Персональные данные журналы

Приложение. Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных

Приложение
к Правилам рассмотрения запросов
субъектов персональных данных
или иных представителей

Журнал
учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных

Сведения о запрашивающем лице

Краткое содержание обращения

Цель получения информации

Отметка о передаче или отказе в предоставлении информации

Дата передачи/отказа в предоставлении информации

Подпись запрашивающего лица/реквизиты запроса

Подпись ответственного сотрудника

>
N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных.
Содержание
Постановление Администрации Севского муниципального района Брянской области от 19 июля 2013 г. N 431 «О принятии мер.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/24438995/7fe0c8609bd1fbc7af8dc70775472cf3/

Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

Об этом вы узнаете в нашей статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

    Организационная.

Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

  1. должностные инструкции;
  2. положение;
  3. уведомления, письма;
  4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.
  • Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.
    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.
  • Детализация процессов обработки, порядок и правила работы с ПД.

    Назначение ответственных лиц

    Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

    Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

    Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

    В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

    Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

    Определение уровня защищенности

    К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

    Акт определения уровня защищенности не относится к конфиденциальным документам.

    Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

    Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

    В акте указываются:

    Начало обработки

    Для начала обработки данных требуется следующее документальное оформление:

    1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
    2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
    3. Образцы уведомления уполномоченного органа.
    4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
    5. Порядок отношений с распорядителем баз ПД.
    6. Порядок работы с запросами субъектов ПД.
    7. Договор с субъектами, обрабатывающими базы ПД.

    Организационно-распорядительная документация

    1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
    Скачать бланк инструкции о защите персональных данных

    Читайте так же:  Отменить взыскать судебные расходы

    Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/paket-dokumentov.html

    Журналы учета персональных данных

    Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

    Журнал учета внутреннего доступа к персональным данным работников

    В журнале учета внутреннего доступа к персональным данным работников указывают:

    • дату выдачи и возврата документов (личных дел) работникам организации;
    • цели выдачи, наименование выдаваемых документов, срок пользования.

    Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

    Журнал учета выдачи персональных данных работников организациям, государственным органам

    В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют:

    • поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос);
    • дату передачи персональных данных;
    • содержание переданной информации;
    • дату уведомления об отказе в предоставлении информации (в случае такового).

    Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

    Мы пишем полезные статьи, чтобы помочь вам разобраться в сложных проблемах бухучета, переводим сложные документы «с чиновничьего на русский». Вы можете помочь нам в этом. Это легко.

    *Нажимая кнопку отплатить вы совершаете добровольное пожертвование


    Источник: http://www.buhgalteria.ru/article/zhurnaly-ucheta-personalnykh-dannykh

    Приложение. Журнал учета уничтожения персональных данных

    ГАРАНТ:

    См. данную форму в редакторе MS-Word

    к Правилам обработки персональных данных в отделе

    регистрации и архива организационно-контрольного

    управления аппарата администрации города Иркутска

    Дата уничтожения персональных данных

    Персональные данные, подлежащие уничтожению

    Ф.И.О. субъекта, персональные данные которого уничтожаются

    Ф.И.О. и подпись сотрудника, осуществившего уничтожение персональных данных

    И.о. заместителя мэра — руководителя аппарата
    администрации города Иркутска

    Начальник отдела регистрации и архива
    организационно-контрольного управления
    аппарата администрации города Иркутска

    >
    N 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных.
    Содержание
    Распоряжение администрации города Иркутска от 16 марта 2015 г. N 031-10-170/5 «О принятии мер, направленных на обеспечение.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    © ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

    Источник: http://base.garant.ru/44079246/173be416c6814b9e8a4f3c718128f5f4/

    Персональные данные журналы

    Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

    Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

    Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

    Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать

    Источник: http://kontur.ru/articles/personalnye-dannye

    Образец положения о персональных данных работников

    Что такое персональных данные

    Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

    • ФИО;
    • дата рождения;
    • паспортные данные;
    • адрес регистрации и проживания;
    • ИНН;
    • номер СНИЛС;
    • информация об образовании и трудовом стаже.

    Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

    Для чего нужно положение о работе с персональными данными

    Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

    Структура положения о персональных данных

    Составляя положение о защите персональных данных 2020, рекомендуется придерживаться следующей структуры:

    Раздел Содержание
    1 Основные положения Цели документа, законы, порядок утверждения
    2 Основные понятия Определения понятий, упортребляемых в документе
    3 Состав персональных данных работников Перечень личных сведений
    4 Обработка данных Условия обработки информации
    5 Комплекс документов Перечень документов, содержащих личные сведения
    6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации
    7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений
    8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
    9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством
    Читайте так же:  Заявление о возмещении ущерба имуществу работника

    Как ввести в действие положение об обработке и защите персональных данных 2020

    На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

    Источник: http://clubtk.ru/forms/personalnyye-dannyye/obrazets-polozheniya-o-personalnykh-dannykh-rabotnikov

    Как организовать защиту персональных данных сотрудников

    Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).

    Что считать персональными данными

    Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

    • паспортные данные;
    • семейное положение;
    • сведения об образовании;
    • номер страхового свидетельства обязательного пенсионного страхования;
    • сведения о трудовой деятельности и др.

    Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

    Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

    Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

    Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

    Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

    Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

    • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
    • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

    Видео (кликните для воспроизведения).

    Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

    Журналы учета персональных данных

    Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

    Журнал учета внутреннего доступа к персональным данным работников

    В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

    Журнал учета выдачи персональных данных работников организациям и государственным органам

    В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

    Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

    Какие сведения указывают в Положении о защите персональных данных

    Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

    Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

    В Положении должны быть указаны:

    • цель и задачи фирмы в области защиты персональных данных;
    • понятие и состав персональных данных;
    • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    • как происходит сбор персональных данных;
    • как они обрабатываются и используются;
    • кто (по должностям) в компании имеет к ним доступ;
    • как персональные данные защищаются от несанкционированного доступа;
    • права работника в целях обеспечения защиты своих персональных данных;
    • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
    Читайте так же:  Самостоятельное кассационное обжалование

    Кто утверждает Положение о защите персональных данных

    Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя. Положение о защите персональных данных выглядит так:

    Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

    Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

    В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так:

    Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

    Уведомление об обработке персональных данных

    Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

    Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.

    В поле «категории ПД» указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются» следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором».

    В поле «правовое основание обработки ПД» указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ», «ст. 85.1 Воздушного кодекса РФ», «ст. 12 Федерального закона “Об актах гражданского состояния”» и др. В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).

    В поле «дата начала обработки ПД» указываются число, месяц, год фактического начала любого действия.

    Источник: http://www.buhgalteria.ru/article/kak-organizovat-zashchitu-personalnykh-dannykh-sotrudnikov

    Журнал учета передачи персональных данных

    Общество с ограниченной ответственностью «Бета»
    ООО «Бета»

    ЖУРНАЛ
    учета передачи персональных данных

    Сведения об организации (лице), запрашивающем персональные данные работника

    Ф.И.О. работника, персональные данные которого запрашиваются

    Состав запрашиваемых персональных данных работника

    Цель получения персональных данных работника

    Отметка о передаче (отказе в передаче) персональных данных работника

    Дата передачи (отказа в передаче) персональных данных работника

    П одпись лица, получившего персональные данные работника

    П одпись лица, п ередавшего персональные данные работника

    Источник: http://www.moedelo.org/spravka/form/zhurnal-ucheta-peredachi-personalnykh-dannykh-word/506806143843

    Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

    Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

    Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Какой комплект бумаг должен быть в организации?

    Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

    1. Перечень обрабатываемых ПД.
    2. Приказ о назначении комиссии по защите.
    3. План мероприятий по защите.
    4. Положение о комиссии по защите.
    5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
    6. Согласие на ОПД.
    7. Перечень информационных систем.
    8. Обязательство о неразглашении.
    9. Соглашение о соблюдении безопасности.
    10. Перечень средств защиты информации.
    11. Техпаспорт информационных систем.
    12. Перечень помещений.
    13. Приказ о назначении ответственных лиц.
    14. Положение об ОПД.
    15. Положение по защите.
    16. Политика в отношении ОПД.
    17. Инструкция ответственного лица.
    18. Инструкция администратора безопасности.
    19. Регламент определения уровней защищенности.
    20. Техзадание на систему защиты.
    21. Модель угроз безопасности.
    22. Акт определения уровней защищенности.
    23. Протокол определения ущерба субъекту ПД.
    24. Уведомление об ОПД.
    25. Инструкция пользователя информационных систем.
    26. Регламент учета, хранения и уничтожения носителей.
    27. Регламент допуска сотрудников и других лиц.
    28. Регламент реагирования на запросы субъектов ПД.
    29. Регламент резервного копирования.
    30. Регламент проведения контрольных мероприятий.
    31. Регламент по трансграничной передаче данных.

    И некоторые другие документы в зависимости от специфики деятельности оператора.

    Образцы и бланки

    Ниже приведены бланки и образцы документов по обработке персональных данных:

    Что содержит пакет сопровождающей документации?

    Для каждого из этих действий предусмотрены нормативные документы.

    Сбор и обработка

    • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
    • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
    • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
    • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
    • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
    • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
    • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.
    Читайте так же:  Восстановление срока выдачи исполнительного листа

    Хранение

    Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

    Защита

    • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
    • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
    • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
    • Приказ о назначении лиц, ответственных за обработку и защиту.
    • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
    • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
    • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

    Передача

    • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
    • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
    • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

    Разглашение

    Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

    К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

    Журнал учета персональных данных

    Крупные организации часто ведут журнал учета персональных данных. Такой документ действительно позволяет осуществлять обработку персональных данных работника систематизировано и обеспечивает контроль. Обязателен ли такой журнал с точки зрения законодательства РФ? И, что немаловажно, Государственной инспекции труда?

    Пример журнала

    Обязателен ли журнал учета персональных данных

    В рубрике, посвященной персональным данным, мы опубликовали информацию об обязанностях работодателя и иного оператора в указанной сфере. Вы можете найти и образец приказа об утверждении положения о персональных данных, требования к обработке персональных данных и их защите в организации.

    И если большинство инспекторов трудовой инспекции склоняются к тому, что положение о персональных данных – обязательный локальный акт организации, то требование вести журнал по сути незаконно. Только работодатель решает, нужен ему журнал учета персональных данных. Возможно, чтобы проще было осуществлять контроль. Даже с учетом назначения ответственного за обработку персональных данных лица. Или такой документ (журнал) ему не нужен. Так как его ведение требует и времени, и минимальных финансовых затрат.

    Журналов может быть даже 2. Один – для перемещений персональных данных внутри организации. Например, выдача личных дел, с какой целью и т.п. Согласитесь, при наличии такого журнала можно выявить виновное лицо в случае привлечения организации к ответственности за разглашение персональных данных. Второй – для случаев передачи персональных данных работника третьему лицу.

    Оформление и ведение журнала

    В журнал учета внутреннего доступа к персональным данным логично включить следующие сведения (графы):

    • в связи с чем поступил запрос (цель) и от кого, когда
    • принятое решение
    • дата выдачи личного дела/копий документов
    • дата возврата личного дела
    • роспись лица, которое предоставило доступ (фактически)

    Можно указать и срок пользования, основание доступа к персональным данным. И любые другие сведения, которые пожелает работодатель. Ведь форма журнала законодательно не установлено.

    Журнал для внешнего взаимодействия по своей структуре может повторять внутренний. Обязательна фиксация сведений о лице (органе), откуда поступил запрос, дату передачи информации либо отказа в ее предоставлении.

    Допустимо оформить и единый журнал учета персональных данных, как внутри организации, так и по запросам, обращениям третьих лиц. Форму журнала желательно утвердить приказом руководителя организации. Либо закрепить ее в качестве приложения к положению о персональных данных.

    Ведет журнал учета персональных данных, как правило, ответственное за обработку данных лицо в организации (можно назначить отдельно приказом).

    Источник: http://iskiplus.ru/zhurnal-ucheta-personalnyx-dannyx/

    Как подготовиться к проверке Роскомнадзора?

    Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

    Есть восемь моментов, на которые обращает внимание Роскомнадзор.

    1. Ознакомление работников

    Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

    • Политика в отношении обработки персональных данных;
    • Положение об обработке персональных данных;
    • Положение об обработке персональных данных без использования средств автоматизации.
    Читайте так же:  Значение судебного приказа

    2. Обучение работников в области защиты персональных данных

    Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

    • приказом о допуске к обработке ПДн;
    • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
    • планом проведения внутреннего контроля;
    • приказом об утверждении перечня помещений, в которых ведется обработка;
    • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.

    Убедитесь в том, что персональные данные в вашей компании защищены

    3. Актуализация уведомления в Роскомнадзор об обработке ПДн

    При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.

    В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.

    С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

    4. Согласие субъектов на обработку ПДн

    В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

    • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
    • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
    • составление общедоступных справочников внутри организации, адресных книг и т п.

    При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

    • ФИО, адрес, паспортные данные субъекта ПДн;
    • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
    • наименование (ФИО) и адрес оператора;
    • цель обработки ПДн;
    • перечень ПДн, на обработку которых дается согласие;
    • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
    • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
    • срок, в течение которого действует согласие субъекта ПДн;
    • подпись субъекта ПДн.

    5. Поручение обработки третьему лицу

    В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

    Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

    Поручение оператора содержит:

    • перечень действий с ПДн;
    • цели обработки ПДн;
    • обязанность соблюдения конфиденциальности ПДн;
    • обязанность обеспечения безопасности ПДн;
    • требования к защите ПДн.

    При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

    6. Обработка ПДн на бумажных носителях

    Бумажные носители ПДн также должны отвечать ряду требований законодательства:

    • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
    • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
    • для всех документов должны быть указаны сроки их хранения;
    • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
    • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
    • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

    Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

    Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

    7. Избыточность обрабатываемых персональных данных

    Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

    8. Публикация Политики

    Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

    Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

    Видео (кликните для воспроизведения).

    Источник: http://kontur.ru/articles/2832

    Персональные данные журналы
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here