Защита персональных данных в учреждении

Сегодня мы раскроем тему: "Защита персональных данных в учреждении", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Приложение. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации

Приложение
к приказу МВД РФ
от 6 июля 2012 г. N 678

Инструкция
по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации

С изменениями и дополнениями от:

15 июля 2013 г., 20 апреля 2015 г., 7 декабря 2016 г.

I. Общие положения

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 1 внесены изменения

1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1), разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»*(2), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»*(3), иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 2 внесены изменения

2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных*(4), содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных*(5), а также определяет обязанности должностных лиц.

В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17*(6).

3. Министерство внутренних дел Российской Федерации*(7) в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке*(8).

5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.

В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.

Информация об изменениях:

Приказом МВД России от 7 декабря 2016 г. N 807 в пункт 6 внесены изменения

6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации*(9), выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных*(10).

II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке

7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных*(11) осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.

Читайте так же:  Порядок выезда за границу сотрудников мвд

Информация об изменениях:

Приказом МВД России от 7 декабря 2016 г. N 807 пункт 8 изложен в новой редакции

8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 9 внесены изменения

9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах*(12).

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 пункт 10 изложены в новой редакции

10. Выбор средств защиты информации*(13) для СЗПДн осуществляется в установленном порядке*(14) подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 11 внесены изменения

11. Установление класса защищенности информационной системы*(15) и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 12 внесены изменения

12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 13 внесены изменения

13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.

Информация об изменениях:

15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.

16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.

17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.

Информация об изменениях:

19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.

Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.

21. Для каждой ИСПДн предусматривается ведение следующих журналов:

учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;

учета и выдачи машинных носителей ПДн;

проведения инструктажей по обеспечению безопасности ПДн;

проверки исправности технических средств и технического обслуживания.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 22 внесены изменения

22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.

Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.

III. Организация разрешительной системы доступа к ИСПДн

23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.

24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.

25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения — оператора ИСПДн.

26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.

При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.

IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных

27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:

планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

конфиденциальность, целостность и доступность ПДн;

организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;

определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;

Читайте так же:  Место проведения судебной экспертизы

организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.

29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.

30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.

V. Контроль обеспечения безопасности персональных данных

31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

32. Задачами контроля являются:

установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;

выявление проблемных вопросов в организации обеспечения безопасности ПДн;

обеспечение соблюдения законодательства в сфере ПДн;

выработка мер по оказанию методической и практической помощи подразделениям МВД России;

повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 пункт 33 изложен в новой редакции

33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.

Источник: http://base.garant.ru/70230320/53f89421bbdaf741eb2d1ecc4ddb4c33/

Ответственность за нарушения в области персональных данных

Автор: Т. Обухова

Комментарий к Федеральному закону от 07.02.2017 № 13-ФЗ.

Положениями ст. 90 ТК РФ установлено, что лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, предусмотренном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, определенном федеральными законами.

Напомним, что отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами (далее – государственные органы), органами местного самоуправления, другими муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, регулируются нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Пунктом 2 ст. 23 Закона о персональных данных установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение законодательства о персональных данных предусмотрен ст. 13.11 КоАП РФ. В действующей сейчас редакции названной статьи установлено, что нарушение требований гл. 14 ТК РФ, Закона о персональных данных, Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страховании» и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечет предупреждение или наложение административного штрафа:

  • на должностных лиц – в размере от 500 до 1 000 руб.;
  • на юридических лиц – в размере от 5 000 до 10 000 руб.

В силу Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» ст. 13.11 КоАП РФ изложена в новой редакции. Данным законом детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться с 1 июля 2017 года. Начиная с этой даты административная ответственность за нарушения в области персональных данных будет такой (приведем положения п. 1 – 2 ст. 13.11 КоАП РФ в форме таблицы).

Вид нарушения

Видео (кликните для воспроизведения).

Размер штрафа, руб.

Для юридических лиц

Для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных, за исключением случаев, указанных ниже в этой таблице, если эти действия не содержат уголовно наказуемого деяния

От 30 000 до 50 000

От 5 000 до 10 000

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния

От 15 000 до 75 000

От 10 000 до 20 000

Обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, отражаемых в согласии субъекта персональных данных на их обработку в письменной форме

От 15 000 до 75 000

От 10 000 до 20 000

В пунктах 3 – 7 ст. 13.11 КоАП РФ установлена административная ответственность оператора в случае нарушения им требований законодательства в области обработки, хранения и предоставления персональных данных. Напомним, что в силу ст. 3 Закона о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, автономное учреждение при обработке, хранении персональных данных и совершении с ними других действий согласно Закону о персональных данных является оператором и к нему применяется ответственность, установленная п. 3 – 7 ст. 13.11 КоАП РФ.

Читайте так же:  Иван киреев повестки в суд киренск

Рассмотрим, за какие противоправные действия оператор привлекается к административной ответственности и каков размер штрафа за такие действия (заметим, что не все перечисленные в таблице нарушения актуальны для автономных учреждений).

Вид нарушения

Размер штрафа, руб.

Для юридических лиц

Для должностных лиц

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных либо обеспечению иным образом неограниченного доступа к ним

От 15 000 до 30 000

От 3 000 до 6 000

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

От 20 000 до 40 000

От 4 000 до 6 000

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

От 25 000 до 45 000

От 4 000 до 6 000

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

От 25 000 до 50 000

От 4 000 до 10 000

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию

Источник: http://www.audit-it.ru/articles/account/court/a52/899278.html

Некоторые особенности обработки персональных данных сотрудников

Автор: Иванова И., аудитор КГ «Аюдар»

Вопрос:

Можно ли хранить копии документов (паспорта, СНИЛС, трудовой книжки и др.) в личном деле работника? Если нет, какие риски возникают для автономного учреждения в случае хранения копий? У учреждения есть положение о защите персональных данных (ПД), в котором в том числе урегулированы вопросы их хранения, и заявление работника на хранение ПД.

Порядок ведения личного дела работника действующим законодательством не установлен. В то же время, по мнению Роструда[1], работодатель вправе хранить в личном деле работника копии его документов (паспорта, СНИЛС, трудовой книжки и др.) при соблюдении следующих условий:

1) кадровая служба получила от работника согласие на хранение и обработку ПД (ст. 88 ТК РФ);

2) персональные данные сотрудников обрабатываются исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ);

3) объем ПД, указанных в копиях документов, не превышает объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки (ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ)). При определении объема и содержания обрабатываемых ПД работника учреждение должно руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст. 86 ТК РФ).

Однако Роскомнадзор придерживается другой точки зрения. Данное ведомство, а за ним и суды признают, что хранение копий паспорта, страниц военного билета, свидетельств о заключении брака, рождении ребенка превышает объем обрабатываемых ПД работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству. В частности, подобный вывод сделан в постановлениях ФАС СКО от 21.04.2014 по делу № А53-13327/2013, от 11.03.2014 по делу № А53-10287/2013. Судьи считают, что для обработки персональных данных сотрудников достаточно сверить предоставленные данные с оригиналами, а хранить копии документов не нужно.

Роскомнадзор – уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных (см. Постановление Правительства РФ от 16.03.2009 № 228).

Таким образом, если принять во внимание позицию Роскомнадзора и судов, риск привлечения автономного учреждения к административной ответственности все же возникает. В связи с этим учреждению нужно самому решить, целесообразно ли вкладывать в личные дела работников копии их документов.

В свою очередь, ответственность за нарушения в области персональных данных установлена ст. 13.11 КоАП РФ. Так, обработка персональных данных сотрудников в случаях, не предусмотренных законодательством РФ, либо обработка ПД, несовместимая с целями их сбора (за исключением случаев, подпадающих под действие ч. 2 ст. 13.11), чревата предупреждением или штрафом в размере от 5 000 до 10 000 руб. для должностных лиц и от 30 000 до 50 000 руб. для юридических лиц (ч. 1 ст. 13.11). А за обработку ПД без письменного согласия субъекта ПД (если оно должно быть получено) либо обработку с нарушением установленных требований к составу сведений, включаемых в согласие субъекта на обработку его данных, должностным лицам грозит штраф в размере от 10 000 руб. до 20 000 руб., юридическим лицам – от 15 000 руб. до 70 000 руб. (ч. 2 ст. 13.11).

Вопрос:

Чтобы исключить вероятность несанкционированного проникновения в служебные помещения автономного учреждения, руководитель принял решение изготовить работникам пропуска. На них будут фотографии, позволяющие идентифицировать владельцев. Нужно ли получать их письменное согласие на использование фото (обработку персональных данных)?

Да, получать согласие работников в данной ситуации нужно. Сбор, оформление, размещение, использование фотографий подпадают под понятие обработки персональных данных сотрудников (п. 3 ст. 3 Закона № 152-ФЗ). В то же время сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности, относятся к биометрическим ПД. В эту категорию попадают и фотографии. Согласно ч. 1 ст. 11 Закона № 152-ФЗ биометрические ПД можно обрабатывать только при наличии письменного согласия субъекта ПД.

Читайте так же:  Субъект права виндикационного иска

Аналогичного мнения придерживаются судьи (см., например, Определение ВС РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017).

Вопрос:

Правомерно ли включение в трудовой договор с работником пункта о его обязанности уведомлять работодателя об изменении своих персональных данных?

Согласно ч. 4 ст. 57 ТК РФ в трудовом договоре могут предусматриваться дополнительные условия, не ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными актами. В частности, можно внести условия:

об уточнении места работы (с указанием структурного подразделения и его местонахождения) и (или) о рабочем месте;

о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).

На основании ч. 5 ст. 57 ТК РФ по соглашению сторон в трудовой договор могут также включаться права и обязанности работника и работодателя, установленные трудовым законодательством и иными актами, содержащими нормы трудового права, локальными актами, а также права и обязанности сторон, вытекающие из условий коллективного договора, соглашений. Невключение в трудовой договор каких-либо из указанных прав и (или) обязанностей не может рассматриваться как отказ от их реализации (исполнения).

Таким образом, включение в трудовой договор с работником условия о том, что он обязан сообщать работодателю об изменении своих персональных данных, не нарушает действующие нормы законодательства.

[1] См. Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г., утв. Рострудом и опубликованный на его официальном сайте.

Источник: http://www.audit-it.ru/articles/personnel/a110/950105.html

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.
Читайте так же:  Разрыв ахилла восстановление после операции сроки

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Защита персональных данных в организациях

zashchita_personalnyh_dannyh_v_organizaciyah.jpg

Похожие публикации

Система защиты персональных данных в организации – это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством. Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк (ст. 3 закона «О персональных данных» № 152-ФЗ от 27.07.2006). Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность. Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

Защита персональных данных в организациях: закон

Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.

Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма. Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

Трудовым кодексом РФ – ст. 86-90;

Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. 18.1, 19, 22.1;

Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;

Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № 21 от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.

Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством (п.1 и п.2 ст. 13.11 КоАП РФ).

Внутренние документы по защите персональных данных в организации

Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);

Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);

Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;

Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);

Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. 22 закона «О персональных данных»). Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д.

Защита персональных данных в организации: пошаговая инструкция

Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.

Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

Разработать Положение о персональных данных, включив раздел об их защите.

Назначить сотрудника, который будет отвечать за работу с ПД.

Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.

Подготовить образцы расписок о неразглашении ПД.

Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.

Видео (кликните для воспроизведения).

Источник: http://spmag.ru/articles/zashchita-personalnyh-dannyh-v-organizaciyah

Защита персональных данных в учреждении
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here