Перечень документов которые должны быть в организации по персональным данным

Перечень документов  которые должны быть в организации по персональным данным

Что нужно знать работодателю о защите персональных данных?

Фото Ольги Вирич, Кублог Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные. По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ. Отношения, связанные с обработкой персональных данных, регулируются:

  1. федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  2. главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными?

Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных.

Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами. Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников.

Это только те сведения, которые характеризуют сотрудника как сторону трудового договора. Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах.

При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п.

3 ст. 86 ТК РФ). В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  • из документов, предъявляемых при заключении трудового договора;
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  • в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  • из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
  • от кадрового агентства, действующего от имени соискателя;

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие. В уведомлении необходимо указать:

  1. способы получения данных, их характер;
  2. цели получения персональных данных работника у третьего лица;
  3. предполагаемые источники данных (у кого будет запрашиваться информация);
  4. возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п.

1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника. Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

  1. использовать программно-технический комплекс защиты информации на электронных носителях.
  2. установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  3. установить особый порядок выдачи пропусков и удостоверений работников;
  4. использовать технические средства охраны;

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника.

В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно. Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя.

В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни. Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

.

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.
Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет.

Рекомендуется применять журналы учета, в которых указываются:

  1. наименование документа,
  2. срок пользования,
  3. даты выдачи и возврата документа,
  4. цель выдачи,
  5. Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  1. на юридических лиц – от 5000 до 10 000 руб.
  2. на должностных лиц – от 500 до 1000 руб.;
  3. на граждан – от 300 до 500 руб.;

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  1. на граждан – от 500 до 1000 руб.;
  2. на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа. Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст.

90 ТК РФ). Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  1. или арест на срок до четырех месяцев.
  2. или штраф в сумме до 200 тыс. руб.,
  3. или исправительные работы на срок до одного года,
  4. или обязательные работы на срок от 120 до 180 часов,
  5. или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  1. или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  2. или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  3. или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев. : Теги: 5850 9750 ₽ –40%

  1. © 2001 — 2021, Клерк.Ру.

18+

Организация защиты персональный данных в организации по ФЗ № 152-ФЗ “О персональных данных”

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?

Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?

У вашей фирмы есть клиенты – физические лица?Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.ВАЖНО!

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе.

Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.ВАЖНО!

Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ.

На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.1.Уведомление об обработке персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 22. Уведомление об обработке персональных данных.ч.

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2.Изменения в уведомление об обработке персональных данных.Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 22. Уведомление об обработке персональных данных.ч.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.Статья 25.

Заключительные положения.ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.3.Приказ Об организации обработки персональных данных.4.Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 22_1.
Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.3.Приказ Об организации обработки персональных данных.4.Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 22_1.

Лица, ответственные за организацию обработки персональных данных в организациях.ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.5.Согласие субъекта персональных данных на обработку его персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.ч.

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.6.Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 9.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.6.Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.ч.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.7Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 18. Обязанности оператора при сборе персональных данных.ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;2) цель обработки персональных данных и ее правовое основание;3) предполагаемые пользователи персональных данных;4) установленные настоящим Федеральным законом права субъекта персональных данных;5) источник получения персональных данных.8.Документы, определяющие политику оператора в отношении обработки персональных данных.Примечание: выполнить требование ч.

2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документуОснование:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.9.Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 19.

Меры по обеспечению безопасности персональных данных при их обработке.ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.10.Документы по организации приема и обработке обращений и запросов субъектов персональных данных.Основание:Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».Статья 22_1.

Лица, ответственные за организацию обработки персональных данных в организациях.ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:п.

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.11.Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.12.Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.Основание:Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.п.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона “О персональных данных”.Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.13.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.Основание:Приказ ФСТЭК от 18 февраля 2013 года № 21.1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.14.Документы о классификации информационных систем.Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.П.

8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.15.Типовые формы документов.Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться определенные условия.16.Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.п.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.17.Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.п.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.18.Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.Основание:Приказ ФСБ России от 10 июля 2014 г. N 378 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационная система) с использованием средств криптографической защиты информации (далее – СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.19.Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.20.Документы, устанавливающие порядок обработки персональных данных работников.Основание:ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ.Статья 86.

Общие требования при обработке персональных данных работника и гарантии их защиты:п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.Статья 87.

Хранение и использование персональных данных работников;Статья 88. Передача персональных данных работников.21.Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п.

Передача персональных данных работников.21.Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1). ВАЖНО! Для справки рекомендуется ознакомиться с документом: Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.Приказ МВД РФ от 6 июля 2012 г.

N 678 “Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации”П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.№п/пНаименование документа№ документа, дата1.

2.Акт определения уровня защищенности ИСПДн “________”.

3.Акт определения уровня защищенности ИСПДн “……”.

4.Акт о выделении к уничтожению документов, неподлежащих хранению.

5.Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.

6.Акты уничтожения персональных данных. 7.Описание информационной системы персональных данных “Сотрудники”. 8.Описание информационной системы персональных данных “Клиенты”.

9.Описание информационной системы персональных данных “….”.

10.Модель угроз безопасности персональных данных при их обработке в ИСПДн “Сотрудники”. 11.Модель угроз безопасности персональных данных при их обработке в ИСПДн “Клиенты”.

12.Модель угроз безопасности персональных данных при их обработке в ИСПДн “….”. 13.Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.

14.Инструкция пользователя информационной системы персональных данных. 15.Инструкция об организации антивирусной защиты.

16.Инструкция администратора безопасности информационной системы персональных данных.

17.Инструкция администратора информационной системы персональных данных. 18.Инструкция пользователя при обработке персональных данных без средств автоматизации.

19.Инструкция по эксплуатации машинных носителей информации. 20.План внутренних проверок режима защиты персональных данных. 21. 22.Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

23.Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО “….”. 24.Положение об обеспечении безопасности персональных данных. 25.Положение об обработке персональных данных в ООО “….”.

26.Положение об ответственном за обработку персональных данных в ООО “….”.

27.Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ “О персональных данных”. 28.Положение о комиссии ООО “….” по вопросам информационной безопасности, состав комиссии.

29.Приказ о начале обработке персональных данных. 30.Приказ об ответственных и комиссии по информационной безопасности. 31.Приказ о назначении сотрудников, имеющих доступ в персональным данным.– список сотрудников.

32.Приказ утверждающий перечень мест хранения материальных носителей персональных данных.– перечень мест хранения ИСПДн.

33.Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.

34.Приказ о контролируемой зоне:– Схема границ.– Список лиц, имеющих право вскрывать помещение.– Список лиц, имеющих находиться в помещение.

35. 36.Перечень информационных систем персональных данных. 37.Согласие сотрудника на обработку его персональных данных. 38.Согласие клиента на обработку его персональных данных.

39.Согласие …. на обработку его персональных данных. 40.Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных. 41.Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.

42.Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.

43.Журнал учета лицевых счетов пользователей средств криптографической защиты информации.

44.Журнал учета и выдачи машинных носителей персональных данных. 45.Журнал учета проверок, проводимых органами государственного контроля (надзора).

46.Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.

47.Журнал регистрации входящих конфиденциальных документов. 48.Журнал регистрации исходящих конфиденциальных документов49.Журнал регистрации и выдачи печатей опечатывающих устройств.

50.Журнал инвентарного учета документов ограниченного распространения. 51.Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).

52.Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.

53.Журнал учета хранилищ (сейфов). 54.Журнал учета ключевой информации.

55.Журнал учета движения материальных носителей персональных данных. 56.Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные. 57.Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.Правовые основы: Трудовой кодекс РФ ст.

85-90, Федеральный закон от 27 июля 2006 г.

N 152-ФЗ “О персональных данных”, Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

1.

Оформление приказа о назначении ответственного за организацию обработки персональных данных Согласно ст. 22.1 Федерального закона от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.

2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию. В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей.

Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником. Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей. 3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ. 4. Оформление письменных обязательств о неразглашении персональных данных.

Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.5.

Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен.