Документальное оформление мероприятий по обеспечению защиты персональных данных
Читайте начало: Разработка документов по защите персональных данных
Первым документом по реализации требований закона 152-фз стал у меня приказ руководителя о проведении необходимых мероприятий:
ООО «НАША ФИРМА»
г.Москва Дата
ПРИКАЗ № __
О проведении мероприятий по защите персональных данных
Во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Создать комиссию по проведению мероприятий по защите персональных данных в составе:
Председатель комиссии:
Члены комиссии:
2. Комиссии провести следующие работы:
— определить перечень данных персонального характера, обрабатываемых в организации;
— оценить наличие согласий субъектов персональных данных на обработку данных и в случае их отсутствия принять меры по их получению;
— определить перечень лиц, осуществляющих обработку и хранение персональных данных;
— определить характеристики информационной системы персональных данных (используемые технические и программные средства, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения);
— определить перечень угроз в части соблюдения безопасности информации, разработать модель угроз и определить класс информационной системы персональных данных;
— проработать вопрос о необходимости направления уведомления в Роскомнадзор с целью включения в реестр операторов (и в случае принятия решения о необходимости — подготовить и направить);
— разработать порядок работы с персональными данными;
— разработать Положение о защите персональных данных;
— определить перечень и разработать прочие документы, необходимые для соответствия требованиям законодательства в части защиты персональных данных.
3. Председателю комиссии представить результаты работы комиссии в срок до ___.
4. Контроль за выполнением настоящего приказа оставляю за собой.
Генеральный директор
Следующим документом стал акт комиссии:
ООО «НАША ФИРМА»
г.Москва Дата
Акт о проведении мероприятий по защите персональных данных
1. Комиссия в составе:
Председатель комиссии:
Члены комиссии:
составила настоящий акт о том, что в соответствии с приказом генерального директора № ___ от ___ в ходе проведения мероприятий по защите персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – закон 152-ФЗ) было выявлено следующее:
1.1.В организации осуществляется обработка данных персонального характера работников и клиентов-физических лиц.
1.1.1. Персональные данные работника — любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая организации в связи с трудовыми отношениями, в том числе:
— фамилия, имя, отчество работника;
— дата и место рождения работника;
— адрес проживания (регистрации) работника, контактные телефоны;
— семейное, социальное, имущественное положение работника;
— образование, профессия работника;
— доходы, имущество и имущественные обязательства работника;
— другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
Цель обработки персональных данных работника – исполнение трудового договора, сторонами которого является работник и организация, включая представление отчетности по физическим лицам в государственные органы в соответствии с требованиями законодательства.
1.1.2. Персональные данные клиента-физического лица — любая информация, относящаяся к данному физическому лицу (субъекту персональных данных) и необходимая компании в связи с продажей товаров по заказам/оказанием услуг/выполнением работ физическим лицам, в том числе:
— фамилия, имя, отчество клиента;
— контактный телефон клиента;
— адрес доставки товара, заказанного клиентом;
— в отдельных случаях — паспортные данные клиента;
— другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
Цель обработки персональных данных клиента — исполнение договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого является клиент, а другой –организация.
1.2.В пункте 1 статьи 6 закона 152-ФЗ перечислены случаи, в которых допускается обработка персональных данных. Перечень является исчерпывающем и включает в себя следующие случаи обработки данных персонального характера:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (подпункт 1 пункта 1 статьи 6);
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (подпункт 5 пункта 1 статьи 6).
Таким образом, в соответствии с законом 152-ФЗ организация в качестве оператора имеет право обрабатывать персональные данные:
— работников в рамках исполнения трудового договора в объеме, необходимом для выполнения своих обязательств перед работником и государственными органами в соответствии с требованиями законодательства (не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6);
— работников в объеме, превышающем необходимый для выполнения своих обязательств перед работником и государственными органами в соответствии с требованиями законодательства, включая (но не ограничиваясь) предоставление третьим лицам данных персонального характера работника — при наличии письменного согласия работника (требуется письменное согласие субъекта персональных данных на основании подпункта 1 пункта 1 статьи 6);
— клиентов – физических лиц, обратившихся в организацию с целью заключения договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого (или выгодоприобретателем по которому) является клиент, а другой –организация, в объеме, необходимом для заключения указанного договора (не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6);
— клиентов – физических лиц в рамках исполнение договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого (или выгодоприобретателем по которому) является клиент, а другой –организация, в объеме, необходимом для исполнения указанного договора(не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6).
1.3.Перечень работников, осуществляющих обработку и хранение персональных данных, представлен в Приложении 1 к настоящему акту.
1.4.Исходя из категории и объема обрабатываемых данных информационная система компании, обрабатывающая персональные данные, относится к классу К3.
1.5.Информационная система персональных данных включает:
— бумажные и электронные копии документов, касающихся работников;
— договоры-заказы с клиентами-физическими лицами в бумажном виде и их электронные варианты и/или копии;
— заказы-наряды, на основании которых осуществляется доставка товаров покупателям-физическим лицам, в бумажном виде и в виде документа 1С (набор информации в определенных полях);
— программа «1С:Предприятие»;
— файлы офисных приложений с информацией о физических лицах.
1.6.На основе анализа существующей информационной системы персональных данных в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008, и Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, определено, что перечень угроз безопасности персональных данных соответствует Типовой модели угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, а именно:
— угрозы утечки информации по техническим каналам;
— угрозы несанкционированного доступа к персональным данным, обрабатываемым на автоматизированном рабочем месте.
1.7.В организации существует многопользовательский режим обработки персональных данных с использованием разных прав доступа к ним пользователей. При этом применяются следующие методы и способы защиты информации:
а) управление доступом: идентификация и проверка подлинности пользователя при входе в локальную сеть и в программу «1С:Предприятие» (далее – система) по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
б) регистрация и учет: регистрация входа (выхода) пользователя в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (логин) пользователя, предъявленный при попытке доступа;
в) обеспечение целостности: обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.
1.8.Направление уведомления в Роскомнадзор с целью включения в реестр операторов не требуется на основании п.2 ст.22 Федерального закона № 152-ФЗ.
2. По результатам проведенного анализа комиссия предлагает:
2.1.Утвердить Положение о персональных данных работников (проект представлен в Приложении 2 к настоящему акту).
2.2.Внести в форму трудового договора пункт о согласии работника на обработку персональных данных следующего содержания:
«10.6. Я, ФИО, даю согласие Работодателю (Оператору) на весь срок действия трудового договора на:
— обработку моих персональных данных с использованием средств автоматизации или без использования таких средств (паспортные данные, данные об образовании, профессии и др., согласно Положению о персональных данных работников);
— передачу моих персональных данных с целью соблюдения действующего законодательства РФ в Пенсионный фонд, Фонд обязательного медицинского страхования, Фонд социального страхования, Центр занятости населения, налоговые органы, Сбербанк, органы соцзащиты, военкомат;
— передачу отдельных персональных данных контрагентам Работодателя с целью выполнения мной моих трудовых функций, включая: фамилия, имя, отчество; рабочий телефон; мобильный телефон; изготовление визитных карточек с указанными персональными данными;
— размещение отдельных персональных данных на сайте Работодателя, включая: фамилия, имя, отчество; рабочий телефон; фото.
Подпись»
По действующим трудовым договорам с работниками подписать дополнительные соглашения с аналогичным пунктом.
2.3.Утвердить Положение о персональных данных клиентов (проект представлен в Приложении 3 к настоящему акту).
2.4.Утвердить приказом руководителя перечень работников, допущенных к обработке персональных данных работников и клиентов-физических лиц.
2.5.Заключить со всеми работниками, связанными с получением, обработкой и защитой персональных данных работников, Соглашение о неразглашении персональных данных работников (проект Представлен в Приложении 4 к настоящему акту).
2.6.Заключить со всеми работниками, связанными с получением, обработкой и защитой персональных данных клиентов, Соглашение о неразглашении персональных данных клиентов (проект Представлен в Приложении 5 к настоящему акту).
Председатель комиссии:
Члены комиссии:
Далее к Акту прилагаются поименованные в нем приложения (первое составлено мной, остальные найдены в Интернете и доработаны):
Последний документ — приказ генерального директора по результатам работы комиссии:
ООО «НАША ФИРМА»
г.Москва Дата
Приказ № _____
Об утверждении документов по защите персональных данных
В соответствие с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и по результатам работы комиссии по проведению мероприятий по защите персональных данных
ПРИКАЗЫВАЮ:
1. Утвердить Положение о персональных данных работников.
2. Утвердить Положение о персональных данных клиентов.
3. Утвердить Перечень лиц, допущенных к обработке и хранению персональных данных.
4. Главному бухгалтеру (иному лицу, ответственному за ведение кадрового учета):
— подписать с работниками, указанными в Перечне (см.п.3), Соглашение о неразглашении персональных данных работников и/или Соглашение о неразглашении персональных данных клиентов (в редакции Приложений 4 и 5 к Акту о проведении мероприятий по защите персональных данных);
— подготовить и заключить дополнительные соглашения к действующим трудовым договорам с работниками о согласии работника на обработку персональных данных (в редакции пункта 2.2 Акта о проведении мероприятий по защите персональных данных);
— при заключении трудовых договоров с вновь поступающими работниками включать в них соответствующий пункт о согласии работника на обработку персональных данных.
5. Лицом, ответственным за обеспечение безопасности автоматизированной обработки персональных данных, назначить _________________.
6. Лицом, ответственным за организацию обработки персональных данных, назначить ____________________.
7. Контроль за выполнением настоящего приказа оставляю за собой.
Генеральный директор
К этому приказу прилагаются поименованные в нем приложения, которые делаем путем редактирования приложений к акту (см.выше): удаляем слово «Проект», добавляем «Утверждено Приказом №__ от __». Далее с сотрудниками оформляются документы, указанные в п.4 приказа.
В заключение отмечу, что все эти документы согласованы с юристами и одобрены ими (их корректировки носили технический характер).
Надеюсь, мой опыт окажется кому-нибудь полезен.
Статьи по теме:
Спасибо за выкладку. Я еще не совсем разобрался с этим делом, только начинаю вникать что к чему, но разве не должна быть составлена еще и модель угроз для предприятия?
Да, Вы правы, если строго соответствовать требованиям законодательства в области защиты персональных данных, то необходима, в том числе, и модель угроз. Пожалуй, я сознательно пропустила этот документ и сделала это по следующей причине. На мой взгляд, ресурсы, затрачиваемые на проведение какого-либо мероприятия или подготовку какого-либо документа, должны быть соизмеримы с эффектом, получаемым в результате этого мероприятия. Разработка модели угроз априори предполагает задействование большого количества ресурсов — интеллектуальных (в случае самостоятельной разработки) или материальных (в случае привлечения сторонних специалистов). Я в своей публикации сразу очертила рамки организации, применительно к которой подобный набор документов может считаться исчерпывающим. Это малое предприятие с небольшими оборотами, штатное расписание которого не предполагает отдельной должности для реализаций требований закона о персональных данных. С другой стороны, это предприятие, хоть и малое, но должно каким-то образом выполнять требования разных (в том числе, не очень логичных и понятных) законов, обязательных для всех юридических лиц. Таким образом, представленный перечень документов можно рассматривать как вариант комплекса мер по организации защиты персональных данных, адаптированный для небольших предприятий, руководители которых уверены в отсутствии угрозы безопасности информационных систем своих организаций, но не хотят быть привлечены к ответственности за отсутствие мероприятий по их защите.
Я так долго искала более-менее вразумительную информацию по организации мероприятий по защите персональной информации…Спасибо Вам большое за такое подробное объяснение перечня и форм необходимых документов по реализации требований закона 152-ФЗ…на сегодняшний день это лучшее что я смогла найти!!!…Еще раз СПАСИБО Вам!!!
Рада, что написанное Вам пригодилось. Спасибо за положительный отзыв о моей публикации.
Здравствуйте!
Огромное Вам спасибо!организация у нас очень маленькая, да и опыта у меня маловато, несмотря на то, что юрист….
Спасибо Вам огромное!!!
У меня только возник вопрос — что делать, если сотрудник, из опасений утраты своих рабочих материалов, самостоятельно, периодически копирует их на собственную флешку? Запретить? Или прописать это где-то?
Каково Ваше мнение?
Я прочитала в положении, предложенном вами, что копирование — только с разрешения руководителя…
Как быть в таком случае?
Спасибо огромное!!!
Здравствуйте. Рада, что Вам пригодились мои труды.
По поводу Вашего вопроса. Конечно, сложно запретить сотруднику копировать что-то на личную флешку. Думаю, решение должен принимать руководитель: только он может оценить, насколько опасен для бизнеса «вынос» информации из офиса. Опять же, надо учитывать, что даже если запретить копирование путем включения соответствующего пункта в соответствующий документ, это не гарантирует 100-процентное выполнение этого требования сотрудниками. С другой стороны, этот пункт в локальном акте может служить для «устрашения» сотрудников, дабы не было желания поделиться конфиденциальной информацией с конкурентами. Но Вы должны понимать, что проверить выполнение будет сложно (это уже вопрос доверия к сотрудникам), как и доказать факт передачи информации «на сторону».
Желаю Вам удачи!
Выдать работнику промаркированную и зарегистрированную в Журнале учета съемных носителей флешку — пусть копирует сколько хочет, только нужна еще Инструкция о порядке хранения и уничтожения съемных носителей. Скопирует флешку и передает ее ответственному или хранит у себя в сейфе. При уходе в отпуск или увольнении должен сдать носитель.
Здравствуйте, Статья просто отменная, спасибо огромное. Единственно, указанные Вами приложения, цитирую «Далее к Акту прилагаются поименованные в нем приложения (первое составлено мной, остальные найдены в Интернете и доработаны)» не открываются. Как можно с ними ознакомиться? Буду очень признательна, если отправите на почту. За ранее спасибо.
Здравствуйте, Анна. Спасибо за интерес к моей статье. Почему-то после очередного обновления блога пропали все картинки и файлы. Выслала, что Вы просили на почту.
Здравствуйте Ольга. Спасибо за интересные статьи. Огромная просьба отправить мне на почту приложения №1-5 к актам. Спасибо.
Вера, спасибо за проявленный к моим статьям интерес. Выслала Вам на почте то, что Вы просили.
Желаю удачи в работе!