Timeplus-kazan.ru

Консультации адвоката
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Меры по обеспечению защиты персональных данных в организации

Разработка положения о персональных данных работников

Если я нарушаю закон

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей;
  • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

  • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
  • трудовая книжка со стажем с предшествующих мест работы;
  • дипломы, сертификаты об образовании;
  • трудовой договор.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Храните данные правильно

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Образец положения о персональных данных работников (2020) и его разработка

На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

В положение включают следующую информацию:

  • цели и задачи предприятия при работе с конфиденциальными данными;
  • перечни таких данных;
  • описание операций с данными, которые часто используются на предприятии;
  • способы доступа к данным;
  • перечни и обязанности персонала фирмы при использовании информации;
  • права сотрудников фирмы на доступ к информации;
  • ответственность работников предприятия за разглашение информации.

Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.

Персональные данные: март 2021 года – что НЕ надо делать многим работодателям

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

В связи с ростом криминального интереса к данным граждан защита персональных данных (далее по тексту – ПД) приобретает особое значение, что находит отражение и в изменениях законодательства.

В частности, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» был изменен в 2020 году пять раз, и очередная новация вступила в силу 1 марта 2021 года.

В статье рассмотрим два значимых изменения 2020 года, касающихся трудовых отношений и имеющих действующий юридический статус.

Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.

Читать еще:  Как проверить временную регистрацию по базе ГУ ФМС России

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

  • технологии обнаружения несанкционированного доступа,
  • поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
  • элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,

К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.

Персональные данные, разрешенные работником для распространения

Вторым новшеством, которое касается некоторых работодателей, можно назвать введение Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» нового правового понятия: «Персональные данные, разрешенные субъектом персональных данных для распространения». Это понятие расширило перечень специальных категорий ПД, установленных статьей 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.

Немногие работодатели предоставляют неограниченному кругу лиц доступ к своей информации, доступ к ПД работников. Соответственно, немногие работодатели должны актуализировать свою деятельность, свои локальные акты, приводя их в соответствие с обновлениями, вступившими в силу 1 марта текущего года.

Те же работодатели, которые предоставляют доступ к ПД работников неограниченному кругу лиц, должны получить согласие субъекта ПД, к содержанию которого будут установлены единые требования.

Данные требования устанавливаются уполномоченным органом по защите прав субъектов персональных данных. В настоящий момент единые требования проходят общественные обсуждения в отношении текста проекта нормативного правового акта и независимую антикоррупционную экспертизу (https://regulation.gov.ru/projects#npa=112660).

Обратите внимание, что работодателям нужно будет актуализировать локальные акты после утверждения единых требований к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения.

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

Названные два из пяти изменений 2020 года Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.

Тем более, что 27.03.2021 актуализированы нормы Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ, усугубляющие ответственность оператора персональных данных, ответственность должностных лиц, принимающих участие в процедурах обработки ПД.

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.

Образовательное мероприятие по теме

Лектор: Наталия Юрьевна Неверовская, управляющий партнер Unicomlegal Russia, Санкт-Петербургское отделение. Судья Полномочного международного экономического суда при Ленинградской областной ТПП, а также третейский судья при Санкт-Петербургской Торгово-Промышленной Палате

Персональные данные: что учесть работодателям в 2021 году

Найдите решение по своей ситуации в КонсультантПлюс. Активируйте пробный доступ к системе на 3 дня прямо сейчас.

Читать еще:  Как стать экскурсоводом подробные рекомендации для будущих гидов

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

Присоединяйтесь к нам в социальных сетях

Поможем не забыть сделать главное

Посмотрите актуальные чек-листы для бухгалтера, специалиста по кадрам и юриста.

#Юрист #Специалист по кадрам #Бюджетник #Новости законодательства #Персональные данные

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Назначениe лица, ответственного за организацию обработки персональных данных

Кто может быть назначен ответственным за обработку персональных данных? Примеры приказов о назначении ответственных лиц

Лицо, ответственное за организацию обработки персональных данных

В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.

Читать еще:  Вся правда о полиграфе детекторе лжи Развеиваю мифы

У оператора есть несколько вариантов действий:

  1. Открыть штатную единицу и нанять на работу Ответственное лицо.
  2. Передать обязанности на аутсорсинг.
  3. Назначить в качестве ответственного лица имеющегося работника.

Чаще всего на роль ответственного назначают одного из следующий сотрудников:

  1. Юрист
  2. Специалист подразделения информационных технологий
  3. Специалист по защите информации
  4. Сотрудник отдела кадров
  5. Менеджер по рискам
  6. Административный директор
  7. Директор по работе с государственными органами

Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.

Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Образец формы приказа о назначении ответственного за организацию обработки персональных данных

о назначении ответственного за организацию обработки персональных данных

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

  1. Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
  3. Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
  4. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.

«__» ______________ 20___г. ________________ ________________________________

Образец формы приказа о назначении ответственного за обеспечение безопасности персональных данных в информационной системе

о назначении ответственного за организацию обработки персональных данных

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

  1. Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
    1. требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
      • осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
      • участие в определении актуальных угроз безопасности персональных данных;
      • участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
      • участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
      • участие в реализации разрешительной системы доступа к персональным данным;
    2. запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
    3. вносить предложения руководителю Компании (указать наименование):
      • о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
  3. Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
    1. участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
    2. определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
    3. определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
    4. определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
    5. участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
    6. участие в создании и вводе в эксплуатацию средств защиты персональных данных;
    7. учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
    8. контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).

«__» ______________ 20___г. ________________ ________________________________

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector