Мероприятия по защите персональных данных

Какие документы нужны в организации, работающей с массивами?

Условно подобного рода документацию можно распределить по 3 направлениям:

  • Организационного характера: положение, приказы, письма.
  • Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
  • Методического свойства: например, правила обработки персональных данных.

Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.

Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.

Обязательный перечень

Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:

  1. техническое задание, инструкция или положение о порядке обработки данных;
  2. план мероприятий по обеспечению информационной безопасности;
  3. соглашение (согласие, заявление) на обработку сведений о владельце;
  4. приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.

Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.

О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.

Дополнительный список

К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.

Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.

Пошаговая инструкция по разработке СЗПД

Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

  1. Издание внутреннего приказа, в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
  2. Обследование внутренних систем, содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
  3. Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
  4. Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
  5. Внедрение защитной системы. На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.Необходимо разработать специальное Положение об обработке и защите ПД в организации, разработать инструкции пользователям и администраторам для работы с информацией, для резервного копирования и восстановления.
  6. Определение содержания технических защитных мер. В частности, они должны оберегать информацию от несанкционированного доступа, включать антивирусные и криптографические средства и пр. (Приказ ФСТЭК России от 18.02.2013 № 21).
  7. Подписание «Заключения о соответствии системы защиты данным, обрабатываемым в информационных системах организации».

Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным.
На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

  • ФИО;
  • информация о дате рождения;
  • гражданство;
  • СНИЛС;
  • индивидуальный налоговый номер;
  • владение иностранными языками;
  • полученное образование;
  • приобретенные профессии, специальности;
  • сведения о составе семьи;
  • место проживания;
  • контакты;
  • отношение к военной обязанности;
  • трудовая деятельность.

Инструкция для работников

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

  • безопасного использования различных программ и технических средств;
  • применения логинов и паролей;
  • предоставления доступа;
  • антивирусной защиты;
  • работы с носителями;
  • другие моменты.

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

  • создание проекта;
  • получение согласования от компетентных специалистов компании;
  • введение в действие путем подписания приказа;
  • доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Что содержит пакет сопровождающей документации?

В поле деятельности операторов входят различные операции с информацией. Это обработка, сбор, хранение, защита, передача и разглашение идентификационных данных.

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

Документы, регулирующие защиту персональных данных:

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

Бумаги, касающиеся передачи персональных данных:

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Обязательство о неразглашении — обязательство, которое подписывается при приеме на работу новым сотрудником. Регламентирует его ответственность за обработку и разглашение ПД.

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Специальные персональные данные

К специальным персональным данным относятся

 расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья и пр.

Таким образом, специальные данные характеризуют наши взгляды, убеждения, мировоззрение, они определяют нашу социальную принадлежность к определенным группам. Например, человек может сказать: я демократ или я христианин. По таким данным можно сформировать представление о человеке.

Следует заметить, что приведенный перечень персональных данных не является исчерпывающим и может включать в себя еще множество иных идентификационных данных.

Основные разделы Положения

  • общие сведения;
  • список информации и документов, содержащих данные о гражданах;
  • обязательства нанимателя;
  • процедура предоставления личных сведений;
  • способы и виды работы с информацией о гражданах;
  • оформление доступа к сведениям;
  • защита конфиденциальной информации;
  • права и обязанности субъекта;
  • ответственность должностных лиц и компании.

Перечень информации, относящейся к персональной

  • обезличенные – по ним нельзя определить конкретное лицо;
  • общие – первичные и основные;
  • специальные – здоровье, религия, раса, нация и т.д.;
  • биометрические – физиология и биология.

Персональные данные – это любые сведения, относящиеся к физическому лицу.

В перечень входит:

  • фамилия, имя, отчество;
  • число и населенный пункт рождения;
  • адрес проживания;
  • информация о документе, удостоверяющем личность;
  • СНИЛС;
  • ИНН;
  • сведения о дипломах;
  • информация о полученных доходах и оплате труда;
  • семейный статус;
  • другое.

Методы сбора и защиты ведомостей

Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

  • определить, кто будет отвечать за организацию процесса обработки личных данных;
  • ввести в работу внутренние документы;
  • обеспечивать безопасное применение и использование;
  • контролировать процесс работы с информацией;
  • предотвращать вред, если будет нарушено законодательство;
  • знакомить с правилами работы граждан, принимаемых по трудовому договору.
  • реализация правил конфиденциальности;
  • пресечение неразрешенного доступа;
  • выявление фактов незаконного доступа и устранение вреда;
  • организация защиты технических средств;
  • запись резервных копий.

Назначение ответственных за хранение и обработку

  • начальник кадрового отдела;
  • инспекторы отдела по работе с персоналом;
  • работники бухгалтерии;
  • специалисты отдела информатизации.

Как обрабатываются данные?

  • взятие у гражданина согласия;
  • согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

  • собирает;
  • уточняет;
  • систематизирует;
  • использует;
  • удаляет;
  • хранит.

Нарушения положения и ответственность должностных лиц

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Административная ответственность (КоАП РФ):

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

Преимущества проведения мероприятий по защите персональных данных

  • Защиту от претензий и штрафов со стороны регулирующих органов;
  • Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
  • Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
  • Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
  • Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
  • Защиту от непредвиденной и принудительной остановки бизнеса;
  • Защиту от недобросовестных конкурентов;
  • Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.

Персональные данные

Используя электронное пространство, мы полагаем, что это безопасно, потому что мы делимся всего лишь информацией о себе и к нашей обычной жизни вроде бы это не относится.

Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

  • кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;
  • кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе;
  • с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия;
  • и многое другое.

Поэтому защита личной информации может приравниваться к защите реальной личности

И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными. 

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

  • допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
  • назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
  • создание списка документации, в которой содержатся ПД;
  • выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
  • ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
  • периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
  • рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
  • создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
  • формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
  • описание процедуры удаления неиспользуемой информации;
  • своевременное выявление и устранение нарушений норм защиты ПД;
  • проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

  • пропускной режим;
  • соблюдение установленных правил приема посетителей и их учета;
  • использование приборов для охраны;
  • программная защита данных.

Большие данные

Каждое наше действие, совершаемое в сети Интернет, оставляет определенный цифровой след.

Кроме того, цифровые следы оставляет та информация, о наличии которой вы можете и не подозревать, например, информация о посещенных сайтах, о совершенных покупках, о вашем географическом месторасположении и пр.

Если обработать всю эту информацию, то получится очень точный портрет («профайл»), который можно использовать для принятия решений в отношении конкретного человека. Например, направить ему адресную рекламу в соответствии с предпочтениями, «лайками» или отказать в поступлении на работу и пр.

Сегодня информационные технологии позволяют обрабатывать и анализировать огромные объемы данных для выявления новой информации, представляющей ценность для принятия различных решений.

Представьте себе данные о следах всех пользователей сети Интернет России или другой страны, которые они оставили за последние 10 лет.

Этот колоссальный объем информации, подлежащий обработке и анализу, получил название Big Data или Большие данные.

При этом Большие данные получают не только благодаря Вашим цифровым следам, их добывают из иных источников, например, с помощью датчиков погоды или геолокационных систем.

Мероприятия по защите персональных данных

Мероприятия данного рода — это любые действия в рамках организации, нацеленные на то, чтобы сведения личного характера относительно сотрудников могли знать лишь те, у кого есть такой допуск, и никто более, а эти лица в свою очередь никому их не разглашали.

Среди мероприятий по защите персональных данных различают административные (или организационные), технические (программные и аппаратные), физические и контролирующие.

В состав мероприятий внутреннего характера, нацеленных на сохранение персональных данных сотрудников организации, входит прежде всего отправка в Роскомнадзор, являющийся уполномоченной организацией, извещения о том, что компания представляет собой оператора персональных данных (сокращенно ПДн), иначе говоря, она выполняет по отношению к подобной информации такие процедуры, как сбор, хранение и обработка.

Также к таким мероприятиям относится создание пакета документации внутреннего характера, которая применяется при операциях с ПДн и последующее ее внедрение в деятельность этой структуры, в числе следующих бумаг:

  • положение, о личных данных, это документ общего характера, где описывается в целом политика компании в данной сфере;
  • список лиц, у которых есть допуск, дающий им право присутствовать в таких помещениях;
  • приказ о назначении лица, которое будет нести ответственность за обработку данных
  • положение о мерах технического, организационного и правового характера, нацеленных на защиту ПДн от несанкционированного доступа к ним (случайного либо намеренного и неправомерного характера), в таком положении прописываются точные меры, осуществляемые для решения таких задач, в том числе в нем может упоминаться:
  • локальные правовые акты, где описываются действия, нацеленные на выявление и устранение как нарушений в области защиты персональных данных, так и их последствий, в том числе: инструкция об осуществлении расследования в организации относительно нарушения законов в данной сфере;
  • журнал подготовки по дисциплине безопасность ПДн и последующей проверки по нему знаний сотрудников с соответствующей аттестацией;
  • журнал проверок с помощью антивирусов и определения уровня работы с такого рода сведениями;
  • должностные инструкции для кадров, которые в своей деятельности знакомятся с персональными данными других работников организации;

Сотрудники на предприятии знакомятся с существующими нормами в сфере защиты ПДн, в частности все лица, которые располагают доступом к таким сведениям, должны обладать требуемым объемом знаний в отношении правовых норм по данному вопросу. Проводится регулярная проверка наличия у сотрудников знаний, приобретенных ими в ходе инструктажа, осуществляемого в соответствии с предыдущим пунктом, в также исполнения ими требований. Кроме того, выполняют профилактическую работу с персоналом, нацеленная на предотвращение раскрытия ими ПДн;

Рабочие места на предприятии размещают с таким расчетом, чтобы затруднить сотрудникам случайный, равно как и намеренный доступ к персональным данным. Для защиты сведений используют программные средства, в том числе пароли и антивирусы. Сами ПДн сохраняют отдельно от иной информации. Наконец, для сведений, необходимость в которых отпала, определяют порядок осуществления их уничтожения.

Мероприятия внешнего характера включают пропускной режим на входе в предприятие в целом (а не конкретно в его помещения, где содержатся ПНД), а также использование технических охранных средств, а также ПО для того, чтобы обезопасить нужную информацию от доступа снаружи.

Кроме того, необходимо упомянуть руководителей предприятия, в том числе генерального директора, который осуществляет общее руководство данным направлением, а также принимает своими приказами и распоряжениями локальные правовые акты и назначает людей на должности, связанные с охраной ПДн;

Помимо этого, по данному направлению задействуются лица из упомянутого выше закрытого списка сотрудников, получающих доступ к таким сведениям, на практике допуск к ПНд обычно предоставляется:

  • специалистам по кадрам;
  • сотрудникам бухгалтерского отдела;
  • секретарям, занятым делопроизводством;
  • лицам, которые осуществляют заключение трудовых соглашений с соискателями;
  • юристам;
  • инженерам;
  • программистам.

Набор цифр как персональные данные

Существуют персональные данные, которые представляют собой набор цифр. Благодаря такому набору цифр нас можно определить как конкретного человека, установить нашу личность.

Такими персональными данными являются: номер и серия паспорта, страховой номер индивидуального лицевого счета (СНИЛС), индивидуальный номер налогоплательщика (ИНН), номер банковского счета, номер банковской карты.

Такие «кодовые данные» представляют собой некий набор зашифрованной информации о человеке. Шифрование этих данных может производиться государством. Например, когда ребенку исполняется 14 лет, ему выдают паспорт в ФМС. Такой паспорт содержит серию и номер, а также иную информацию. Шифрование может производиться банковской организацией, например, номер банковской карты тоже индивидуальный, он не повторяется и принадлежит исключительно держателю банковской карты.

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий