+7 (495) 332-37-90Москва и область +7 (812) 449-45-96 Доб. 640Санкт-Петербург и область

Защита персональных данных в организации на конкретном примере

Защита персональных данных в организации на конкретном примере

Связано это со вступлением с 1 июля г. В году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. Наиболее распространённые виды — паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными письмо Роскомнадзора от Лица как физические, так и юридические , которые обрабатывают персональные данные, являются операторами персональных данных.

ВИДЕО ПО ТЕМЕ: Персональные данные: новое в законодательстве

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Как организовать защиту персональных данных сотрудников

Защита персональных данных Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

Внешняя защита ПД предполагает следующие действия: пропускной режим; соблюдение установленных правил приема посетителей и их учета; использование приборов для охраны; Информационные системы персональных данных ИСПД Информационные системы персональных данных — это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят: технология работы с информацией средствами вычислительной техники; техсредства и приспособления серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. Защитные мероприятия при работе в ИСПД Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите: определение актуальных угроз безопасности; разработка систем защиты ПДн СЗПДн ; проверка работоспособности средств защиты информации СЗИ ; заключение о пригодности к эксплуатации; установка и ввод в эксплуатацию СЗИ; обучение сотрудников работе с СЗИ; контроль работы СЗИ; определение круга сотрудников, допущенных к работе с ИСПД; при обнаружении нарушения условий хранения носителей ПД — проведение расследования и составление заключения; принятие мер по ликвидации последствий этих нарушений; обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска; проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа Средствами защиты от несанкционированного доступа служат их подсистемы: управление доступом к ПД, регистрация и учет всех действий с этими данными; обеспечение целостности персональной информации; применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак; создание межсетевого экрана; анализ защищенности и принятие мер по ее усилению; обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом — это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему. Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ.

В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты. Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов. Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите.

Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации Как документально оформить защиту персональных данных Исходя из практической целесообразности, можно издать следующие документы: положение о ПД; список служащих, работающих с персональными данными; приказ об утверждении работника, отвечающего за работу с персональными данными; положение о мерах по ЗПД; инструкцию о служебном расследовании фактов разглашения личных данных работников; инструктаж по ЗПД; журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных.

Все работники организации должны этот договор подписать. Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия. Время хранения персональных данных С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона. Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга. Добросовестный провайдер: По запросу клиента предоставит выписку из федерального реестра операторов персональных данных компания-провайдер попадает в этот реестр после уведомления Роскомнадзора. Ознакомит со своей Политикой в отношении персональных данных клиентов.

Является ли ваша организация оператором персональных данных? Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации информационных систем?

Защита персональных данных Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации. Внешняя защита ПД предполагает следующие действия: пропускной режим; соблюдение установленных правил приема посетителей и их учета; использование приборов для охраны; Информационные системы персональных данных ИСПД Информационные системы персональных данных — это функционирующий набор информационных, аппаратных и программных составляющих. В состав ИСПД входят: технология работы с информацией средствами вычислительной техники; техсредства и приспособления серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. Защитные мероприятия при работе в ИСПД Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите: определение актуальных угроз безопасности; разработка систем защиты ПДн СЗПДн ; проверка работоспособности средств защиты информации СЗИ ; заключение о пригодности к эксплуатации; установка и ввод в эксплуатацию СЗИ; обучение сотрудников работе с СЗИ; контроль работы СЗИ; определение круга сотрудников, допущенных к работе с ИСПД; при обнаружении нарушения условий хранения носителей ПД — проведение расследования и составление заключения; принятие мер по ликвидации последствий этих нарушений; обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска; проведение мероприятий по недопустимости утечки информации по техническим каналам.

Меры по защите персональных данных сотрудников

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга. Добросовестный провайдер: По запросу клиента предоставит выписку из федерального реестра операторов персональных данных компания-провайдер попадает в этот реестр после уведомления Роскомнадзора. Ознакомит со своей Политикой в отношении персональных данных клиентов.

Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных. Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице: За что могут штрафовать Сумма штрафа Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо.

В согласии на обработку персональных данных обязательно указываются цели обработки — это требование Закона ФЗ. Обработка персональных данных отделом кадров без письменного согласия когда оно, естественно, требуется от 15 до 75 руб. Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе на стенде, на сайте и т. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.

В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.

Что говорят суды о плохо защищенных персональных данных В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных.

Директор передал персональные данные физических лиц ФИО, адреса, размер долга провайдеру без письменного согласия этих физических лиц. За нарушение требований закона ФЗ директора оштрафовали Постановление Нижегородского областного суда от Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения: 1. Документы оставлены на столе Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные.

Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних коллег, представителей компаний-поставщиков. Штраф: для руководителя компании — до 10 руб. Пример защиты персональных данных. Необходимо разработать порядок работы с персональной информацией.

В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

Работнику не выдали документы с его персональными данными Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг.

Это также является сокрытием от сотрудника его персональных данных. Штраф: для руководителя компании — до 5 руб. Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Забыли обновить данные работника Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу. Размещение личной информации в общедоступном месте Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт — например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании.

Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов. Штраф: для руководителя компании — до 20 руб. Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений. Сообщение имени, адреса и телефона сотрудника третьим лицам Информацию о сотрудниках может запросить банк или коллекторское агентство.

Без согласия сотрудника такая передача сведений является нарушением. Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

Защита персональных данных

Понятие персональных данных содержит Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 6 марта г. Это сведения о фактах, событиях и обстоятельствах частной жизни человека.

Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника. Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника.

При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников. Главная цель такого исключения — предупредить и предотвратить угрозу жизни и здоровью работника. Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника.

Исключение возможно только в двух случаях: это необходимо в целях защиты жизни и здоровья работника степень угрозы определяет работодатель ; это предусмотрено в федеральном законе например, ст. Обратите внимание Не допускается передача личных сведений о работнике с коммерческой целью ст.

Журналы учета персональных данных Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета. Журнал учета внутреннего доступа к персональным данным работников В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов личных дел работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования.

Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом.

Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы например, из личного дела или помещать новые нельзя. Журнал учета выдачи персональных данных работников организациям и государственным органам В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы дату получения, номер и дату входящего документа, от какого органа получен запрос ; дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации в случае такового.

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Какие сведения указывают в Положении о защите персональных данных Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний локальный документ фирмы, его разрабатывает кадровая служба. Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должны быть указаны: цель и задачи фирмы в области защиты персональных данных; понятие и состав персональных данных; в каких структурных подразделениях и на каких носителях бумажных, электронных накапливаются и хранятся эти данные; как происходит сбор персональных данных; как они обрабатываются и используются; кто по должностям в компании имеет к ним доступ; как персональные данные защищаются от несанкционированного доступа; права работника в целях обеспечения защиты своих персональных данных; ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо.

А вводится в действие этот документ приказом руководителя. Положение о защите персональных данных выглядит так: Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений например, главный бухгалтер, начальники отделов.

Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев. Оформляют приложение так: Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник — расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя.

Вот ее образец: Уведомление об обработке персональных данных Согласно ст. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном поле указываются действия оператора и способы обработки ПД неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная.

Согласие на обработку персональных данных: образец Система защиты персональных данных в организации — это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством. Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк ст.

Согласие на обработку персональных данных: образец Система защиты персональных данных в организации — это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством. Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк ст.

Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность. Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст.

Защита персональных данных в организациях: закон Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины — от покупателей, государственные ведомства — от заявителей. И в любых случаях персональные данные сокращенно — ПД нуждаются в защите. Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма.

Защита конфиденциальной информации о работниках регулируется следующими нормативными актами: Трудовым кодексом РФ — ст. Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством п.

Внутренние документы по защите персональных данных в организации Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов: Положение о персональных данных в нем должен быть раздел, посвященный их защите от посторонних лиц — с перечислением мер по ее обеспечению ; Приказ о назначении сотрудника, ответственного за работу с ПД - на него возлагается обязанность обеспечивать и их защиту это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено ; Приказ о допуске работников к персональным данным — со списком уполномоченных подчиненных, где указывается их ФИО и должность; Расписки о неразглашении ПД — заранее разрабатывается их форма и дается на подпись сотрудникам другой вариант — включать пункт о неразглашении ПД в трудовой договор с работником ; Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно ст.

Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц — покупателей, клиентов, получателей государственных услуг и т. Защита персональных данных в организации: пошаговая инструкция Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна: Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц.

Всего существуют 3 типа угрозы. Условия их присвоения определены п. Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации.

Например, обработка биометрии человека относится к первому высшему уровню защищенности, а обработка персональных данных сотрудников — это обычно 3-й уровень.

Разработать Положение о персональных данных, включив раздел об их защите. Назначить сотрудника, который будет отвечать за работу с ПД. Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД. Подготовить образцы расписок о неразглашении ПД. Реализовать мероприятия, способные защитить персональные данные — установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе. Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.

Меры по обеспечению защиты персональных данных в организации

Помимо регламентации порядка передачи ПД третьим лицам, политика обработки и защиты персональных данных определяет действия ответственных лиц при нахождении посторонних на территории. Сотрудники, уполномоченные на работу с ПД, обеспечивают такое поведение третьих лиц соискателей, деловых партнеров, курьеров и т. Этот порядок закрепите в Регламенте о ПД пошагово.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Находим ответ. Защита персональных данных работника

Понятие персональных данных содержит Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 6 марта г. Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника. Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника.

5 шагов по организации учета и хранения персональных данных

.

Примерная форма Положения об обработке персональных данных в организации. Приложение № Рекомендовано в качестве примерной формы Положения об обработке персональных данных.  имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Порядок ввода в действие и изменения Положения. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.

.

Защита персональных данных в организациях

.

.

.

.

.

.

Комментарии 5
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Еремей

    Читаю коментарии. Пока у нас такой народ такие же и менты и юристы будут. Человек перестал быть человеком

  2. Филимон

    30 против axaxax

  3. Феоктист

    Такi депутати хай iдуть у сра?у

  4. Христофор

    Здравствуйте. Подскажите,пожалуйста,после введения Законов 8487 и 8488 как изменился временный въезд на авто с польскими номерами по консульскому учете.Нужно ли что то платить на таможне и на сколько дней можно прибывать в Украине.

  5. Евгеиня

    Запрлата ученного должна быть высокой!

© 2018-2020 podruzhka.su