Инструктаж по работе с персональными данными



Как работать с персональными данными работника, чтобы не оштрафовали


Работодатель, принимая персональные данные от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое. Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится. Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», гл. 14 ТК РФ. Персональными данными работника будет следующая информация: • фамилия, имя, отчество; • пол, возраст; • дата и место рождения; • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; • состояние здоровья; • гражданство; • место жительства; • номера телефонов; • семейное положение, наличие детей, родственные связи; • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); • изображение человека (фотография и видеозапись), которое позволяет установить личность; • финансовое положение; • деловые и иные личные качества, которые носят оценочный характер; • другие сведения, которые могут идентифицировать человека.

Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.

К документам организации, содержащим персональные данные работников, относятся: • анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу; • копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании; • трудовая книжка; • личная карточка по форме № Т-2; • трудовой договор и дополнительные соглашения к нему; • подлинники и копии приказов по личному составу; • документы оплаты труда; • документы об обучении, оценке, аттестации работников; • базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»); • при необходимости – иные документы, содержащие персональные данные работников. Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ: Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников.

Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных. Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч.

3 ст. 68 ТК РФ. Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

Пример положения о защите персональных данных приведен в Приложении.

Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора). Назначение ответственного лица оформляется приказом (Пример 1).

Данная обязанность отражается в должностной инструкции работника.

Шаг 4. Закрепляем права доступа к персональным данным в приказе Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам.

Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде. См. также Куролес И.И. Конфиденциальность информации.

Что нужно знать секретарю // Секретарь-референт 2018. № 1. С. 78. В ред. от 29.07.2017, далее – Федеральный закон № 152-ФЗ.

Пункт 1 части первой ст. 3 Федерального закона № 152-ФЗ.

Инструкция по защите персональных данных образец

Содержание С конца лета Закон о персональных данных действует в новой редакции.

Изменились правила получения и защиты информации.

Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).

Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ. Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  1. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  2. деловые и иные личные качества;
  3. фамилия, имя, отчество;
  4. владение недвижимым имуществом, денежные вклады и др.;
  5. семейное положение;
  6. дата и место рождения;
  7. адрес;
  8. зарплата, другие доходы;
  9. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  10. должность (профессия);
  11. другие сведения.
  12. физиологические особенности, здоровье;
  13. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  14. пол;

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл.

1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущихместах работы 5 Копии свидетельств о заключениибрака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущегоместа работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие.

Операции по обработке персональных данных:

  1. сбор;
  2. уточнение (обновление, изменение);
  3. обезличивание;
  4. хранение;
  5. использование;
  6. систематизация;
  7. удаление;
  8. извлечение;
  9. уничтожение персональных данных.
  10. накопление;
  11. блокирование;
  12. передача (распространение, предоставление, доступ);
  13. запись;

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение).

Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с.

80. Таблица 2. Структура Положения о персональных данных работников N Обязанность раздела 1 Общие положения Цель принятия Положения Вопросы, которые регулирует Положение Ссылки на нормативные акты.

Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ

«О государственной гражданской службе РоссийскойФедерации»

; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ 2 Основные понятия. Состав персональных данных работников Основные понятия.

Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) Перечень документов организации, которые содержат персональные данные 3 Получение персональных данных работников Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника.

Указываются случаи, когда согласие не нужно 4 Использование персональных данных Цели использования личной информации сотрудников 5 Обработка персональных данных Условия, соблюдаемые при обработке персональных данных работника 6 Передача персональных данных (доступ к персональным данным) Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ) 7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных Введение Положения в действие Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов. Образец приказа Если в компании есть профсоюз, с ним нужно согласовать Положение.

Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса. Работники должны быть ознакомлены с Положением под роспись (п.

8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  1. — листе ознакомления с Положением (образец на с. 91);
  2. — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
  3. в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);

Образец листа ознакомления с локальными нормативными актами N п/п Наименование локального нормативного акта Дата Подпись 1 Правила внутреннего трудового распорядка ООО «Черный лес» Источник: http://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие.

В контексте трудовых отношений к ним, как правило, относятся:

  1. информация об образовании и трудовом стаже.
  2. паспортные данные;
  3. дата рождения;
  4. ФИО;
  5. номер СНИЛС;
  6. адрес регистрации и проживания;
  7. ИНН;

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения.

Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г.

№ 125-ФЗ «Об архивном деле в Российской Федерации» обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований.

Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников. Составляя положение о защите персональных данных 2018, рекомендуется придерживаться следующей структуры: № Раздел 1 Основные положения Цели документа, законы, порядок утверждения 2 Основные понятия Определения понятий, упортребляемых в документе 3 Состав персональных данных работников Перечень личных сведений 4 Обработка данных Условия обработки информации 5 Комплекс документов Перечень документов, содержащих личные сведения 6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации 7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений 8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении 9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой.

Составляя положение о защите персональных данных 2018, рекомендуется придерживаться следующей структуры: № Раздел 1 Основные положения Цели документа, законы, порядок утверждения 2 Основные понятия Определения понятий, упортребляемых в документе 3 Состав персональных данных работников Перечень личных сведений 4 Обработка данных Условия обработки информации 5 Комплекс документов Перечень документов, содержащих личные сведения 6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации 7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений 8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении 9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа.

Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя.

Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами.

При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

Скачать Источник: https://clubtk.ru/forms/personalnyye-dannyye/obrazets-polozheniya-o-personalnykh-dannykh-rabotnikov К персональным данным относится информация, позволяющая определить конкретное лицо.

Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано. Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными. Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

  1. определение перечня лиц, допущенных к сбору, хранению и обработке;
  2. утверждение положения об обработке и защите конфиденциальных данных.
  3. назначение ответственного за организацию процесса обработки данных;

Хотя образец приказа о персональных данных работников 2018 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам. В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления. Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт) Основная часть приказа о персональных данных должна содержать:

  1. собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
  2. указание ответственному лицу ознакомить работников с распорядительным документом;
  3. указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
  4. определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ.

Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись. Приказ может состоять из следующих разделов:

  • Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
  • Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.
  • Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
  • Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
  • Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
  • Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.

Положение о персональных данных нужно довести до сведения всех сотрудников.

Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения. Скачать Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии).

В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов. Скачать Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них.

152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках. Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп.

«в» п. 6 ст. 81 ТК РФ. Источник: https://gosuchetnik.ru/shablony-i-formy/sostavlyaem-prikaz-o-personalnykh-dannykh-rabotnikov Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению. Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас.

Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом.

Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

  • Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  • Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  • Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  • Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.
  • Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен.

В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных. Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc.

А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы: 1. Перечень сведений конфиденциального характера Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных.

Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных.

Пример. 2. Инструкция администратора информационной безопасности Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как

«знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации»

, «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр.

Примеры: первый, второй. 3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций). 4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» 5.

Приказ об утверждении мест хранения персональных данных. Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения.

Пример. 6. Перечень помещений, в которых ведется обработка персональных данных. 7. Инструкция пользователей информационной системы персональных данных. Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.).

Пример. 8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены.

Подробнее про уничтожение персональных данных написано здесь. Пример Приказа. 9. Проект системы защиты информационной системы персональных данных.Пример. 10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных. План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример. 12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных. 14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных. Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия.

Пример. 15. План проведения внутренних проверок состояния защиты ПД. Образец документа можно найти здесь и здесь. 16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример. 17. Правила обработки персональных данных без использования средств автоматизации.
Пример. 17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь. 18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система –

«совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств»

(Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь.

Пример и еще один. 20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21. Инструкция по организации парольной защиты. 22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё. 24. Журнал учета средств защиты информации(перечень технических средств).Пример. 25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных. Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один. 29. Соглашение о неразглашении персональных данных. Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»).
Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается (

«я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»

»).

Пример. 30. План мероприятий по обеспечению безопасности персональных данных. В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр.

Пример. 31. Модель угроз безопасности в информационной системе персональных данных. Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее. Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример. 32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы! Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на Источник: https://obd2bluetooth.ru/dokumenty-po-personalnym-dannym/ Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите.

Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников. Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке. С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными. Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов. Внимание! Законодательство устанавливает, что в состав Положения должно входить согласие на обработку личных данных работника. Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т.

д. При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление. Нормы законодательства определяют, что включается в состав личных данных человека.

Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

  1. Полные личные данные работника (Ф.И.О.).
  2. Сведения о получаемых сотрудником доходах и т. д.
  3. Сведения о месте и дате появления его на свет.
  4. Имеющиеся у работника образование, профессия.
  5. Социальное, семейное, имущественное положение.
  6. Адрес фактический и по регистрации.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника.

Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей. Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия. Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной.

Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ.

Также нигде не оговариваются критерии, по которым необходимо производить оформление.

Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения. Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных.

Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите. В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными.

Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.) В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий.

Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей. В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т.

д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде. Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия. Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается.

Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию. Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

  1. Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
  2. Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
  3. Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.
  4. Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.

Источник: https://buhproffi.ru/dokumenty/polozhenie-o-zashhite-personalnyh-dannyh.html

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.Так как организации гостиничного типа собирают, накапливают и обрабатывают информацию о своих гостях, то в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» они являются операторами персональных данных.Нормативные акты, регламентирующие обработку персональных данныхТребования по обеспечению защиты ПДн регламентируются:

  1. Приказ Роскондадзора от 30.05.2017 №94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее предоставленные сведения».
  2. Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средства автоматизации».
  3. Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  4. Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
  5. Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Работа с ПДн проверяется и контролируется сотрудниками Роскомнадзора. За разъяснениями в вопросах защиты персональных данных рекомендуем обращаться в территориальные органы РКН. За нарушение законодательства в области персональных данных оператору грозит штраф по статье 13.11 Кодекса об административных правонарушениях РФ.Как гостинице выполнить требования 152-ФЗДля работы в качестве оператора ПДн гостиница:

  1. Срок, в течение которого действует согласие и порядок его отзыва.Содержание и объект обрабатываемых и указываемых персональных данных должна соответствовать заявленным целям обработки.
  2. Проводит лицами, непосредственно обрабатывающими ПДн, инструктаж о категориях обрабатываемых данных и всех особенностях, связанных с этими категориями.Программа должна включать в себя:
    1. Порядок обработки ПДн сотрудником на данной должности.
    2. Порядок передачи ПДн третьим сторонам.Инструктаж проводится при приеме на работу, при изменении перечня ПДн, при изменении формы обработки ПДн.

      Ответственность за несанкционированное использование персональных данных лежит как на сотруднике, так и на юридическом лице.

    3. Получает у каждого гостя согласие на обработку персональных данных.Согласие должно включать в себя:
      1. ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе.
      2. Перечень действий с ПДн, на совершение которых дается согласие, а также общее описание используемых оператором способов обработки ПДн.
      3. Перечень ПДн, которые имеются в организации и становятся доступными работнику в силу должностных обязанностей.
      4. Разрабатывает локальные нормативные акты, регламентирующие работу с ПДн.Например, локальные нормативные акты могут определять общие принципы обработки ПДн, порядок обработки ПДн на бумажных носителях или в информационных системах, порядок хранения и передачи ПДн и т.д.
      5. Наименование и адрес оператора, получающего согласие субъекта персональных данных.
      6. Ответственность сотрудника при невыполнении или некачественном выполнении обязанностей.
      7. Цель обработки ПДн.
      8. Уведомляет Роскомнадзор о своем намерении осуществлять обработку персональных данных.Заполнить форму заявления можно на сайте Роскомнадзора.
      9. Перечень ПДн, на обработку которых дается согласие субъекта ПДн.

      Безопасность хранения данных в сервисеКонтур.Отель (модулем которого является Контур.ФМС) полностью соответствует требованиям Федеральных законов №152-ФЗ «О персональных данных» и №149-ФЗ «Об информации, информационных технологиях и о защите информации».