Какие журналы учета обязательно ведутся субъектами, работающими с персональными данными, образцы заполнения

Поскольку на работодателя возложена обязанность соблюдения конфиденциальности при обработке и использовании персональных данных, то возникает необходимость вести определенные акты, регламентирующие и закрепляющие все нюансы, касающиеся личных данных работников.

В статье мы расскажем, какие журналы, связанные с ПДн необходимо вести в организации, и какой формы могут быть эти документы.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какие книги необходимо вести организации?

Поэтому единой формы для того или иного журнала законодателем не предусмотрено.

Читайте так же:  Лицензирование пассажирских перевозок

На различных предприятиях ведутся следующие журналы, связанные с персональными данными:

Также на предприятиях могут вестись журналы:

  1. Регистрации попыток несанкционированного доступа к информации.
  2. Учета паролей пользователей информационной системы ПДн и т.п.

Кто должен вести подобную документацию?

Порядок хранения, использования и учета личной информации работников в организации устанавливается работодателем с соблюдением требований Трудового Кодекса.

Регламентация передачи ПД

Если руководитель принимает решение о необходимости регламентации движения персональных данных, то образец заполнения журнала учета передачи ПДн вносится в пакет типовых документов по защите конфиденциальной информации. Его форма в этом случае должна утверждаться приказом. Также издается приказ о назначении лица, ответственного за заполнение такого акта.

Оформление: общие требования

Титульная страница

Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой:

«УТВЕРЖДАЮ

Генеральный директор название предприятия
ФИО___
« »____20__г.»

Далее посередине заглавными буквами указывается название. После обозначается поле для даты, с которой было начато ведение документа, напр.

«Журнал начат «__» __ 20__ г.», рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».

В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:

«ОТВЕТСТВЕННЫЙ за ведение журнала
ФИО и должность сотрудника
«___» ___20__г.».

Содержание

Сам документ содержит следующие графы:

  1. Порядковый номер внесенной записи.
  2. ФИО и должность лица или наименование органа, запрашивающего ПДн, например ООО «ИнфоК2».
  3. Состав запрашиваемых данных, например Сведения о заработной плате работника за период 01.01. 20_ – 01.12. 20_ гг.
  4. Цель выдачи документа, содержащего личные сведения, например Контроль за соблюдением коллективного договора ООО «ИнфоК2».
  5. Дата выдачи бумаг, содержащих личные сведения.
  6. Дата возврата бумаг, содержащих личные сведения.
  7. Подпись запрашиваемого лица.
  8. Подпись ответственного сотрудника.

Содержание отдельных книг

Обращения субъектов

Образец заполнения журнала обращений субъектов персональных данных содержит:

  1. Порядковый номер, № п/п.
  2. ФИО субъекта ПДн.
  3. Дата обращения.
  4. Цель обращения.
  5. Перечень сведений, здесь указывается наименование выдаваемых документов.
  6. Результат обращений, например Был составлен ответ или Был составлен отказ. Здесь же указывается правовое обоснование ответа или отказа, дата и подпись лица, составившего ответ.

Документ также может содержать раздел «Порядок заполнения». В данном разделе указываются правила заполнения граф, исправления ошибок и т.д.

Ознакомления с положением о защите

В самом акте может быть продублировано Положение о защите ПДн сотрудников. Разделы:

  1. Номер, № п/п.
  2. Фамилия, имя, отчество лица, ознакомленного с инструкцией.
  3. Должность.
  4. Дата ознакомления.
  5. Подпись.

Электронных и машинных носителей, содержащих ПД

Образец заполнения журнала учета электронных и машинных носителей информации, содержащих персональные данные включает:

  1. Порядковый номер, № п/п.
  2. Регистрационный (учетный) номер носителя, указывается инвентарный номер.
  3. Тип и ёмкость носителя, например ПК, жесткий диск, флешка.
  4. Дата поступления на учет.
  5. Отметка о постановке на учет, ФИО, подпись дата.
  6. Отметка о снятии с учета, ФИО, подпись дата.
  7. Место хранения, здесь указывается № кабинета или шкаф, стойка, сервер и др.
  8. Сведения об уничтожении носителя.

Подробнее об уничтожении персональных данных читайте тут.

Мероприятий по контролю обеспечения сохранности

В графы вносится:

  1. Номер записи мероприятия, № п/п.
  2. Название проведенного мероприятия, например Контроль над выполнением антивирусной защиты.
  3. Дата проведенного мероприятия.
  4. Исполнитель мероприятия, данные на сотрудника.
  5. Результат (отчет, действия) осуществленного мероприятия.

Регистрации нарушения и восстановления

  1. Порядковый номер, № п/п.
  2. Число, месяц, год нарушения.
  3. Наименование подразделения, работниками которого нарушены требования.
  4. Ф.И.О. работника допустившего нарушение.
  5. Характер нарушения, напр. несанкционированное удаление персонал. сведений работника.
  6. Принятые меры (должность, Ф.И.О. виновных, наложенное взыскание, дата и N приказа).

Регистрации согласий на обработку

Образец журнала регистрации согласий на обработку персональных данных включает в себя следующую информацию:

  1. Номер, № п/п.
  2. Дата, № согласия.
  3. Субъект ПДн, указывается ФИО сотрудника.
  4. Перечень ПДн, на обработку которых дается согласите сотрудника.
  5. Цель обработки ПДн, например осуществление трудовых взаимоотношений с работниками… или осуществление видов деятельности в соответствии с Уставом.
  6. Срок, в течение которого действует согласие.
  7. Подпись лица, получившего согласие.

Фиксирования средств защиты информации

Документ содержит разделы:
  1. Номер вносимой записи, № п/п.
  2. Наименование средства защиты информации, эксплуатационной и технической документации к нему.
  3. Регистрационный номер средства защиты информации, эксплуатационной и технической документации к нему.
  4. Отметка о получении (От кого получены, Дата и номер сопроводительного письма).
  5. Отметка о выдаче (Ф.И.О. пользователя, Дата и расписка в получении).

[3]

Стоит помнить, что журналы не имеют законодательной регламентации. Окончательная форма утверждается предприятием или организацией, которые производят учет. Поэтому следует уточнять необходимость ведения того или иного журнала у работодателя, а также осведомляться о формах ведения журналов учета, связанных с персональными данными.

[2]

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

Видео (кликните для воспроизведения).

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источники


  1. Тихомиров, М. Ю. Увольнение по инициативе работодателя. Практическое пособие / М.Ю. Тихомиров. — М.: Издание Тихомирова М. Ю., 2015. — 499 c.

  2. Рыжаков А. П. Защитник в уголовном процессе; Экзамен — М., 2013. — 480 c.

  3. Зашляпин, Л. А. Основы теории эффективной адвокатской деятельности. Прелиминарный аспект / Л.А. Зашляпин. — М.: Издательство Уральского Университета, 2015. — 568 c.
  4. Кондрашков, Н.Н. Тунеядство: против закона и совести; М.: Юридическая литература, 2012. — 160 c.
  5. Ведерников, А. Н. Конституционное право личности на судебную защиту в законодательстве и судебной практике России / А.Н. Ведерников. — М.: Юнити-Дана, Закон и право, 2017. — 152 c.
Документы по персональным данным
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here