Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Перечень документов по персональным данным в организации». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями и дополнениями).
Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас.
Законодательство о защите персональных данных в РФ
Внутренние документы регулируют:
- общие принципы работы;
- порядок обработки на бумажных носителях;
- правила работы в информационных системах;
- особенности хранения;
- порядок передачи;
- инструкция для сотрудников;
- другие моменты.
Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных.
По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных.
Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти.
Необходимые документы по персональным данным
С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика).
Потому что через те данные, которые Вы собираете — можно однозначно идентифицировать человека, соответственно, они относятся к персональным данным.
К сожалению, такая позиция не беспочвенна. За многие годы как среди безопасников на местах, так и среди лицензиатов, интеграторов и прочих заинтересованных лиц сложилась печальная практика такого же отношения к документам по информационной безопасности.
Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации.
Телефон + имя — не позволят определить Вам однозначно и безошибочно (что является критерием персональных данных) человека.
Да, на сайте, где есть форма обратной связи с ФИО и телефоном и (или) электронкой — надо получать согласие на обработку персональных данных и надо опубликовать политику обработки персональных данных.
Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:
- проанализируйте фактическую деятельность предприятия;
- изучите устав — там указаны основные направления работы;
- отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.
Ограничение круга лиц, имеющих доступ к персональным данным
Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес.
Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.
Кто же из работодателей является «оператором персональных данных»? Какие виды информации, с которой работает организация, попадают под понятие «персональные данные»?
Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.
Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Положение о комиссии по защите персональных данных. Политика защиты персональных данных (Политика обеспечения безопасности персональных данных). Регламент проведения контрольных мероприятий.
Процесс принятия и внедрения локального акта состоит из нескольких этапов:
- создание проекта;
- получение согласования от компетентных специалистов компании;
- введение в действие путем подписания приказа;
- доведение документа до сотрудников, которые знакомятся с ним под роспись.
Персональные данные – основная и неотъемлемая часть любой организации. Ключевой проблемой, стоящей перед организацией и ее сотрудниками, является обработка и защита персональных данных в соответствии законодательством Российской Федерации.
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача.
Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.
Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.
Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:
- название, месторасположение;
- цели передачи и объем переданных сведений;
- операции с ПнД;
- механизмы и правила обработки;
- требования к защите.
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ.
С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.
Чтобы не попасть впросак, когда к вам пожалует проверка из Роскомнадзора, следуйте советам автора статьи – и все будет в порядке.
Следовательно, первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы.
Отчасти это еще усугубляется тем, что зачастую документы по информационной безопасности пишут люди, далекие от информационных технологий. Ведь как можно писать раздел про защиту средств виртуализации, не понимая как эта самая виртуализация работает?
В своей работе организация должна использовать три вида документов по защите персональных данных. К ним относятся: организационные, технологические и методические.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
В контексте выполнения требований будет затронута в основном тематика персональных данных (152-ФЗ и подзаконные акты) и государственных информационных систем (17 приказ ФСТЭК).
Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:
- во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
- во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.