Разработка документов по персональным данным | Загранник

Разработка документов по персональным данным

10.09.2019 / zagpass / 0 Comments

Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

Об этом вы узнаете в нашей статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:

  • категории персональных данных;
  • кем используется система;
  • режим и объем обрабатываемой информации;
  • тип и структуру системы;
  • расположение технических средств;
  • подключение к другим сетям связи.
  • Правила обработки без применения автоматизированных средств.
  • Инструкция по организации защиты пароля и антивирусного контроля.
  • Форма акта по утилизации документов, содержащих личную информацию.
  • Журнал тестирования средств информационной защиты.
  • Журнал по проведению инструктажа по безопасности системы.
  • Журнал учета технических средств защиты информации.
  • Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  • Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  • Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  • Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  • Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  • План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  • Форма ответа на запрос ПД.

    • О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

    Что требуется для сбора информации?

    Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

      Организационная.

    Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

    1. должностные инструкции;
    2. положение;
    3. уведомления, письма;
    4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.

    • Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.

    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.

    • Детализация процессов обработки, порядок и правила работы с ПД.

    Назначение ответственных лиц

    Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

    Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

    Читать дальше  Санкции за незаконную перепланировку квартиры

    Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

    В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

    Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

    Определение уровня защищенности

    К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

    Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

    Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

    В акте указываются:

    Начало обработки

    Для начала обработки данных требуется следующее документальное оформление:

    1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
    2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
    3. Образцы уведомления уполномоченного органа.
    4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
    5. Порядок отношений с распорядителем баз ПД.
    6. Порядок работы с запросами субъектов ПД.
    7. Договор с субъектами, обрабатывающими базы ПД.

    Организационно-распорядительная документация

    1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
    Скачать бланк инструкции о защите персональных данных

    Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    В связи с выходом ФЗ № 152 «О персональных данных» операторам персональных данных, необходимо выполнить комплекс мероприятий по защите персональных данных, включая разработку пакета организационно-распорядительных документов.

    Вы будете полностью соответствовать требованию ФЗ № 152

    Мы предлагаем купить за 11900р 5900 рублей полный комплект типовых организационно-распорядительных документов по персональным данным с 30% скидкой, который поможет полностью документировать все процедуры по защите персональных данных и ваша компания будет соответствовать всем требованиям закона, либо или заказать разработку всей документации у нас.

    Пакет типовых документов 5900р
    Разработка документов для компании от 20000р

    Это будет выгодно малым и средним компаниям, которые не в состоянии потратить большие деньги на разработку организационно-распорядительной документации по защите персональных данных и не могут себе позволить содержать в штате таких специалистов как специалист по информационной безопасности и технический писатель.

    Пакет документов включает в себя (обновление 2019 года):

    Положение по обработке персональных данных, включающее формы
    согласия субъекта на обработку персональных данных (ПД)
    уведомления оператора об обработке ПД
    поручения третьей стороне на обработку ПД
    акта уничтожения персональных данных
    уведомления о прекращении обработки и уничтожении ПД
    отзыва согласия субъекта на обработку персональных данных
    запроса субъекта на предоставление сведений об обработке ПД
    запроса субъекта на уточнение ПД
    уведомления субъекта об обработке персональных данных
    уведомления о внесении изменений в персональные данные
    уведомления о прекращении обработки персональных данных оператором и др.

    Приказ об организации работ по защите персональных данных, содержащий сведения о назначении (утверждении):
    ответственного за обработку персональных данных в информационных системах персональных данных
    ответственного за обеспечение функционирования средств защиты информации
    списка лиц, допущенных к работе со средствами защиты информации
    списка лиц, допущенных к работе с персональными данными, обрабатываемыми в информационной системе, для выполнения служебных (трудовых) обязанностей
    списка помещений, в которых разрешается обработка персональных данных
    списка мест хранения носителей ПДн

    Читать дальше  Ст 128 фз 229 об исполнительном производстве

    Политика обеспечения безопасности персональных данных
    Перечень персональных данных, обрабатываемых в ИСПДн
    Матрица доступа
    Перечень защищаемых информационных ресурсов
    Акт классификации ИСПДн
    Модель угроз
    Инструкция по учёту носителей персональных данных
    Инструкция администратору ИСПДн
    Инструкция о порядке допуска лиц к информационным ресурсам ИСПДн
    Инструкция по внесению изменений в ИСПДн
    Инструкция по организации антивирусной защиты в ИСПДн
    Инструкция по организации парольной защиты
    Инструкция по резервному копированию и восстановлению персональных данных
    Инструкция пользователю ИСПДн
    Инструкция по использованию ресурсов сети Интернет
    Порядок взаимодействия с субъектами персональных данных и контролирующими органами по вопросам обработки персональных данных
    План внутренних проверок состояния защиты персональных данных
    Порядок повышения осведомлённости работников
    Журнал регистрации входящих запросов и обращений субъектов
    Журнал инструктажа пользователей и обслуживающего персонала
    Журнал учета мероприятий по защите информации

    Под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой.

    Ответственность за отсутствие документов

    1) Уголовная
    Статьи: 137 УК РФ.
    Штраф до 200.000 рублей, либо лишение свободы на срок до 2х лет.

    2) Административная
    Статьи: Статья 13.11 КоАП РФ, 13.12 КоАП РФ, Статья 19.5 КоАП РФ.
    Суммарный штраф от 335000р.,возможно лишение свободы на срок до 2х лет.

    3) Гражданская
    Статьи: Статья 17 №152-ФЗ «О персональных данных», Статья 24 №152-ФЗ.
    Возмещение морального вреда по решению суда.

    Почему компании заказывают у нас?

    Документы разработаны полностью в соответствии с требованиями нормативных документов в области защиты персональных данных
    Индивидуальная разработка, в отличии от сервисов и генераторов документов, исключит возможные проблемы и штрафы со стороны проверяющих структур
    Найдёте дешевле – продадим со скидкой 10% от этой цены
    Уже более 214 организаций из разных регионов России успешно воспользовались нашими документами по защите персональных данных
    Приобретая пакет документов по персональным данным Вы значительно сэкономите своё время и обеспечите всей необходимой документацией свою организацию и она будет соответствовать ФЗ № 152

    Как купить комплект документов

    Стоимость полного комплекта проектов организационно-распорядительных документов составляет 5900 рублей!
    Все, что Вам надо сделать – это адаптировать шаблоны документов по защите персональных данных к специфике Вашей организации.

    Можно облегчить задачу – заказать адаптацию документов у нас.

    Так же, мы можем провести обследование информационных систем на предмет законности обработки персональных данных и, при необходимости, выработать рекомендации по обеспечению безопасности обрабатываемых персональных данных

    Вы можете купить данный пакет типовых документов по защите персональных данных сделав запрос по почте или заполнить соответствующую форму.

    Мы принимаем:

    Сбербанк Яндекс.Деньги WebMoney Mastercard Visa

    Как еще может называться данный документ:

    • Политика обработки персональных данных
    • Политика в отношении обработки данных
    • Privacy policy

    Зачем нужен документ:

    Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

    Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

    Как еще может называться данный документ:

    • Согласие на обработку персональных данных
    • Согласие пользователя

    Зачем нужен документ:

    Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

    Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

    Как еще может называться данный документ:

    • Правила обработки персональных данных

    Зачем нужен документ:

    Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

    Читать дальше  Правила приема товара по количеству и качеству

    Зачем нужен документ:

    Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

    Зачем нужен документ:

    Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

    Зачем нужен документ:

    Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

    Как еще может называться данный документ:

    • Правила рассмотрения запросов субъектов персональных данных или их представителей

    Зачем нужен документ:

    Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

    Зачем нужен документ:

    Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

    Как еще может называться данный документ:

    • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

    Зачем нужен документ:

    Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

    – Постановление Правительства РФ от 01.10.2012 г. №1119
    – Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
    – Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

    Как еще может называться данный документ:

    • Поручение обработки персональных данных
    • Договор на обработку персональных данных
    • Договор обработки персональных данных
    • Дополнительное соглашение на поручение обработки персональных данных

    Зачем нужен документ:

    От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

    С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

    Зачем нужен документ:

    Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

    На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

    Зачем нужен документ:

    Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

    Зачем нужен документ:

    Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

    Зачем нужен документ:

    Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

    Как еще может называться данный документ:

    • Перечень информационных систем персональных данных

    Зачем нужен документ:

    В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

    Как еще может называться данный документ:

    • Приказ об определении границ контролируемой зоны и требований к ее безопасности

    Зачем нужен документ:

    Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

    No related posts.

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    «
    »
    Adblock detector