План проверок персональных данных

Сегодня мы раскроем тему: "План проверок персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Приложение 1. План внутренних проверок условий обработки персональных данных департамента

Приложение 1
к Правилам осуществления
внутреннего контроля соответствия
обработки персональных данных
требованиям к защите персональных
данных, установленным Федеральным
законом «О персональных данных»,
и принятыми в соответствии с ним
нормативными правовыми актами

Начальник ДТЗН Томской области

«___» __________ 20__ г.

План
внутренних проверок условий обработки персональных данных департамента
(примерная форма)

Нормативный документ, предъявляющий требования

Соответствие полномочий пользователя матрице доступа

Разрешительная система (матрица) доступа

Соблюдение пользователями ИСПДн парольной политики

Правила обработки персональных данных, обрабатываемых в ИСПДн.

Инструкция пользователю АС, содержащей ИСПДн.

Соблюдение пользователями ИСПДн антивирусной политики

Соблюдение пользователями ИСПДн правил работы со съемными носителями персональных данных

Соблюдение ответственными за криптографические средства защиты информации правил работы с ними

Инструкция администратору безопасности АС, содержащей ИСПДн

Соблюдение порядка доступа в помещения, где расположены элементы ИСПДн

Инструкция ответственному за эксплуатацию объекта информатизации, содержащего ИСПДн. Перечень помещений департамента, в которых обрабатываются ПДн и доступ к ним

Соблюдение порядка резервирования баз данных и хранения резервных копий

Порядок резервирования и восстановления работоспособности технических средств и ПО, баз данных и СЗИ

Соблюдение порядка работы со средствами защиты информации

Инструкция администратору безопасности АС, содержащей ИСПДн

Знание пользователей ИСПДн о своих действиях во внештатных ситуациях

Инструкция пользователя ИСПДн по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций

Хранение бумажных носителей с персональными данными

Правила работы с персональными данными Перечень помещений департамента, в которых обрабатываются персональные данные, и доступ к ним

Доступ к бумажным носителям с персональными данными

Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными

Должность ответственного __________________ И.О. Фамилия

Председатель комиссии __________________ И.О. Фамилия

>
Протокол проведения внутренней проверки условий обработки персональных данных департамента
Содержание
Приказ Департамента труда и занятости населения Томской области от 21 августа 2013 г. N 104 «Об организации работы по.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/7761231/79e0d49c57eaf00b360953ced8a4e94f/

Приложение 14. План внутренних проверок режима защиты персональных данных в ИСПД учреждения здравоохранения, социальной сферы, труда и занятости

Министерство здравоохранения и социального развития Российской Федерации

УТВЕРЖДАЮ
_______________________
_______________________
«__» ____________ 2009 г.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

План
внутренних проверок режима защиты персональных данных в ИСПД учреждения здравоохранения, социальной сферы, труда и занятости

1 Общие положения

План внутренних проверок режима защиты персональных данных, содержит перечень внутренних проверок.

План составляется для мероприятий, в соответствии с Планом мероприятий по обеспечению защиты персональных данных, и определяет периодичность проведения проверок.

В План внутренних проверок содержит следующую информацию:

— Название проверяемого мероприятия.

— Периодичность проведения проверки.

План внутренних проверок распространяется на все информационные системы персональных данных Учреждения.

2 План внутренних проверок режима защиты персональных данных

Контроль над соблюдением режима обработки ПДн

Контроль над соблюдением режима защиты

Контроль над выполнением антивирусной защиты

Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена

Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн

Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн

Контроль за обеспечением резервного копирования

Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз

Поддержание в актуальном состоянии нормативно-организационных документов

Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями.

>
Журнал по учету мероприятий по контролю обеспечения защиты персональных данных в ИСПД учреждения здравоохранения, социальной.
Содержание
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/198476/8599a70d26e5983585d90ff6adf82e89/

Приложение N 2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска

к распоряжению администрации города Иркутска

от 02.03.2015 N 031-10-124/5

План внутренних проверок режима защиты персональных данных в администрации города Иркутска

1. Общие положения

1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее — План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.

1.2. План содержит следующую информацию:

Читайте так же:  Как подать жалобу на учителя школы

— название проводимого мероприятия;

1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.

Руководители структурных подразделений администрации города Иркутска доводят до сведения работников, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.

2. Мероприятия по проверке режима защиты персональных данных

2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:

— ежедневные мероприятия — мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее — ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;

— еженедельные и ежемесячные мероприятия — мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;

— ежегодные или проводимые раз в несколько лет — мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.

3. Журнал учета мероприятий по контролю обеспечения защиты персональных данных

3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее — Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.

В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.

В Журнал заносится следующая информация:

— название проведенного мероприятия;

— дата проведенного мероприятия;

— результат (отчет, действия) мероприятия (при необходимости).

4. План внутренних проверок режима защиты персональных данных

Источник: http://base.garant.ru/44079058/3bcb13c832352063ecaa1ae78b2ca0fe/

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.
Видео (кликните для воспроизведения).

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Читайте так же:  Порядок обжалования приговора в кассационной инстанции

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Источник: http://assistentus.ru/proverki/roskomnadzora/

Как подготовить и найти образец плана мероприятий

Различным организациям требуется знать персональные сведения о собственных сотрудниках, они уполномочены запрашивать свои кадры об их предоставлении. В то же время сами работники со своей стороны имеют право ожидать, что далее эти сведения никуда не поступят, и они останутся неизвестны как другим сотрудникам компании помимо тех, кто осведомлен о них по должности, так и снаружи организации. С целью сохранности конфиденциальности по данному направлению в различных структурах осуществляются мероприятия по защите персональных данных.

Мероприятия по защите персональных данных

Мероприятия данного рода — это любые действия в рамках организации, нацеленные на то, чтобы сведения личного характера относительно сотрудников могли знать лишь те, у кого есть такой допуск, и никто более, а эти лица в свою очередь никому их не разглашали.

Среди мероприятий по защите персональных данных различают административные (или организационные), технические (программные и аппаратные), физические и контролирующие.

Мероприятия по защите персональных данных (или ПНД) также классифицируются как внутренние и внешние. Первые из них адресованы кадрам самой компании и имеют целью обеспечить, чтобы лица, входящие в ее персонал, либо не получили доступ к тем сведениям, к которым у них нет допуска, либо не раскрыли такую информацию, если у них допуск есть. Меры внешнего характера нацелены на избежание того, чтобы информацию получили лица вне организации.

В состав мероприятий внутреннего характера, нацеленных на сохранение персональных данных сотрудников организации, входит прежде всего отправка в Роскомнадзор, являющийся уполномоченной организацией, извещения о том, что компания представляет собой оператора персональных данных (сокращенно ПДн), иначе говоря, она выполняет по отношению к подобной информации такие процедуры, как сбор, хранение и обработка.

Также к таким мероприятиям относится создание пакета документации внутреннего характера, которая применяется при операциях с ПДн и последующее ее внедрение в деятельность этой структуры, в числе следующих бумаг:

Помимо этого организуется пропускной режим для контроля доступа в помещения, где находятся носители персональных данных. Определяется перечень документов, в которых на данном предприятии могут содержаться персональные данные (в остальных их быть не может). В организации создают закрытый список сотрудников организации, которым разрешается взаимодействовать с персональными данными, в том числе назначают лиц, которые осуществляют процедуры по сохранению секретности таких ПДн.

Сотрудники на предприятии знакомятся с существующими нормами в сфере защиты ПДн, в частности все лица, которые располагают доступом к таким сведениям, должны обладать требуемым объемом знаний в отношении правовых норм по данному вопросу. Проводится регулярная проверка наличия у сотрудников знаний, приобретенных ими в ходе инструктажа, осуществляемого в соответствии с предыдущим пунктом, в также исполнения ими требований. Кроме того, выполняют профилактическую работу с персоналом, нацеленная на предотвращение раскрытия ими ПДн;

Рабочие места на предприятии размещают с таким расчетом, чтобы затруднить сотрудникам случайный, равно как и намеренный доступ к персональным данным. Для защиты сведений используют программные средства, в том числе пароли и антивирусы. Сами ПДн сохраняют отдельно от иной информации. Наконец, для сведений, необходимость в которых отпала, определяют порядок осуществления их уничтожения.

Читайте так же:  Наименование некоммерческого партнерства

Мероприятия внешнего характера включают пропускной режим на входе в предприятие в целом (а не конкретно в его помещения, где содержатся ПНД), а также использование технических охранных средств, а также ПО для того, чтобы обезопасить нужную информацию от доступа снаружи.

Среди субъектов, участвующих в деятельности по данному направлению на предприятии, следует выделить, прежде всего, самих специалистов по безопасности данных, которые как разрабатывают документу по этому профилю, так и осуществляют их реализацию.

Кроме того, необходимо упомянуть руководителей предприятия, в том числе генерального директора, который осуществляет общее руководство данным направлением, а также принимает своими приказами и распоряжениями локальные правовые акты и назначает людей на должности, связанные с охраной ПДн;

Помимо этого, по данному направлению задействуются лица из упомянутого выше закрытого списка сотрудников, получающих доступ к таким сведениям, на практике допуск к ПНд обычно предоставляется:

  • специалистам по кадрам;
  • сотрудникам бухгалтерского отдела;
  • секретарям, занятым делопроизводством;
  • лицам, которые осуществляют заключение трудовых соглашений с соискателями;
  • юристам;
  • инженерам;
  • программистам.

Что такое план мероприятий

План мероприятий по защите персональных данных — это список действий по данному профилю.

План мероприятий по защите персональных данных принимается в виде локального правового акта по организации. Его оформляет руководитель этой структуры своим приказом. Непосредственную разработку документа осуществляют специалисты в данной сфере, после чего он поступает к главе организации на утверждение. План имеет форму таблицы. Сверху находится шапка с реквизитами. Далее идет название документа. Ниже сама таблица с тремя графами.

В первой содержится наименование мероприятий (по данному профилю, то есть нацеленных на защиту персональных данных), в частности это могут быть:

  • проведение инструктажа;
  • обследование информационных систем;
  • организация охраны;
  • и т.п.

Во второй указывается лицо, ответственное за соответствующее мероприятие.

Наконец, в третьей приводится срок его выполнения (если это либо отдельное мероприятие, либо длительная, но одноразовая процедура) или его регулярность, если такое действие является повторяющимся.

Образец для внутренних проверок

Этот документ, также как и предыдущий выполняется в табличной форме. Образец плана внутренних проверок режима защиты персональных данных имеет определенную структуру.

Сверху располагается шапка, в которой первое слово — утверждено либо утверждаю. Далее в этой шапке идет название должности утверждающего лица, это может быть руководитель государственного ведомства, а также генеральный директор компании, потом следует его фамилия, имя и отчество, еще ниже идет дата составления документа.

Следом по центру располагается обозначение самого документа: в первой строчке — план внутренних проверок, под ней — уточнение — «режима (либо состояния) защиты персональных данных в такой-то организации».

Еще ниже идет основное содержание документа, который выполняется в виде таблицы с тремя графами.

Первая имеет название «Мероприятие», в этом столбце указываются сами мероприятия;

Вторая обозначается как срок/периодичность, соответственно в ней приводятся либо даты, когда произойдет та или иная процедура, либо их регулярность (они могут быть ежедневными, еженедельными, ежемесячными и ежегодными);

Наконец, у третьей колонки обозначение — ответственный/исполнитель, там пишутся ФИО лица, отвечающего за мероприятие, которое указано в той же строчке в первом столбце.

Таким образом, данный документ сходен с описанным в предыдущем разделе.

Подробнее о проверках режима защиты персональных данных смотрите ниже на видео.

Источник: http://znaybiz.ru/kadry/rezhim/trudovaya-disciplina/obrazec-plana-meropriyatij.html

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0

  • 20.06.2019
  • | Обработка ПДн
  • | 1 416

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

адрес места регистрации и/или проживания;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

    1. Акт установления уровня защищенности информационных систем персональных данных.
    2. Акт классификации государственной информационной системы или муниципальной информационной системы.
    3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
    4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
    5. Журнал регистрации инцидентов информационной безопасности.
    6. Заключение об оценке вреда субъектам персональных данных.
    7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
    8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
    9. Инструкция по учёту машинных носителей и регистрации их выдачи.
    10. Модель угроз.
    11. Отзыв согласия субъекта персональных данных.
    12. Перечень информационных систем персональных данных.
    13. Перечень мероприятий по защите персональных данных.
    14. План внутренних проверок состояния защиты персональных данных.
    15. Политика обработки персональных данных.
    16. Положение об ответственном за организацию обработки персональных данных.
    17. Положение о порядке обработки персональных данных.
    18. Положение по работе с инцидентами информационной безопасности.
    19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
    20. Приказ «О журнале учета посетителей».
    21. Приказ «О журнале регистрации инцидентов информационной безопасности».
    22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
    23. Приказ «О назначении ответственного за организацию обработки персональных данных».
    24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
    25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
    26. Приказ «Об организации мероприятий по защите персональных данных».
    27. Приказ «Об ответственности за обработку и защиту персональных данных».
    28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
    29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
    30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
    31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
    32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
    33. Приказ «Об утверждении форм актов уничтожения персональных данных».
    34. Приказ «Об утверждении форм согласий на обработку персональных данных».
    35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
    36. Типовая форма поручения обработки персональных данных.
    37. Уведомление об обработке персональных данных.
Читайте так же:  Постановление суда об отказе следователю
Скачать чек-лист
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Источник: http://docshell.ru/personal-data/check_list_docs_proverka_rkn_pdn_urlitso/

Какие документы нужны для организации защиты персональных данных? Образцы бумаг

Сегодня, когда нужная информация распространяется молниеносно через социальные сети, государственные органы и общественность стали обращать пристальное внимание на защиту конфиденциальности участников этого процесса.

В России данный вопрос также не остался без внимания. Контроль за соблюдением Федерального закона №152-ФЗ «О персональных данных» (далее по тексту – Закон) был особенно ужесточен в последнее время.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какие документы нужны в организации, работающей с массивами?

Условно подобного рода документацию можно распределить по 3 направлениям:

  • Организационного характера: положение, приказы, письма.
  • Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
  • Методического свойства: например, правила обработки персональных данных.

Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.

Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.

Обязательный перечень

Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:

  1. техническое задание, инструкция или положение о порядке обработки данных;
  2. план мероприятий по обеспечению информационной безопасности;
  3. соглашение (согласие, заявление) на обработку сведений о владельце;
  4. приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.

Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.

О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.

Дополнительный список

К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.

Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.

Определение и содержание: как написать?

Техническое задание

При составлении тех задания нужно четко понимать цели компании в сфере обработки персональных данных. Очевидно, что техзадание одного из основных сотовых операторов на российском рынке телекоммуникаций будет в корне отличаться от техзадания маленькой турфирмы, обрабатывающей документы десяти – двадцати человек в месяц. В то же время в техническом задании должны быть учтены все требования Закона.

Читайте так же:  Моральный вред физические или нравственные

Содержание технического задания:

  1. общая информация о проекте;
  2. назначение и цели проектирования;
  3. характеристики объекта;
  4. требования к проекту в целом;
  5. требования к подсистемам;
  6. состав и содержание выполняемых работ по проекту;
  7. порядок контроля и приемки проекта;
  8. требования к содержанию мероприятий по вводу проекта в действие.

Инструкция

В инструкции указываются конкретные действия компании для обеспечения сохранности конфиденциальной информации, в том числе и технические алгоритмы (пропускная система, внедрение паролей и уровней доступа, защита от кибератак, программное обеспечение и локализация серверов и т.д.).

Зачастую крупные компании, обладающие крупными массивами накопленных персональных данных, такие как банки, сотовые операторы, авиакомпании, органы статистики, налоговой, подвергаются нападениям хакеров, старающихся взломать систему защиты и получить доступ к паролям и финансовому положению клиентов компаний. Поэтому подобный документ имеет первостепенное значение для указанных организаций.

Например, страховое общество может добавить в такую инструкцию:

  1. нормы о целях защиты персональных данных застрахованных лиц;
  2. определить список документов, в которых имеются персональные данные (анкета заявителя, номера его телефонов, копия паспорта, технического паспорта на автомобиль, правоустанавливающие документы на квартиру или дом и т.д.);
  3. указать работников, которые имеют доступ к таким данным и ответственны за их разглашение и т.д.;
  4. описать режим и порядок работы с персональными данными клиентов (как их собирать, обрабатывать, хранить и уничтожать).

Содержание инструкции:

  • общие положения;
  • понятия и определения;
  • условия и порядок обработки информации;
  • меры по защите;
  • перечень организационных и технических документов;
  • приложения в виде образцов типовых документов: приказы, договора, форма согласия на обработку данных.
  • Скачать бланк инструкции по защите персональных данных
  • Скачать образец инструкции по защите персональных данных

Пошаговую инструкцию по реализации защиты персональных данных в различных организациях мы привели в отдельном материале.

План мероприятий

Если какой-либо банк, обладающий тысячами документов со служебными сведениями своих клиентов, будет налаживать или совершенствовать систему защиты, то потребуется составить подробный перечень всех действий. И указать сроки их выполнения. То есть представить на утверждение правления многоступенчатую систему защиты информации. При этом совокупность мероприятий будет подразделяться на организационную и техническую деятельность.

Содержание плана мероприятий:

Акт проверки состояния

Дополнительный документ, составляемый при разработке положения или инструкции об организации защиты персональных данных.

Содержание акта:

  1. сведения о должностном лице, утверждающем акт;
  2. вводная часть: описание оснований для проверки;
  3. объекты проверки;
  4. текущее состояние защиты конфиденциальных сведений;
  5. выявленные нарушения;
  6. необходимые меры защиты.
  • Скачать бланк акта проверки состояния защиты персональных данных
  • Скачать образец акта проверки состояния защиты персональных данных

Соглашение, согласие, заявление

Соглашение, заявление на защиту и обработку персональных данных – один из важнейших документов. Его необходимость определена в силу положений части 1 статьи 9 Закона. Только имея такое согласие, оператор, обрабатывающий сведений, может защитить себя впоследствии от обвинений в несанкционированном доступе к конфиденциальной информации.

На заявлении должна быть проставлена подпись владельца персональных данных. Можно также получить согласие через интернет, путем заполнения специальной формы на сайте компании. Указанное согласие лучше всего подписывать взаимосвязано с договором на защиту и обработку персональных данных.

В этом случае при подписании подобного документа компания, получающая доступ к информации о заявителе, почти гарантированно получает иммунитет от юридического преследования при обработке. Необходимо только постараться детально описать всевозможные эксцессы, вследствие которых сохранность сведений о клиенте может оказаться под угрозой.

План внутренних проверок состояния системы

Для постоянного контроля за защитой конфиденциальных данных требуется периодически проверять систему защиты на предприятии. С этой целью рекомендуется разработать план проведения проверок, в том числе плановых и внеплановых, для выявления «слабых звеньев» в системе защиты.

Предписание о разработке

Документ является информирующим актом, в котором указывается, что компания является оператором обработки персональных данных и подпадает под требования Закона. В связи с этим, на предприятии требуется обеспечить создание системы защиты персональных данных.

Иск за моральный вред

Составляется иск по правилам общего искового производства. Например, если газета или другое печатное издание, публикуя сведения о происшествиях в школе, укажет имена и класс обучения учеников без согласия их законных представителей, то это будет основанием для подачи иска об устранении нарушений закона о защите персональных данных и возмещении морального ущерба.

Содержание искового заявления:

Договор

В системе защиты персональных данных важно заручиться согласием владельцев конфиденциальных сведений и лиц, обрабатывающих эти сведения. Все юридические детали подобного согласия, процедуры его получения и возможной ответственности за утечку сведений лучше заранее оговорить в специальном договоре.

Содержание договора:

В случае, когда предприятие в связи со своей основной деятельностью не может отнести обработку персональных данных к исключениям, указанным в ст. 1 и 22 Закона, оно обязано предоставить все необходимые документы в Роскомнадзор. Только тогда требования законодательства будут считаться выполненными, и при проведении проверки на компанию не будет наложен штраф.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Видео (кликните для воспроизведения).

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/dokumenty-svyazannye-s-zashh.html

План проверок персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here