Ответственный за обработку персональных данных

admin Законы Комментариев нет

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

  • Бланк и образец
  • Бесплатная загрузка
  • Онлайн просмотр
  • Проверено экспертом

ФАЙЛЫ
Скачать пустой бланк приказа об утверждения положения о персональных данных .docСкачать образец приказа об утверждения положения о персональных данных .doc

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

  • обработки личной информации сотрудников;
  • хранения и пользования данными;
  • передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

  • какие сведения относятся к категории «персональных»;
  • кто имеет доступ к сведениям работников личного характера;
  • как осуществляется сохранность персональных данных (на каком носителе);
  • в каком порядке происходит обработка информации;
  • где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
  • на каких основаниях и кому могут передаваться данные о работнике;
  • как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
  • порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

  • о согласии с обработкой своих личных данных;
  • о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

  • специалистом по кадрам;
  • юристом компании;
  • помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Приказ должен включать в себя следующие элементы:

  1. Вводную часть, в которой будет указываться:
    • наименование работодателя;
    • номер, название и дата приказа;
    • город места составления;
    • основания вынесения.
  2. Основную часть, в которой прописываются:
    • факт утверждения положения по личным данным работников;
    • срок, с которого положение вводится в действие;
    • должностное лицо, допущенное к работе с личной информацией;

    • степень полноты допуска должностных лиц к сведениям.
  3. Заключительную часть, которая содержит:
    • указание ответственного за выполнение приказа лица;
    • обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
    • подпись руководителя или надлежащим образом уполномоченного заместителя;
    • дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

Ошибки

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

  1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
    • до 70 тысяч рублей (для юридического лица);
    • до 5 тысяч рублей (для ИП).

    2. Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

  2. В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.

Сроки хранения документов

В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

Обязательство о неразглашении персональных данных — один из самых популярных локальных нормативных актов на предприятии в последние годы. Для хранения и обработки таких данных граждан необходимо правильно организовать доступ к ним персонала организации. Статья рассказывает, что включить в обязательство, кто его подписывает, какова роль ответственного за организацию обработки конфиденциальных данных.

Кто имеет доступ к личным данным

Такой доступ имеют многие:

  • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
  • менеджер по работе с клиентами — доступ к информации о клиентах компании;
  • начальник отдела кадров — при оформлении человека на работу;
  • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки. Число таких сотрудников на уровне закона не оговорено. Но в их обязанности входит:

  • контроль за соблюдением оператором и его работниками Федерального закона от 27.07.2006 № 152-ФЗ и других подзаконных актов;
  • доведение до сведения работающих положения законодательства и локальных актов о персональных данных;
  • организация приема и обработки обращений и запросов субъектов персональных данных.

Бланк и форма обязательства о неразглашении персональных данных работников

Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально.

Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также об осуществлении работниками их трудовых прав. Образец приказа о неразглашении персональных данных можно скачать в конце статьи.

Данный вопрос может регулироваться трудовыми договорами, приказами, должностными инструкциями и внутренними положениями о порядке работы с такими данными. Работодателю необходимо получить от своих сотрудников, работающих с персональными данными, подтверждение согласия на получение доступа к этим данным, на соблюдение правил их обработки и хранения.

Для этого на предприятии разрабатывается образец обязательства о неразглашении персональных данных работников. Его текст составляют на основании п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.

Содержание обязательства

В законодательстве отсутствуют единые требования к содержанию обязательства по неразглашению персональной информации сотрудников. Но в отношении ответственных лиц, обрабатывающих личные данные без средств автоматизации, установлены специальные требования. В этом случае они должны быть проинформированы о:

  • факте обработки ими такого типа данных без использования средств автоматизации;
  • категориях данных, подлежащих защите;
  • особенностях и правилах осуществления их обработки, установленных законодательно и локальными правовыми актами организации.

Все эти условия целесообразно включать и в обязательства других работников, которые по роду и характеру деятельности получают доступ к конфиденциальным данным.

Также в обязательстве о неразглашении должен содержаться открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать:

  • биографические данные граждан;
  • места их работы и жительства, номера телефонов;
  • адреса электронной почты и т. д.

Далее нужно предусмотреть место для подписи работника, подтверждающей, что он:

  • понимает, что для выполнения должностных обязанностей ему предоставляется доступ к личным данным других работников или иных лиц;
  • ознакомлен с содержанием ст. 90 ТК РФ об ответственности за разглашение данных;
  • знает и применяет в работе локальные документы (инструкции, положения и др.), содержащие требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников).

Ответственность за разглашение персональных данных

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

  • разглашать сведения о премии и заработной плате работников;
  • передавать личную информацию любым партнерам;
  • терять сведения или оставлять их без присмотра;
  • отказываться выдавать справки, связанные с трудовой деятельностью сотрудников.
  • Защита персональных данных согласно приказу ФСТЭК
  • Средства защиты персональных данных
    • Технические меры по защите ПДн
  • Разработка технического задания на систему защиты ПДн

ГК «Интегрус» оказывает полный комплекс услуг по построению системы технической защиты персональных данных (ПДн). Нами предлагается выбор адекватных угрозам средств защиты, предотвращающих:

  • неправомерный доступ к персональной информации сотрудников, клиентов, поставщиков, пользователей информационных систем (ИС);
  • ее несанкционированное использование, модификацию, распространение;
  • утечку при хранении, обработке и в момент передачи по каналам связи.

Техническая защита персональных данных в информационных системах в организациях и на предприятиях бывает активной, пассивной и организационной. Пассивные методы технической защиты, как правило, требуют больших капиталовложений и серьезной доработки помещений любого центра обработки данных (ЦОД):

  • отделка помещений звукоизоляционными материалами;
  • установка решеток на окна, металлических входных дверей, турникетов, запорной арматуры на межкомнатные двери и т.д.;
  • использование железобетонных конструкций с повышенным содержанием металла (в качестве дополнительного экрана от электромагнитных помех и повышенной надежности от взлома) для возведения зданий ЦОДов (альтернатива – отделка помещений листовой сталью).

На практике пассивные методы в системах технической защиты персональных данных используются редко и (или) частично. С одной стороны, это очень дорого. С другой, часто невозможно технически (экономически нецелесообразно) или требует проведения строительно-монтажных работ «с нуля».

Почти всегда доступны для использования следующие пассивные средства технической защиты информации и персональных данных:

  • фильтры для электрических сетей (в том числе слаботочных);
  • разделительные и распределительные электрощиты;
  • замена запорной аппаратуры

Одновременно пассивными и активными методами технической защиты информации в организациях и на предприятиях являются:

  • антижучки, подавители, генераторы шума, устройства обнаружения скрытых видеокамер, детекторы радиокоммуникаций, индикаторы магнитного поля;
  • звукоизоляционная и звукоусилительная аппаратура, колонки и микрофоны, пульты управления оборудованием в защищенном исполнении;
  • специализированные средства для защиты речевой информации от утечки по акустическом, виброакустическим каналам, цепям заземления, электропитания;
  • сетевые помехоподавляющие фильтры для защиты от высокочастотных наводок.

Активные методы защиты ПДн применяются, когда контролируемая зона информационной системы превышает площадь объекта или когда использование пассивных средств нецелесообразно экономически или невозможно технически. К активным методам относятся:

  • пространственное зашумление для создания маскирующих помех в окружающем пространстве (затрудняет считывание и дешифровку электромагнитных полей, возникающих при работе мониторов, системных блоков, соединительных кабелей);
  • линейное зашумление линий электропитания;
  • генераторы шума для защиты акустической информации (в кабинетах, переговорных, офисах, включая open space, при использовании гарнитуры);
  • генераторы импульсов для уничтожения закладных устройств (жучков);
  • электромагнитное или ультразвуковое подавление диктофонов.

К организационным методами технической защиты персональных данных можно отнести:

  • проведение специальных проверок и исследований защищенности информационных систем;
  • проверки каналов и линий связи, носителей информации на внедрение электронных средств перехвата (уничтожения) информации (этот метод является одновременно и организационным и пассивным)

Технические методы защиты персональных данных разделяются на:

  • физические, ограничивающие доступ к носителям информации, например, замки на дверях, решетки на окнах, и даже использование при отделке помещений звукоизоляционных материалов для предотвращения прослушки;
  • аппаратные – активные (зашумление электромагнитных генераторов, виброакустическая защита) и пассивные (экраны и фильтры, дополнительные системы заземления);
  • программные – антивирусные программы, программное обеспечение для шифрования данных (криптографическое ПО), межсетевые экраны (брандмауэры и файрволы) между локальной и глобальной сетями, VPN, прокси-сервера.

Согласно п. 5 ч. 1 ст. 12 ФЗ от 04.05.2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации подлежит лицензированию. И хотя обработка персональных данных не является лицензируемым видом деятельности, на оператора ПДн накладываются обязательства по принятию технических мер для защиты персональных данных (ч. 1 ст. 19 ФЗ от 27.07. 2006 г. N 152-ФЗ «О персональных данных»).

При разработке мер по технической защите ПДн необходимо учитывать требования Приказа по обеспечению технической защиты информации персональных данных ФСТЭК России от 23.03.2017 №49.

Защита персональных данных согласно приказу ФСТЭК

Защитные меры устанавливаются нормативными актами ФСТЭК и Роскомнадзора. Документов множество, но содержащиеся в них формулировки размыты, а также содержат отсылки на иные правовые акты. К базовым следует отнести:

  1. Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных». Описывает правовые основания обработки ПДн (цель, сроки хранения, наличие политики, согласие не обработку).
  2. Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (требования к защите персональных данных).
  3. Приказ ФСТЭК от 11.02.2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (защита информации, не составляющей гостайну).
  4. Приказ ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (перечень технических средств), определяет уровни угроз и конкретизирует меры защиты.
  5. Приказ ФСБ РФ от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Рекомендации ФСТЭК определяют 15 групп мероприятий технического характера, каждая из которых имеет четко прописанные базовые и рекомендуемые позиции. Оператор имеет право использовать рекомендуемые меры по своему усмотрению, основываясь на актуальных моделях угроз и экономической целесообразности.

Правильность применяемых решений по защите трижды в год проверяется оператором, а в рамках выездных или документарных проверок контролируется ФСТЭК по заранее определенному плану.

Исполнение законодательства о персональных данных делегировано Роскомнадзору. ФСБ и ФСТЭК разрабатывают требования по методологии, отвечают за организацию и техническую сторону защиты ИСПДн. Требования постоянно обновляются с учетом вновь появляющихся угроз, хотя и не всегда успевают за действиями хакеров.

Средства защиты персональных данных

Технические средства защищают конфиденциальную информацию и ПДн от:

  1. Проникновения. В качестве превентивных мер используют системы:
    • разграничивающие доступ к информации;
    • криптографические, ограничивающие вывод информации за пределы защищаемого контура;
    • антивирусы;
    • межсетевые экраны;
    • блокираторы вывода-ввода информации.
  2. Технических утечек по каналам связи. В целях безопасности используются экранированные кабели, высокочастотные фильтры, шумогенераторы.

Выбор технических средств определяется классом безопасности. На этом этапе важны основные характеристики систем обработки данных, конфигурации, необходимость использования электронной подписи, установление антивирусной/криптографической защиты. Важно соблюдать баланс между оценкой угроз и финансовой целесообразностью.

Защищенность ПДн имеет 4 класса (самый первый класс – самый «высокий» по степени необходимой защиты):

  1. Здоровье, личная жизнь, политические/религиозные взгляды.
  2. Данные о человеке, позволяющие извлечь дополнительную информацию о нем.
  3. Идентификация субъекта ПДн.
  4. Сведения общие, обезличенные, не имеющие привязки к конкретным людям.

Чем выше класс, тем больше должно быть вложено средств и усилий. Привлечение сторонней специализированной фирмы, занимающейся организацией защитной системы персональной информации, возможно только при наличии у нее лицензии на оказание подобной услуги.

Специальные технические средства защиты необходимы при работе с данными первой категории. Все остальные классы защищаются по базовому сценарию. Чем больше обрабатываемых данных хранится и используется, тем жестче требования к охране информации.

Технические меры по защите ПДн

Создание технической защиты – трудоемкий процесс, приводящий механизмы обработки ПДн в соответствие с подзаконными актами. Организационные и технические меры по защите персональных данных имеют последовательность этапов:

  1. Получение лицензии на выполнение работ по техзащите информации.
  2. Анализ информационной ресурсной базы предприятия на соответствие методическим рекомендациям ФСТЭК учитывает:
    • перечень ПДн, нуждающихся в охране;
    • состав и структуру ИСПДн для каждого отдельного случая;
    • оценку угроз, анализ «слабых звеньев»;
    • оценку вероятного ущерба в случае нарушения безопасности;
    • обзор мероприятий и средств защиты.
  3. Обоснование требований:
    • моделирование угроз;
    • определение класса ИСПДн;
    • определение необходимости в криптографии.
  4. Проектирование, создание, ввод системы защиты:
    • перечень защитных мероприятий исходя из класса;
    • написание техзадания;
    • развертывание и ввод готовой системы.
  5. Сертификация ИСПДн по классам безопасности, в т.ч. сертификация всех информационных средств защиты. Использование иных средств должно обосновываться процедурой оценки их достаточности для обеспечения безопасности.

«Защитное поле» персональных данных имеет ряд четко прописанных норм:

  • обязательна идентификация/аутентификация всех объектов, нуждающихся в защите, с разграничением прав доступа;
  • ограничение перечня прикладного и системного ПО для каждого сотрудника, защищая ИСПДн от случайных действий;
  • обработка и хранение персональных данных осуществляется только после отладки оборудования;
  • оператор ведет постоянный мониторинг безопасности с одновременной защитой журнала проверок от удаления/модификации;
  • антивирусные комплексы являются неотъемлемой частью технической защиты информационной инфраструктуры;
  • устанавливаются системы, обнаруживающие и предотвращающие вторжения, выявляющие и анализирующие факты несанкционированного проникновения на уровнях сети или конкретного компьютера, блокируя трафик, сбрасывая соединение при превышении полномочий либо попытке внедрить вредоносное программное обеспечение;
  • использование систем обеспечения целостности информации, способных восстанавливать поврежденные компоненты и данные при повреждении системы либо их несанкционированном изменении;
  • осуществление регулярных проверок уровня защищенности информационной системы персональных данных;
  • обеспечение полноценной, непрерывной защиты за счет внедрения развернутых программных компонентов, аппаратного инструментария и актуальных настроек.

Разработка технического задания на систему защиты ПДн

Техническое задание на проектирование системы защиты персональных данных является первым этапом на выработку системы требований к ИСПДн. Техзадание включает в себя:

  • список актуальных угроз, подлежащих нейтрализации;
  • описание подсистем защиты;
  • базовый набор мер по обеспечению безопасности ПДн на основе Приказа ФСТЭК №21;
  • порядок адаптации базовых мер с учетом существующего уровня защищенности ИС и ее конфигурации (например, не требуется защита виртуальных средств, если таковые не используются).

Наиболее трудоемким является адаптация мер безопасности, т.к. на этом этапе составления технического задания нашему специалисту предстоит проанализировать предложенные меры на их достаточность. В некоторых случаях базовые решения ФСТЭК приходится дополнять собственными разработками.

Разработать, а затем внедрить комплекс мер по защите персональных данных трудно без оперирования нормативной базой, умением настраивать технические средства, работать с программным обеспечением, отвечающим требованиям информационной безопасности.

Случайная ошибка на любом из уровней защиты может оказаться фатальной, с потерей клиентуры и штрафными санкциями. Работа начинается с составления технического задания на систему защиты ПДн.

Выложенные в Интернет инструкции позволяют самостоятельно:

  • разработать регламент сбора информации;
  • уведомить Роскомнадзор о деятельности организации как оператора ПДн;
  • определить роли и разграничение доступа.

Этап составления политики и подбора угроз требует глубоких, и, главное, актуальных знаний:

  • документации ФСБ и ФСТЭК;
  • ориентации в классах СВТ;
  • антивирусов, межсетевых экранов;
  • обеспечения безотказности и конфиденциальности связи для сегментов ИСПДн.

Крупные организации способны ввести в штат группу специалистов, отвечающих за безопасность информации, которым делегируются полномочия по получению лицензии, созданию и поддержке системы защиты персональных данных.

Небольшие организации чаще привлекают сторонник лицензиатов, профессионально занимающихся информационной защитой, знающих нормативную и правовую базы, имеющих опыт создания систем информационной безопасности.

Ответственный за обработку персональных данных

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *