Перечислите должностные обязанности работника в рамках обработки и защиты пдн

Обновлено: 24.05.2024

Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных. Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.

1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.

• различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.),
• перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.),
• инструкции и регламенты.

3. Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).

4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.22.1 Закона № 152-ФЗ, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. То есть у оператора также должен быть такой документ, как согласие субъекта персональных данных на обработку его персональных данных.

6. Документы, подтверждающие предоставление субъекту персональных данных информации, в случае если персональные данные получены не от субъекта персональных данных.

Согласно ст.18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

7. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Согласно ч.1 ст.19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

• Документ о классификации информационных систем;
• Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
• Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

• Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

• Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

• Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

• Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Основные обязательные документы:

• Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ). ​

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

• Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

• для должностных лиц — от 20 000 до 40 000 руб.
• для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

• для должностных лиц — от 40 000 до 100 000 руб.
• для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
• для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

• перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

• для должностных лиц — от 300 до 500 руб.;
• для юридических лиц — от 3 000 до 5 000 руб.

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

• В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

1. Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
2. Проверьте порядок получения персональных данных от каждого субъекта.
3. Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
4. Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

1. Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
2. Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
3. Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
4. Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
5. Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
6. Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
7. Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
8. Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

• При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

• Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
• Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

• Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

• документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

• Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
• Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

• к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Рекомендации кадровикам по работе с персональными данными работников

Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.

Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

Узнайте как работаем и отдыхаем из нашего производственного календаря на 2022 год .

Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

Персональные данные: законодательное определение

Порядок действий с этой информацией определен в таких законодательных документах, как:

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

• ФИО физического лица;
• дата рождения;
• место проживания и/или прописки;
• полученное человеком образование;
• состав семьи;
• социальный статус;
• сведения, касающиеся владения имуществом;
• ранее занимаемые им должности;
• уровень получаемых доходов и их источники;
• иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

• положение о защите персональных данных наемных сотрудников;
• обязательство о сохранении в тайне (неразглашении) полученных персональных сведений; .

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

• общие сведения;
• перечисление данных, считающихся персональными в конкретной компании;
• регламент применения данной информации;
• особенности доступа к этим сведениям;
• меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
• приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Персональные данные – основная и неотъемлемая часть любой организации. Ключевой проблемой, стоящей перед организацией и ее сотрудниками, является обработка и защита персональных данных в соответствии законодательством Российской Федерации.

Персональные данные как они есть

По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.

Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:

Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.

ОРД по ПДн

ОРД по ПДн без использования средств автоматизации

Постановление Правительства РФ от 15.09.2008 N 687

В целом для документа

ОРД по ПДн в информационных системах.

Постановление Правительства РФ от 1.11.2012 г. № 1119

Приказ ФСТЭК России от 18.02.2013 г. № 21

Локальный нормативный акт	Требование
Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.	П.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных.	П.8.1 Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Инструкция администратору безопасности ИСПДн. Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн.	П.8.2 Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
Инструкция администратору безопасности ИСПДн. Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных.	П.8.3 Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
Инструкция администратору безопасности ИСПДн. Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии); - акты приема-передачи носителя(ей) персональных данных (при наличии).	П.8.4 Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
Инструкция администратору безопасности ИСПДн Инструкция по защите информации о событиях безопасности в информационной системе персональных данных.	П.8.5 Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Инструкция по организации антивирусной защиты в информационной системе персональных данных.	П.8.6 Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Инструкция администратору безопасности ИСПДн.	П.8.7 Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
Политика контроля (анализа) защищенности информационной системы персональных данных.	П.8.8 Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации.	П.8.9 Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных. Политика безопасной эксплуатации ТС. Политика защиты ПО.	П.8.10 Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Политика безопасной эксплуатации ТС и политика защиты ПО. Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных; - инструкция по организации антивирусной защиты в информационной системе персональных данных.	П.8.11 Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных; - журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Политика безопасной эксплуатации ТС.	П.8.12 Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Политика обеспечения сетевой безопасности Инструкция по защите информации о событиях безопасности в информационной системе персональных данных Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Политика защиты ПО Политика безопасной эксплуатации ТС	П.8.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
Перечень лиц, ответственных за выявление инцидентов и реагирование на них. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: - журнал учета инцидентов; - акты выявления инцидентов (при наличии); - акты устранения инцидентов (при наличии); - акт проведения расследования инцидента безопасности, связанного с персональными данными. Инструкция пользователю ИСПДн.	П.8.14 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных. Политика управления конфигурацией информационной системы и системы защиты персональных данных.	П.8.15 Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

Приказ ФСБ РФ от 10.07.2014 г. N 378

Согласно СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации), который носит рекомендательный характер, определены следующие требования к составу ОРД:

Локальный нормативный акт	Требование
Технический паспорт ИСПДн.
Положение о порядке организации и проведения работ по защите конфиденциальной информации.	П.3.5
Перечень сведений конфиденциального характера.	П.3.6
Техническое задание на создание системы защиты информации.	П.3.7
Перечень сведений конфиденциального характера. Модель угроз безопасности ПДн. Модель нарушителя. Приказ об определении границ контролируемой зоны информационной системы. Акт классификации АС.	П.3.8
Перечень сведений конфиденциального характера.	3.10
Акт классификации АС.	3.15
Технический проект на систему защиты информации. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии), акты приема-передачи носителя(ей) персональных данных (при наличии). Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе …(весь пакет ОРД)	3.16
Техническое задание	3.17
Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ. Технически проект на систему защиты информации. Технический паспорт ИСПДн. Инструкция администратора безопасности ИСПДн. Инструкция пользователя ИСПДн.	3.18
Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию.	3.19
Акты внедрения средств защиты информации. Протоколы аттестационных испытаний и заключение по их результатам. Аттестат соответствия объекта информатизации.	3.20
Приказ на проектирование системы защиты информации. Приказ о назначении лиц, ответственных за проектирование системы защиты информации. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ на обработку в АС конфиденциальной информации.	3.21

Что в итоге с ОРД.

На основании вышеизложенного можно сделать вывод о том, что к основным организационно-распорядительным документам, регламентирующим процесс обработки и защиты информации, относятся:

В зависимости от уровня защищенности персональных данных, а также функциональных особенностей информационной системы персональных данных может дополняться содержание организационно-распорядительных документов, перечисленных выше, а также их перечень следующими документами:

Данный пакет документов возможно разработать самостоятельно, но при этом должно быть четкое понимание происходящих в Компании процессов и высокий уровень знаний в области защиты информации. Разработанные инструкции должны быть реализуемыми и не содержать избыточной информации.

Рекомендуется изучить лучшие практики в области защиты информации. Применение шаблонных инструкций, размещенных в открытом доступе не всегда допустимо, в связи с тем, что они не учитываю специфику Компании и могут содержать неактуальные требования устаревших нормативных актов. Однако, такие шаблонные инструкции могут помочь в соблюдении структуры повествования.

Процесс разработки ЛНА может занять от 3 месяцев до полугода, в зависимости от масштаба Компании и сложности информационных процессов, требующих обеспечение защиты информации.

При этом сотрудники, занимающиеся изучением данной области, формированием комплекта ЛНА , на этот процесс тратят в денежно эквиваленте куда больше, чем если бы эти документы были заказаны у опытного интегратора, сотрудники которого имеют высокий уровень компетенций в области защиты информации, владеют актуальной информацией об изменениях в законодательстве РФ, касающиеся защиты информации.

При этом после получения такого рода услуги имеется возможность получить консультативную поддержку по введению в действие политик и регламентов по защите информации.

Если вы реально оценили свои возможности и готовы выполнить все требования законодательства сами, но у вас остались вопросы, вы можете обратиться к нам за консультацией

Или вы можете заказать у нас комплекс работ, чтобы полностью закрыть вопрос о выполнении требований ФЗ-152 и других нормативных актов по персональным данным.

Читайте также:

  
• Как устроиться на работу в австрии
  
• Какие документы регламентируют трудовые отношения сотрудника в организации
  
• Как банки узнают место работы должника
  
• Предоставление отгула за работу в выходной день в рб
  
• Оплачивается ли льготный отпуск за границу