Образец плана мероприятий по внутренним проверкам режима защиты персональных данных в организации

План мероприятий по защите персональных данных

План мероприятий по защите персональных данных

План составляется для реализации мероприятий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним при хранении материальных носителей ПДн.

Выбор конкретных мероприятий осуществляется на основании анализа частной модели актуальных угроз и частной модели вероятного нарушителя.

В План включены следующие категории мероприятий:

– технические (аппаратные и программные);

План мероприятий содержит следующую информацию:

– Периодичность проведения проверки;

Технические и контролирующие мероприятия распространяются на все информационные системы персональных данных (ИСПДн) МАДОУ «Детский сад № 8 г. Сольцы» (в таблице – Организация)

Осуществление внутреннего контроля за соблюдением сотрудниками Организации законодательства РФ о персональных данных, в т.ч. требований к защите

Доведение до сведения положения законодательства РФ о персональных данных, разработанных внутренних локальных актов по вопросам обработки персональных данных,

требований к защите персональных данных

По мере необходимости,

в рабочем порядке

Организация при?ма и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за при?мом и обработкой

таких обращений и запросов

По мере необходимости

Отслеживание изменений в процессах обработки персональных данных Организации. В случае изменения сведений в части 3 ст. 22 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных, Специалист готовит проект письма о внесении изменений с последующим направлением в контролирующий орган в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения

обработки персональных данных

По мере необходимости

Определение уровней защищ?нности всех выявленных ИСПДн

Установка систем бесперебойного питания на ключевые

Осуществление обновления системы антивирусной защиты

Контроль над соблюдением режима обработки ПДн

Контроль над соблюдением режима защиты

Создание журнала внутренних проверок и поддержание его в

Контроль над соблюдением режима защиты при

подключении к сетям общего пользования

Контроль за обновлениями программного обеспечения и

единообразия применяемого ПО на всех элементах ИСПДн

Поддержание в актуальном состоянии нормативно-

Муниципальное автономное дошкольное образовательное учреждение

«Детский сад № 8 г. Сольцы»

использования сотрудниками ресурсов сети Интернет

1.Общие положе ния

Настоящий Регламент разработан для повышения эффективности работы сотрудников МАДОУ

«Детский сад № 8 г. Сольцы» (далее – ДОУ), использующих электронные информационные ресурсы глобальной сети Интернет, и повышения уровня информационной безопасности локальной информационно- вычислительной сети ДОУ.

Заведующий ДОУ устанавливает постоянный контроль за доступом работников к сети Интернет. В случае нарушения сотрудником ДОУ данного Регламента работник будет отстранен от использования ресурсов сети Интернет.

2.Назначение доступа к ресурсам сети Интернет

2.1. Доступ к ресурсам сети Интернет предоставляется сотрудникам ДОУ для выполнения ими прямых должностных обязанностей. Глобальная информационная сеть Интернет используется для:

– доступа к мировой системе гипертекстовых страниц ( www );

– доступа к файловым ресурсам Интернета ( FTP );

– доступа к специализированным (правовым и др.) базам даннных

– контактов с официальными лицами правительственных структур, с подрядчиками и обслуживающими организациями;

– обмена электронной почтой с официальными лицами по неконфиденциальным вопросам производственного характера;

– повышения квалификации работников, необходимой для выполнения работником своих должностных обязанностей;

– поиска и сбора информации по управленческим, производственным, финансовым, юридическим вопросам, если эти вопросы напрямую связаны с выполнением работником его должностных обязанностей;

3. Доступ к интернет-ресурсам

3.1. ДОУ обеспечивает доступ пользователей локальной сети к ресурсам сети Интернет по специальным каналам связи в соответствии с настоящим Регламентом.

4.1. Каждому подключенному к сети компьютеру назначается ответственный за этот компьютер пользователь, информация о котором заносится в базу данных пользователей соответствующего домена локальной сети ДОУ. Регистрация выполняется системным администратором в соответствии с «Правами доступа сотрудников ДОУ к внутренним и внешним электронным информационным ресурсам». Пользователь обязан хранить свои идентификационные данные (пароли и т.п.) в тайне, запрещена передача идентификационных данных третьим лицам. За все деструктивные действия, произведенные в сети, отвечает сотрудник – пользователь учетной записи (идентификационных данных), использовавшейся при их проведении. При подозрении на то, что идентификационные данные стали известны третьим лицам, пользователь должен немедленно обратиться к заведующему ДОУ с целью их изменения.

Читайте также:
Профстандарт электромонтера: по ремонту и обслуживанию электрооборудования, квалификационные требования

5.Ограничения при работе в сети Интернет

Пользователям корпоративной линии подключения МАДОУ «Детский сад № 8 г. Сольцы» к ресурсам глобальной сети Интернет не рекомендуется:

– посещение и использование игровых развлекательных и прочих сайтов, не имеющих отношения к деятельности МАДОУ «Детский сад № 8 г. Сольцы» и деятельности пользователя;

– использование электронной почты, досок объявлений, конференций на компьютерах МАДОУ «Детский сад № 8 г. Сольцы» в личных целях в любое время;

– публикация корпоративного электронного адреса на досках объявлений, в конференциях и гостевых книгах;

– использование некорпоративных e – mail адресов для рассылки служебной информации;

– передача уч?тных данных пользователя;

– применение им?н пользователей и паролей компьютеров МАДОУ «Детский сад № 8 г. Сольцы» на иных (сторонних) компьютерах;

– играть в рабочее время в компьютерные игры автономно или в сети;

– единовременное скачивание больших объемов информации (файлы в объемах, превышающих указанные в приложении к настоящему Регламенту);

– посещение ресурсов трансляции потокового видео и аудио (веб-камеры, трансляция ТВ – и музыкальных программ в Интернете), создающих большую загрузку сети и мешающих нормальной работе остальных пользователей;

– подключение к электронной сети под другим паролем;

– создание личных веб-страниц и хостинг (размещение web – или ftp -сервера) на компьютере пользователя.

Пользователям корпоративной линии подключения МАДОУ «Детский сад № 8 г. Сольцы» к ресурсам глобальной сети Интернет запрещается:

– посещение и использование эротико-порнографических ресурсов сети Интернет,

– ресурсов националистических организаций, ресурсов, пропагандирующих насилие и терроризм;

– нарушение закона об авторском праве посредством копирования и использования в служебных или личных целях материалов, защищенных законом об авторском праве;

– осуществление деструктивных действий по отношению к нормальной работе электронной системы Предприятия и сети Интернет (рассылка вирусов, ip -атаки и т.п.);

– загрузка материалов порнографического содержания, компьютерных игр, анекдотов, других развлекательных материалов;

– передача персональных данных, конфиденциальной информации, сведений, составляющих служебную и коммерческую тайну, третьей стороне;

– нанесение вреда электронной системе МПР России;

– проведение незаконных операций в глобальной сети Интернет;

– совершение иных действий, противоречащих законодательству, а также настоящему Регламенту.

6.Обращение в другие организации от имени МАДОУ «Детский сад № 8 г. Сольцы»

Работа в сети Интернет, общение с другими организациями могут быть связаны с необходимостью изложения своих взглядов по отдельным вопросам. Если сотрудник МАДОУ «Детский сад № 8 г. Сольцы» высказывает в сообщении собственное мнение, то указанный сотрудник обязан предупредить об этом в конце сообщения фразой:

«Прошу считать, что в сообщении указано мое личное мнение, которое необязательно отражает взгляды и политику МАДОУ «Детский сад № 8 г. Сольцы» – по предварительному согласованию с непосредственным руководством.

Официальные обращения по электронной почте к должностным лицам организаций-партн?ров и организаций-заказчиков продукции и услуг МАДОУ «Детский сад № 8 г. Сольцы» осуществляются по указанию заведующего.

7.Время работы пользователей в сети Интернет

7.1. Время работы пользователей в сети Интернет регламентировано следующим образом:

– с понедельника по пятницу, с 07.30 до 18.00;

– при необходимости работы с ресурсами сети Интернет в выходные дни или в вечернее время пользователь обязан получить разрешение у заведующего.

8.Контроль использования ресурсов сети Интернет

Администрация МАДОУ «Детский сад № 8 г. Сольцы» оставляет за собой право в целях обеспечения безопасности электронной системы производить выборочные и полные проверки всей электронной системы и отдельных файлов без предварительного уведомления работников.

После утверждения настоящего Регламента все пользователи МАДОУ «Детский сад № 8 г. Сольцы» под личную роспись знакомятся с Регламентом.

Муниципальное автономное дошкольное образовательное учреждение

«Детский сад № 8 г. Сольцы»

Регламент использования электронной почты

в МАДОУ «Детский сад № 8 г. Сольцы»

1. Общие положени я

Настоящий Регламент использования электронной почты в МАДОУ «Детский сад № 8 г. Сольцы» (далее – Регламент) разработан в целях установления единого порядка использования корпоративной электронной почты (далее – ЭП), обязательной для использования в работе всеми работниками ДОУ.

Читайте также:
Корректирующий табель учета рабочего времени: исправления и образец заполнения

Настоящий Регламент призван обеспечить бесперебойную работу и эффективное использование ЭП в интересах деятельности ДОУ.

Настоящий Регламент не определяет порядок работы с документами, направляемыми и получаемыми по ЭП.

Каждый работник ДОУ, имеющий личный почтовый ящик корпоративной ЭП, обязан использовать его в рамках выполнения своих трудовых обязанностей.

Вся информация и сообщения, которые были созданы, отправлены, приняты или сохранены посредством корпоративной ЭП ДОУ, принадлежит образовательному учреждению, за исключением случаев, предусмотренных законодательством Российской Федерации.

В пределах функционирования корпоративной ЭП обеспечивается конфиденциальность почтовых сообщений и информации о пользователях ЭП, кроме информации из адресной книги и за исключением случаев, предусмотренных законодательством Российской Федерации.

2. Характеристика корпоративной электронной почты дошкольного образовательного учреждения

Корпоративная электронная почта ДОУ состоит из следующих компонентов:

• Адресная книга, содержащая информацию о пользователях. Информация Адресной книги доступна всем зарегистрированным пользователям.

• Личные папки – локальные дисковые хранилища почтовых сообщений пользователя, необходимые для хранения большого объема сообщений и их архивирования.

Личные папки могут быть созданы как локально, на рабочем месте пользователя, так и на любом доступном внешнем хранилище. Личные папки используются в следующих целях:

– поддержание размера почтового ящика пользователя, располагающегося на сервере, в пределах обозначенных ему лимитов;

– организация структурированного хранилища путем создания вложенных папок;

– проведение операции архивирования почтовых сообщений, старше заданного срока отправки или получения;

– организация резервного хранилища на выделенном внешнем носителе или сервере. Почтовый ящик, содержащий почтовые сообщения пользователей корпоративной ЭП.

Содержимое почтовых ящиков пользователей может храниться следующими способами:

– в почтовом ящике на сервере;

– в личной папке локально на персональном компьютере пользователя;

– в архивных папках, локально на персональном компьютере пользователя;

– в общих папках, специально организованных для работы группы пользователей.

Список адресов доступен каждому пользователю и включает всех пользователей:

Адресная книга Пользователя – группа, созданная конкретным пользователем для структуризации своих

рассылок. Такие группы недоступны для других пользователей.

• Антивирус – автоматическая система сканирования почтовых сообщений на наличие вредоносного вирусного кода (вирусов).

При обнаружении нежелательного содержания в сообщении системой антивируса вставляется сообщение с описанием причины изъятия зараженного содержания сообщения.

• Антиспам – автоматическая система сканирования почтовых сообщений на наличие нежелательной рекламной рассылки (спам).

В ЭП настроена подсистема обнаружения нежелательной почты.

Сообщения, которые определены подсистемой антиспам как нежелательные, хранятся в карантине в течение 5 дней с момента поступления, после чего безвозвратно удаляются.

3. Создание личного почтового ящика в корпоративной электронной почте

• Создание личного почтового ящика и его настройка для работы в корпоративной ЭП осуществляется на основании заявки.

• Для каждого пользователя созда?тся только один личный почтовый ящик.

• Для работы одним пользователем с несколькими почтовыми ящиками специалистом информационно- технической службы выполняется соответствующая настройка.

• Пользователь лично обеспечивает сохранность Личных папок на рабочем месте.

4. Обеспечение контроля почтовых ящиков

Контроль почтовых ящиков в корпоративной ЭП должен в автоматическом режиме обеспечивать выполнение следующих действий:

– направление сообщения при приближении к установленному лимиту размера личного почтового ящика;

– автоматическое блокирование возможности отправки почтовых сообщений при превышении установленных лимитов размеров личных почтовых ящиков;

– оперативное получение статистики использования и нагрузки на почтовые сервера;

– ограничение до 100 получателей в одном сообщении для всех пользователей;

– ежедневное автоматическое удаление сообщений, хранящихся более 5 дней, из папки Удаленные;

– отправление уведомлений о превышении лимита размера личного почтового ящика.

Превышение лимита размера личного почтового ящика автоматически блокируется возможность отправлять сообщения, при этом входящие сообщения продолжают приходить на личный почтовый ящик. В случае превышения лимита размера личного почтового ящика система автоматически направляет информационное сообщение о необходимости чистки личного почтового ящика. После уменьшения пользователем размера личного почтового ящика до установленного лимита (перемещением электронной почты в личную папку, общую папку или удалением), предусмотрено автоматическое восстановление заблокированных возможностей.

Читайте также:
Как выйти из профсоюза: причины и образец заявления

Каждый пользователь несет персональную ответственность за соблюдение установленного размера личного почтового ящика, а также своевременное архивирование или удаление информации.

5. Удаление личных почтовых ящиков

Удаление личных почтовых ящиков уволенных работников производится администратором на основании данных об увольнении работника. Процедура удаления предполагает блокировку личного почтового ящика на 1 месяц и безвозвратное удаление по окончании данного срока.

6. Ограничения использования корпоративной электронной почты

При пользовании корпоративной ЭП пользователи обязаны соблюдать следующие правила: соблюдать общепринятые нормы и правила обмена почтовыми сообщениями;

– строго следовать ограничениям в рассылке сведений, содержащих персональные данные и иную конфиденциальную информацию, по которым установлен особый режим доступа и использования в соответствии с законодательством Российской Федерации, локальными нормативными актами;

– перед отправлением сообщения проверять правописание, грамматику и перечитывать сообщение;

– не рассылать сообщения противозаконного или неэтичного содержания, а также содержащие угрозы в адрес других пользователей;

запрещается осуществлять рассылку сообщений рекламного или поздравительного характера;

– неукоснительно соблюдать положения настоящего Регламента.

Информации должна рассылаться только тем адресатам, которым она действительно необходима для выполнения служебных функций.

При систематических (более 3-х раз) нарушениях пользователем настоящего Регламента, а также по обоснованной жалобе других работников образовательного учреждения на действия отправителя сообщений личный почтовый ящик такого пользователя может быть заблокирован.

Все пользователи в обязательном порядке знакомятся с настоящим Регламентом и Памяткой по работе с корпоративной электронной почтой ДОУ, обеспечивая в работе выполнение требований указанных документов.

по работе с корпоративной электронной почтой в МАДОУ «Детский сад № 8 г. Сольцы»

Политика использования электронной почты является важнейшим элементом корпоративной политики информационной безопасности МАДОУ «Детский сад № 8 г. Сольцы» (далее ДОУ).

Корпоративная электронная почта может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено.

Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.

При работе с корпоративной системой электронной почты сотрудникам ДОУ запрещается:

– распространять информацию ограниченного доступа, предназначенную для служебного использования, в том числе сведения, составляющие персональные данные и иную конфиденциальную информацию;

– распространять материалы, защищаемые авторскими правами;

– использовать адрес корпоративной почты для оформления подписок;

– публиковать свой адрес либо адреса других сотрудников на общедоступных Интернет-ресурсах (форумы, конференции и т.п.) за исключением случаев служебной необходимости;

– осуществлять массовую рассылку почтовых сообщений рекламного характера;

– рассылать через электронную почту материалы, содержащие вирусы и другие вредоносные продукты и программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования, или программ для осуществления несанкционированного доступа;

– распространять угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, запрещ?нную российским законодательством;

– предоставлять иным лицам пароль доступа к своему почтовому ящику.

План мероприятий по обеспечению защиты персональных данных

Защита персональных данных
с помощью DLP-системы

О бщий вид плана мероприятий по защите персональных данных не регламентируется дословно, однако представляется контрольным органам в подобном виде:

План
мероприятий по защите персональных данных
в ________________________________________
(вписать название юридического лица)

№ п/п Проводимые меры Срок Уполномоченный по контролю Дополнительные комментарии
1. Необходимая юридическая база обработки персональных данных На первой стадии запуска ИСПДн в постоянное пользование Руководитель юридического лица, обрабатывающего персональные данные, пишет соответствующий приказ
2. Направление в Роскомнадзор уведомительных документов относительно проведения обработки персональных данных с задействованием ПО Когда нужно Если организация использует новые электронные системы персональных данных либо модифицирует имеющиеся
3. Регламент работы Когда нужно Описание документов относительно обработки электронными средствами и защиты данных фигурантов
4. Получение заверения в письменной форме от фигурантов сбора данных, если оно требуется законом Перманентно Собственно, все заверения физических лиц о том, что они ознакомлены со сбором данных и претензий не имеют. Равно касается автоматизированных систем и традиционных (бумажных) способов хранения информации
5. Установка сроков обработки персональной информации и ее утилизации после всех процедур Когда нужно Организация – оператор ИСПДн – обязана утверждать эти сроки согласно регламенту и практической надобности, соответственно указанным формам
6. Ограничение доступа к конфиденциальной информации Когда нужно (непосредственно в момент создания) Когда создается новая ИСПДн, либо когда существующая система реорганизуется согласно актуальному законодательству. Доступ сотрудников должен быть разноуровневым, помимо этого проектируется матрица доступа, утверждаемая руководителем организации. На основе матрицы выстраивается иерархия допусков, а соответствие ей — базовое положение внутренней безопасности
7. Повышение квалификации лиц, занимающихся сбором персональных данных Перманентно Уполномоченные лица стажируются минимум раз в два года
8. Инвентаризация накопителей и всех имеющихся источников информации, проверка их на персональную информацию Каждые шесть календарных месяцев
9. Разработка классификации ИСПДн Когда нужно При первичном создании ИСПДн, при каждом обнаружении персональной информации, при реорганизации системы (апдейт программ, смена топологии, закупка нового оборудования и прочее)
10. Разработка списка потенциальных угроз электронным компонентам системы, мер противодействия, списка необходимого для этого ПО и матчасти Когда нужно При первичном создании системы защиты ИСПДн
11. Получение сертификата, аттестация СЗПД, декларация соответствия требованиям безопасности Когда нужно Курируется лицензирующими органами в виде ФСТЭК
12. Эксплуатация ИСПД и организация системы электронной секурности Перманентно
Читайте также:
Приказ об утверждении должностной инструкции: образец в ДОУ, школе, на предприятии

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

Приказ о защите персональных данных работников

Приказ о защите персональных данных необходим для того, чтобы отрегулировать на предприятии правила по работе с личными документами сотрудников.

Что относится к персональным данным

Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом (наличие или отсутствие судимостей), а также некоторые факты из биографии.

Зачем охраняются персональные данные

Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.

Как осуществляется их защита

Меры по защите персональных данных регламентируются законодательством РФ. В частности, на каждом предприятии, которое нанимает работников, а, значит, имеет дело с их личными сведениями, должен быть сотрудник, который несет за них ответственность.

В случае разглашения персональной информации именно с него и будет спрос. Если такового работника нет, то ответственность автоматически перекладывается на директора компании. Кроме того, в организации должны быть разработаны регулирующие нормативно-правовые акты, в том числе соответствующие положение и приказ.

Значение приказа о защите персональных данных работников

Роль приказа о защите персональных данных достаточно проста, но вместе с тем значима: при помощи него руководитель дает указание кому-либо из подчиненных о принятии мер по охране личной информации сотрудников. Без этого документа при возникновении утечки пострадавшие работники смогут с легкостью доказать виновность организации, вследствие чего на руководящий состав и само предприятие будут наложены административные санкции (в виде достаточно кружных штрафов, а то и чего покруче).

Формат документа

На сегодня формат приказа может быть произвольным: это обозначает, что его можно писать в свободном виде. Но если руководство предприятия разработало и утвердило свой стандарт документа, обязательный к применению, то руководствоваться, конечно, следует именно им. При этом форма приказа должна быть обозначена в нормативно-правовых бумагах компании.

Как оформить бланк

К оформлению бланка, ровно как к его формату, никаких особых условий не предъявляется. То есть документ можно делать на бланке с фирменным логотипом и реквизитами или на простом листе бумаги. Текст может быть как печатным, так и рукописным, правда в первом случае его надо распечатать (для простановки в нем нужных подписей). Приказ формируется в одном оригинальном экземпляре, но если требуются дополнительные его копии, то документ можно размножить (например, для передачи в заинтересованные структурные подразделения).

Читайте также:
Акт приема-передачи трудовых книжек: бланк и образец заполнения

Кто должен расписаться в приказе

Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.

Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).

Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.

Как производить регистрацию, вести учет и хранение документа

Приказ нужно обязательно зарегистрировать и учесть. Для этого следует воспользоваться отдельным журналом учета, в котором фиксируются сведения обо всех выпущенных в организации распоряжениях. В журнал достаточно включить номер, дату и краткую суть приказа. После этого документ нужно вложить в папку с другими подобными бумагами. В ней он должен находиться период, установленный локальными нормативно-правовыми актами предприятия или законодательными нормативами. После того, как актуальность приказа будет утрачена и он потеряет свое значение, его нужно или отправить в архив или утилизировать.

Образец приказа о защите персональных данных работников

При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.

  1. В начале документа все шаблонно: напишите тут наименование организации, название приказа, его номер, дату и место формирования. После этого переходите к сути.
  2. Первым делом обозначьте здесь основание, т.е. дайте ссылку на статью закона, в соответствии с которой пишете распоряжение, а также обоснуйте его, т.е. отметьте реальную причину его создания (например, необходимость внедрения правил и норм по защите персональных сведений).
  3. Далее внесите собственно указание на защиту личной информации работников компании, а также впишите нормативно-правовые бумаги, которые это регулируют, обозначьте требование об ознакомлении с ними персонала под роспись.
  4. Назначьте ответственное лицо.
  5. Отдельным пунктом включите информацию о сотруднике, который будет следить за выполнением данного распоряжения (это может быть сам директор предприятия, кто-либо из его заместителей или же начальник отдела кадров, в ведении которого обычно и находится весь объем персональных данных).
  6. В завершении не забудьте поставить в бланк все нужные подписи.

Документы по персональным данным необходимые в 2022 году

Как еще может называться данный документ:

  • Политика обработки персональных данных
  • Политика в отношении обработки данных
  • Privacy policy

Зачем нужен документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

  • Согласие на распространение персональных данных

Зачем нужен документ:

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список – какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Читайте также:
Положение о защите персональных данных работников в организации: порядок обработки, перечень, образец

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Зачем нужен документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

  • Правила обработки персональных данных

Зачем нужен документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Зачем нужен документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

– Постановление Правительства РФ от 01.10.2012 г. №1119
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
– Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Читайте также:
Контрактный управляющий: профессиональный стандарт и его уровни

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

Зачем нужен документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Зачем нужен документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Разработка положения о персональных данных работников

Положение о персональных данных сотрудников — это внутренний локальный акт организации, наличие которого — в фокусе проверок, проводимых Роскомнадзором. Поэтому многие компании озадачены вопросом о том, как разработать положение о защите персональных данных (2020), если такого документа у них ранее не было. В статье расскажем, на что нужно обратить особое внимание при его разработке, чтобы не допустить нарушения законодательства.

Если я нарушаю закон

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей;
  • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

  • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
  • трудовая книжка со стажем с предшествующих мест работы;
  • дипломы, сертификаты об образовании;
  • трудовой договор.
Читайте также:
Образец приказа о переходе на удаленную работу в 2021 году

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Храните данные правильно

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Образец положения о персональных данных работников (2020) и его разработка

На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

В положение включают следующую информацию:

  • цели и задачи предприятия при работе с конфиденциальными данными;
  • перечни таких данных;
  • описание операций с данными, которые часто используются на предприятии;
  • способы доступа к данным;
  • перечни и обязанности персонала фирмы при использовании информации;
  • права сотрудников фирмы на доступ к информации;
  • ответственность работников предприятия за разглашение информации.

Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.

Образец плана мероприятий по внутренним проверкам режима защиты персональных данных в организации

РЕГЛАМЕНТ

проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных

  1. Основные термины и определения

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:

  • утрата услуг, оборудования или устройств;
  • системные сбои или перегрузки;
  • ошибки пользователей;
  • несоблюдение политики или рекомендаций по информационной безопасности;
  • нарушение физических мер защиты;
  • неконтролируемые изменения систем;
  • сбои программного обеспечения и отказы технических средств;
  • нарушение правил доступа.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.

  1. Общие положения
  1. Настоящий Регламент проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных (далее – Регламент), разработан в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
  2. Настоящий Регламент определяет порядок проведения внутреннего контроля соответствия обработки ПДн (далее – Внутренний контроль), требованиям к защите ПДн.
  3. Регламент обязателен для исполнения всеми работниками Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Исполком), непосредственно осуществляющими защиту ПДн.
  1. Порядок проведения внутреннего контроля
  1. Для проведения внутреннего контроля в ИСПДн постановлением Исполнительного комитета создаётся комиссия, состоящая не менее чем из трех человек с обязательным включением в её состав:
  • ответственного за обеспечение безопасности ПДн в ИСПДн;
  • ответственного за организацию обработки ПДн в Комитете.
  1. Председатель комиссии организует работу комиссии, решает вопросы взаимодействия комиссии с руководителями и работниками Исполкома, готовит и ведёт заседания комиссии, подписывает протоколы заседаний. По окончании работы комиссии готовится заключение по результатам внутреннего контроля, которое передается на рассмотрение Руководителю Комитета.
  2. Внутренний контроль проводится в соответствии с «Планом проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных», утвержденным приказом Руководителя Комитета, форма которого установлена в Приложении 1 к настоящему Регламенту.
  3. В «Плане проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных» указывается перечень проводимых мероприятий внутреннего контроля и периодичность их проведения.
  4. Комиссия проводит внутренний контроль непосредственно на месте обработки ПДн, опрашивает работников Исполкома, осуществляющих обработку ПДн, осматривает рабочие места.
  5. В ходе проведения внутреннего контроля осуществляется:
  • контроль выполнения организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
  • анализ изменения угроз безопасности ПДн в ИСПДн, возникающих в ходе ее эксплуатации;
  • проверка параметров настройки и правильности функционирования программного обеспечения и средств защиты информации (далее – СЗИ);
  • контроль состава технических средств, программного обеспечения и СЗИ;
  • состояние учета СЗИ;
  • состояние учета средств шифровальной (криптографической) защиты информации;
  • состояние учета съемных машинных носителей ПДн;
  • соблюдение правил доступа к ПДн;
  • контроль наличия (отсутствия) фактов несанкционированного доступа к ПДн;
  • соблюдение пользователями ИСПДн парольной политики;
  • соблюдение пользователями ИСПДн антивирусной политики;
  • соблюдение пользователями ИСПДн правил работы со съемными машинными носителями ПДн.
  1. В целях проведения внутреннего контроля все работники Комитета обязаны по первому требованию членов комиссии предъявить для проверки все числящиеся за ними материалы и документы, дать устные или письменные объяснения по существу заданных им вопросов.
  2. По завершении внутреннего контроля комиссией составляется «Акт о проведении контроля соответствия обработки персональных данных», форма которого установлена в Приложении 2 к настоящему Регламенту.
  3. В «Акте о проведении контроля соответствия обработки персональных данных» указываются:
  • перечень проведенных мероприятий;
  • выявленные нарушения;
  • мероприятия по устранению нарушений;
  • решения по результатам внутреннего контроля;
  • сроки устранения нарушений.
  1. Периодичность проведения внутреннего контроля составляет не реже 1 раза в год.
  2. Предложения о создании комиссии и о плановом/внеплановом проведении внутреннего контроля представляются Руководителю Исполкома Ответственным за организацию обработки ПДн и Ответственным за обеспечение безопасности ПДн в ИСПДн.
  1. Ответственность
    1. Ответственный за организацию обработки ПДн в Исполнительном комитете несет ответственность за организацию проведения внутреннего контроля соответствия обработки ПДн в Комитете требованиям к защите ПДн.
  2. срок действия и порядок внесения изменений
    1. Настоящий Регламент вступает в силу с момента его утверждения и действует бессрочно, до замены новым Регламентом.
    2. Настоящий Регламент подлежит пересмотру не реже одного раза в три года.
    3. Изменения и дополнения в настоящий Регламент вносятся постановлением Исполнительного комитета.
Читайте также:
Акт приема-передачи трудовых книжек: бланк и образец заполнения

Управляющий делами

Исполнительного комитета Г.А.Юсупова

Положение о персональных данных работников – образец 2021 года

  • Что такое персональные данные
  • Для чего нужно положение о работе с персональными данными
  • Положение о персональных данных работников: структура документа
  • Где можно скачать образец положения об обработке персональных данных работников
  • Итоги

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Читайте также:
Образец приказа о переходе на удаленную работу в 2021 году

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2021 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: