Персональные данные нормативные документы

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Читайте так же:  Заявление пересмотр решения суда

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Нормативные документы по защите персональных данных

Номер документа, дата принятия

Федеральный закон N 152 – ФЗ
от 27.07.2006г.
О персональных данных.

(в ред. Федеральных законов
от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ,
от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,
от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ
от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ
от 05.04.2013 N 43-ФЗ)

Для удобства работы с законом, его текст со всеми внесенными изменениями читайте по приведенной у нас ссылке на сайт «Консультант плюс».
Для желающих ознакомиться с исходным текстом закона даём ссылку на сайт «Российской газеты». Все изменения к ФЗ 152 Вы можете также найти на сайте «Российской газеты», воспользовавшись перечнем законов, приведенных выше, в особенности посмотрите ФЗ 261, который внес кардинальные изменения в ФЗ 152.

Ввод в действие закона «О персональных данных»

28 декабря 2010 года президент России Дмитрий Медведев одобрил введение в действие закона 152-ФЗ «О персональных данных» в июле 2011 года. Федеральный закон 152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие закону информационных систем предприятий был предусмотрен срок до января 2010 года, затем этот срок был ещё раз продлен до января 2011 года. И вот ещё раз — до июля 2011-го. Нового срока переноса введения в действие 152-ФЗ после 01.07.2011г. не было.

Вывод:

01.07.2011 г. наступил час «Х». С каждым днём вопрос защиты персональных данных становится острее. Это означает, что операторы персональных данных, не сумевшие выполнить требования 152-ФЗ, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть даже и уголовную ответственность.

Ответственность за неисполнение 152-ФЗ

Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Методические документы ФСТЭК России от 15.02.2008г.
Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (с официального сайта ФСТЭК России)
Постановление Правительства РФ N 512
от 06.07.2008г.
Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Постановление Правительства РФ N 687
от 15.09.2008г.
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление Правительства РФ N 211
от 21.03.2012г.
Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
Постановление Правительства РФ N 1119
от 01.11.2012г.
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Комментарий:

Ссылки на данные документы с нашего сайта убраны. Нет смысла руководствоваться в работе документами, утратившими силу. Надеемся, что во исполнение Постановления №1119 в этом году Регуляторами будут разработаны и утверждены необходимые для работы по защите персональных данных документы. А пока все находятся в состоянии неопределённости.

И вот, первые изменения: вместо Приказа №58 от 05.02.2010г., вступили в действие 2 Приказа ФСТЭК России №21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказ №17 от 11.02.2013г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Приказы определяют состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документы являются ключевыми для обеспечения безопасности ПДн. Однако для полноценной работы по защите персональных данных Регуляторам необходимо еще разработать и утвердить ряд документов, взамен отмененных Постановлением №1119, в частности, ждем в первую очередь изменения Методики определения актуальных угроз . в соотвествии с требованиями Приказов №17 и №21.
Удачи в изучении документов! Там есть над чем подумать. Для начала можете прочитать статью «Уровни защищенности персональных данных вместо классов» на нашем сайте.

Приказ ФСТЭК России N 17
от 11.02.2013г.
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (с официального сайта ФСТЭК России)

Комментарий:
Изучая 17-й приказ, пришлось пересмотреть не один десяток документов, на которые ссылается данный приказ, и все равно нет однозначного ответа по его применению. Мнения экспертов в области информационной безопасности тоже разделились.
Вот мнение эксперта Алексея Лукацкого, по применению 17-го приказа, для защиты информации в государственных информационных системах, пока на наш взгляд наиболее аргументированное, которое он высказал в блоге на сайте «DLP-Эксперт». Здесь же Вы можете узнать мнение других экспертов по применению 17-го приказа ФСТЭК.

Источник: http://www.rskb48.ru/persdan/norm_d.html

Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

Об этом вы узнаете в нашей статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

    Организационная.
Читайте так же:  Как отказаться от права собственности на квартиру

Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

  1. должностные инструкции;
  2. положение;
  3. уведомления, письма;
  4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.
  • Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.
    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.
  • Детализация процессов обработки, порядок и правила работы с ПД.

    Назначение ответственных лиц

    Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

    Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

    Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

    В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

    Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

    Определение уровня защищенности

    К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

    Акт определения уровня защищенности не относится к конфиденциальным документам.

    Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

    Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

    В акте указываются:

    Начало обработки

    Для начала обработки данных требуется следующее документальное оформление:

    1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
    2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
    3. Образцы уведомления уполномоченного органа.
    4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
    5. Порядок отношений с распорядителем баз ПД.
    6. Порядок работы с запросами субъектов ПД.
    7. Договор с субъектами, обрабатывающими базы ПД.

    Организационно-распорядительная документация

    1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
    Скачать бланк инструкции о защите персональных данных

    Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/paket-dokumentov.html

    Нормативно-правовые акты по защите персональных данных

    Федеральные Конституционные законы, Федеральные законы

    1. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993г.)

    2. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ (с последними изменениями от 19 июля 2011г.)

    Читайте так же:  Кассационное обжалование решения мирового суда

    3. Федеральный закон от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

    4. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (с последними изменениями от 25 июля 2011г.)

    5. Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последними изменениями от 21 июля 2011г.)

    Указы и Распоряжения Президента Российской Федерации

    1. Указ Президента Российской Федерации от 17 марта 2008 года №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

    2. Указ Президента Российской Федерации от 30 мая 2005 года №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

    3. Указ Президента Российской Федерации от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера»

    4. Распоряжение Президента Российской Федерации от 10 июля 2001 года №366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

    Акты Правительства Российской Федерации

    1. Постановление Правительства Российской Федерации от 4 марта 2010 г. №125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»

    2. Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    3. Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

    4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

    5. Постановление Правительства Российской Федерации от 12 декабря 2005 г. №756 «О представлении Президенту Российской Федерации предложения о подписании Дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, касающегося наблюдательных органов и трансграничной передачи данных»

    6. Постановление Правительства Российской Федерации от 3 ноября 1994 г. №1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

    7. Распоряжение Правительства Российской Федерации от 15 августа 2007 г. №1055-р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»

    Акты Минкомсвязи России и иных федеральных органов исполнительной власти

    1. Приказ Минкомсвязи России от 30 января 2010г. №18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных»

    2. Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010г. №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

    Акты Роскомнадзора

    1. Приказ Роскомнадзора от 13 апреля 2011г. №246 «Об утверждении Положения об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»

    2. Приказ Роскомнадзора от 19 августа 2011г. №706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»

    3. Приказ Роскомнадзора от 1 декабря 2009г. №630 «Об утверждении Административного регламента проведения проверок Федеральной службой в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»

    4. Приказ Роскомнадзора от 14 сентября 2009г. №465 «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных»

    Видео (кликните для воспроизведения).

    5. Приказ Роскомнадзора от 11 апреля 2011г №241 «О внесении изменений в приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 сентября 2009г. №465 «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных»

    Локальные акты учреждения

    Образец согласия на обработку персональных данных

    Источник: http://chel137.ru/%D0%BD%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%B2%D0%BD%D0%BE-%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D0%B2%D1%8B%D0%B5-%D0%B0%D0%BA%D1%82%D1%8B-%D0%BF%D0%BE-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5-%D0%BF%D0%B5/

    Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

    Роскомнадзор активно проверяет работодателей, применяя новые нормы ст. 13.11 КоАП РФ.

    Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

    Какие условия должны быть указаны в ЛНА?

    2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

    3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

    Например, ЛНА могут определять:

    • общие принципы обработки данных,
    • порядок обработки данных на бумажных носителях,
    • порядок обработки данных в информационных системах,
    • порядок хранения персональных данных,
    • порядок передачи данных,
    • порядок обработки данных должностными лицами и проч.
    Читайте так же:  Претензия образец возмещении ущерба затопление

    4. В каждый ЛНА стоит включить раздел «Общие положения». В нем указать значение ЛНА, основные термины и понятия:

    • «персональные данные»,
    • «оператор»,
    • «обработка персональных данных»,
    • «трансграничная передача персональных данных» и проч.

    Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

    Что написать в ЛНА

    Цели обработки персональных данных и содержание

    Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

    • использование персональных данных в информационных системах, с которыми работает компания,
    • использование данных при составлении документов,
    • передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
    • сбор данных для принятия решения о приеме кандидата на работу и проч.

    В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

    Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
    Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

    Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

    В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

    Внутренний доступ.

    Может быть полным и ограниченным.

    При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

    При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

    Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

    Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

    Ответственный сотрудник будет:

    • контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
    • информировать сотрудников о новых нормах, локальных актах о персональных данных;
    • принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

    Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

    В ЛНА нужно указать:

    • наименование и местонахождение третьих лиц,
    • цели передачи данных и объемы,
    • перечень действий по обработке,
    • способы обработки,
    • требования к защите данных.

    Хранение персональных данных

    Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

    Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

    Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

    Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

    В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

    Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

    • определение угроз безопасности,
    • обнаружение фактов несанкционированного доступа,
    • применение мер по обеспечению безопасной обработки данных,
    • защита технических средств, на которых хранятся данные,
    • установка антивирусов и проч.

    «Одноразовая» обработка персональных данных

    Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

    В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

    В ЛНА нужно закрепить:

    • порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
    • данные, которые охрана запрашивает у гостей и вносит в журнал,
    • цели сбора и обработки данных гостей,
    • сроки обработки данных,
    • перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

    Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

    Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

    Читайте так же:  Кассационная жалоба заместителю председателя верховного суда

    Источник: http://www.klerk.ru/buh/articles/469572/

    Персональные данные нормативные документы

    «Конституция Российской Федерации» от 12.12.93 г.;

    Указ Президента РФ № 188 от 06.03.97 г. «Об утверждении перечня сведений конфиденциального характера»;

    Федеральный закон № 149-ФЗ от 27.07.06 г. «Об информации, информационных технологиях и о защите информации»;

    Федеральный закон № 197-ФЗ от 30.12.01 г. «Трудовой кодекс Российской Федерации»;

    Федеральный закон № 152-ФЗ от 27.07.06 г. «О персональных данных»;

    Постановление Правительства РФ № 781 от 17.11.07 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

    Приказ Россвязьохранкультуры № 154 от 28.03.08 г. «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

    Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.08 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

    Указ Президента РФ № 351 от 17.03.08 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

    Указ Президента РФ № 609 от 30.05.05 г. «Об утверждении положения о персональных данных государственного гражданского служащего российской Федерации и ведении его личного дела»;

    Постановление Правительства РФ № 1233 от 03.11.94 г. «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных

    Техническая защита персональных данных регламентируется следующими основными документами:

    Федеральный закон № 128-ФЗ от 08.08.01 г. «О лицензировании отдельных видов деятельности»;

    Постановление Правительства РФ № 45 от 26.01.06 г. «Об организации лицензирования отдельных видов деятельности»;

    Постановление Правительства РФ № 504 от 15.08.06 г. «О лицензировании деятельности по технической защите конфиденциальной информации»;

    «Положение о государственном лицензировании деятельности в области защиты информации», решение Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27.04.94 г.;

    «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.;

    Постановление Правительства РФ № 608 от 26.06.95 г. «О сертификации средств защиты информации»;

    «Положение о сертификации средств защиты информации по требованиям безопасности информации», приказ Председателя Гостехкомиссии России № 199 от 27.10.95 г.;

    Указ Президента РФ № 334 от 03.04.95 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

    Указ Президента РФ № 1085 от 16.08.04 г. «Вопросы Федеральной службы по техническому и экспортному контролю»;

    документы ФСБ и ФСТЭК России по обеспечению безопасности конфиденциальной (персональные данные) информации;

    другие законодательные акты.

    Нормативно-правовая база по смежным направлениям:

    Закон № 5341-1 от 07.07.93 г. «Об архивном фонде Российской Федерации и архивах»;

    Федеральный закон № 25-ФЗ от 02.03.07 г. «О муниципальной службе в Российской Федерации»;

    Постановление Государственного Комитета Российской Федерации по стандартизации и метрологии № 454-ст от 06.11.01 г. «О принятии и введении в действие ОКВЭД»;

    Материалы Минэкономразвития России «О создании системы персонального учета населения Российской Федерации»;

    Распоряжение Правительства Российской Федерации № 748-р от 09.06.05 г. «Концепция создания системы персонального учета населения Российской Федерации»;

    Указ Президента РФ № 320 от 12.03.07 г. «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия»;

    Постановление Правительства РФ № 419 от 02.06.08 г. «Об утверждении положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций»;

    Приказ Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 128 от 19.03.08 г. «Об утверждении административного регламента Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по исполнению государственной функции по рассмотрению обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи, принятию по ним решений и выдаче предписаний в соответствии с федеральным законом»;

    Федеральный закон № 40-ФЗ от 03.04.95 г. «О федеральной службе безопасности»;

    Руководящий нормативный документ МВД России, утвержденный Заместителем Министра внутренних дел России «РД Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования»;

    Руководящий документ ГУВО МВД России «Р Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации»;

    Государственный стандарт РФ ГОСТ Р «Делопроизводство и архивное дело. Термины и определения», утвержденный Постановлением Госстандарта РФ № 28 от 27.02.98 г.;

    «Квалификационный справочник должностей руководителей, специалистов и других служащих», утвержденный постановлением Минтруда РФ № 37 от 21.08.98 г.;

    «Правила устройства электроустановок», утвержденные приказом Минпромэнерго России;

    другие законодательные акты.

    Ответственность за нарушение требований в части защиты персональных данных отражена в следующих документах:

    Федеральный закон № 197-ФЗ от 30.12.01 г. (с изменениями) «Трудовой кодекс Российской Федерации»;

    Федеральный закон № 63-ФЗ от 13.06.96 г. (с изменениями) «Уголовный кодекс Российской Федерации»;

    Федеральный закон № 195-ФЗ от 30.12.01 г. (с изменениями) «Кодекс Российской Федерации об административных правонарушениях».

    Видео (кликните для воспроизведения).

    Источник: http://mai.ru/pd/law.php

    Персональные данные нормативные документы
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here