Организация защиты персональный данных в организации по ФЗ № 152-ФЗ «О персональных данных»

    1
    2045

    Является ли ваша организация оператором персональных данных?

    Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
    Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
    У вашей фирмы есть клиенты – физические лица?

    Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

    ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

    Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    Защита персональный данных в организации.

    Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

    Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

    Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

    ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

    Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    Административная ответственность за разглашение персональных данных.

    С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

    Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

    Организация защиты персональный данных в организации.

    Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

    1. Уведомление об обработке персональных данных.

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 22. Уведомление об обработке персональных данных.

    ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Изменения в уведомление об обработке персональных данных.

    Основание:

     Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 22. Уведомление об обработке персональных данных.

    ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

    Статья 25. Заключительные положения.

    ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

    3. Приказ Об организации обработки  персональных данных.
    4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

    Основание: 

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

    ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

    5. Согласие субъекта персональных данных на обработку его персональных данных.

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

    ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

    6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

    ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

    7 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

    Основание: 

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 18. Обязанности оператора при сборе персональных данных.

    ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

    1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

    2) цель обработки персональных данных и ее правовое основание;

    3) предполагаемые пользователи персональных данных;

    4) установленные настоящим Федеральным законом права субъекта персональных данных;

    5) источник получения персональных данных.

    8. Документы, определяющие политику оператора в отношении обработки персональных данных.

    Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ  «О персональных данных».

    Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

    ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

    9. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

    ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    10. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

    Основание:

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

    ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

    п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

    11. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.

    Основание:

     ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

    п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

    12. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.

    Основание:

    Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

    п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

    Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

    13. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    Основание:

    Приказ ФСТЭК от 18 февраля 2013 года № 21.

    1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    14. Документы о классификации информационных систем.

    Основание:

     Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

    П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.

    15. Типовые формы документов.

    Основание:

     ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

    п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.

    16. Документ, устанавливающий требования к  ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.

    Основание:

     ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

    п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные  условия.

    17. Документы, устанавливающие требования  к хранению материальных носителей содержащих персональные данные.

    Основание:

     ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

    п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

    18. Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.

    Основание:

    Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

    П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    19. Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
    20. Документы, устанавливающие порядок обработки персональных данных работников.

    Основание:

    ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ.

    Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты:

    п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

    Статья 87. Хранение и использование персональных данных работников;

    Статья 88. Передача персональных данных работников.

    21. Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

    Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

     

     

    ВАЖНО! Для справки рекомендуется ознакомиться с документом:

    Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

    Приказ МВД РФ от 6 июля 2012 г. N 678
    «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

    П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

    Примерный перечень документов по защите персональных данных.

    п/п

    Наименование документа № документа, дата
    1. Акт определения уровня защищенности ИСПДн «Сотрудники».  
    2. Акт определения уровня защищенности ИСПДн  «Клиенты».  
    3. Акт определения уровня защищенности ИСПДн «……».  
    4. Акт о выделении к уничтожению документов, неподлежащих хранению.  
    5. Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.  
    6. Акты уничтожения персональных данных.  
    7. Описание информационной системы персональных данных «Сотрудники».  
    8. Описание информационной системы персональных данных «Клиенты».  
    9. Описание информационной системы персональных данных «…..».  
    10. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».  
    11. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».  
    12. Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».  
    13. Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.  
    14. Инструкция пользователя информационной системы персональных данных.  
    15. Инструкция об организации антивирусной защиты.  
    16. Инструкция администратора безопасности информационной системы персональных данных.  
    17. Инструкция администратора информационной системы персональных данных.  
    18. Инструкция пользователя при обработке персональных данных без средств автоматизации.  
    19. Инструкция по эксплуатации машинных носителей информации.  
    20. План внутренних проверок режима защиты персональных данных.

     

     
    21. Политика обработки Персональных данных образец  
    22. Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.  
    23. Положение о разграничении прав доступа к обрабатываемым персональным данным в  ООО «….».  
    24. Положение об обеспечении безопасности персональных данных.  
    25. Положение об обработке персональных данных в ООО «….».  
    26. Положение об ответственном за обработку персональных данных в ООО  «….».  
    27. Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».  
    28. Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.  
    29. Приказ о начале обработке персональных данных.  
    30. Приказ об ответственных и комиссии по информационной безопасности.  
    31. Приказ о назначении сотрудников, имеющих доступ в персональным данным.

    — список сотрудников.

     
    32. Приказ утверждающий перечень мест хранения материальных носителей персональных данных.

    — перечень мест хранения ИСПДн.

     
    33. Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.  
    34. Приказ о контролируемой зоне:

    — Схема границ.

    — Список лиц, имеющих право вскрывать помещение.

    — Список лиц, имеющих находиться в помещение.

     

     
    35. Перечень персональных данных.  
    36. Перечень информационных систем персональных данных.  
    37. Согласие сотрудника на обработку его персональных данных.  
    38. Согласие клиента на обработку его персональных данных.  
    39. Согласие …. на обработку его персональных данных.  
    40. Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.  
    41. Журнал поэкземплярного учета средств защиты информации,  эксплуатационной и технической документации к ним, ключевых документов.  
    42. Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.  
    43. Журнал учета лицевых счетов пользователей средств криптографической защиты информации.  
    44. Журнал учета и выдачи машинных носителей персональных данных.  
    45. Журнал учета проверок, проводимых органами государственного контроля (надзора).  
    46. Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.  
    47. Журнал регистрации входящих конфиденциальных документов.  
    48. Журнал регистрации исходящих конфиденциальных документов

    49. Журнал регистрации и выдачи печатей опечатывающих устройств.  
    50. Журнал инвентарного учета документов ограниченного распространения.  
    51. Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).  
    52. Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.  
    53. Журнал учета хранилищ (сейфов).  
    54. Журнал учета ключевой информации.  
    55. Журнал учета движения материальных носителей персональных данных.  
    56. Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.  
    57. Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

     

    В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

    Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

    Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
    1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
    Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
    2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
    В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
    Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
    Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
    3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
    Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
    4. Оформление письменных обязательств о неразглашении персональных данных.
    Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

    5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

    Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

    1 КОММЕНТАРИЙ

    ОСТАВЬТЕ ОТВЕТ