Документальное оформление мероприятий по обеспечению защиты персональных данных

Читайте начало: Разработка документов по защите персональных данных

Первым документом по реализации требований закона 152-фз стал у меня приказ руководителя о проведении необходимых мероприятий:

ООО «НАША ФИРМА»

г.Москва                                                                    Дата

 

ПРИКАЗ № __

О проведении мероприятий по защите персональных данных

Во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:

1. Создать комиссию по проведению мероприятий по защите персональных данных в составе:

Председатель комиссии:

Члены комиссии:

2. Комиссии провести следующие работы:

— определить перечень данных персонального характера, обрабатываемых в организации;

— оценить наличие согласий субъектов персональных данных на обработку данных и в случае их отсутствия принять меры по их получению;

— определить перечень лиц, осуществляющих обработку и хранение персональных данных;

— определить характеристики информационной системы персональных данных (используемые технические и программные средства, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения);

— определить перечень угроз в части соблюдения безопасности информации, разработать модель угроз и определить класс информационной системы персональных данных;

— проработать вопрос о необходимости направления уведомления в Роскомнадзор с целью включения в реестр операторов (и в случае принятия решения о необходимости — подготовить и направить);

— разработать порядок работы с персональными данными;

— разработать Положение о защите персональных данных;

— определить перечень и разработать прочие документы, необходимые для соответствия требованиям законодательства в части защиты персональных данных.

3. Председателю комиссии представить результаты работы комиссии в срок до ___.

4. Контроль за выполнением настоящего приказа оставляю за собой.

            Генеральный директор

Следующим документом стал акт комиссии:

ООО «НАША ФИРМА»

г.Москва                                                                                           Дата

Акт о проведении мероприятий по защите персональных данных

1. Комиссия в составе:

Председатель комиссии:

Члены комиссии:

составила настоящий акт о том, что в соответствии с приказом генерального директора № ___ от ___ в ходе проведения мероприятий по защите персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – закон 152-ФЗ) было выявлено следующее:

 1.1.В организации осуществляется обработка данных персонального характера работников и клиентов-физических лиц.

 1.1.1.      Персональные данные работника — любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая организации в связи с трудовыми отношениями, в том числе:

— фамилия, имя, отчество работника;

— дата и место рождения работника;

— адрес проживания (регистрации) работника, контактные телефоны;

— семейное, социальное, имущественное положение работника;

— образование, профессия работника;

— доходы, имущество и имущественные обязательства работника;

— другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

Цель обработки персональных данных работника – исполнение трудового договора, сторонами которого является работник и организация, включая представление отчетности по физическим лицам в государственные органы в соответствии с требованиями законодательства.

 1.1.2.      Персональные данные клиента-физического лица — любая информация, относящаяся к данному физическому лицу (субъекту персональных данных) и необходимая компании в связи с продажей товаров по заказам/оказанием услуг/выполнением работ физическим лицам, в том числе:

— фамилия, имя, отчество клиента;

— контактный телефон клиента;

— адрес доставки товара, заказанного клиентом;

— в отдельных случаях — паспортные данные клиента;

— другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

Цель обработки персональных данных клиента — исполнение договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого является клиент, а другой –организация.

 1.2.В пункте 1 статьи 6 закона 152-ФЗ перечислены случаи, в которых допускается обработка персональных данных. Перечень является исчерпывающем и включает в себя следующие случаи обработки данных персонального характера:

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (подпункт 1 пункта 1 статьи 6);

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (подпункт 5 пункта 1 статьи 6).

Таким образом, в соответствии с законом 152-ФЗ организация в качестве оператора имеет право обрабатывать персональные данные:

— работников в рамках исполнения трудового договора в объеме, необходимом для выполнения своих обязательств перед работником и государственными органами в соответствии с требованиями законодательства (не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6);

— работников в объеме, превышающем необходимый для выполнения своих обязательств перед работником и государственными органами в соответствии с требованиями законодательства, включая (но не ограничиваясь) предоставление третьим лицам данных персонального характера работника — при наличии письменного согласия работника (требуется письменное согласие субъекта персональных данных на основании подпункта 1 пункта 1 статьи 6);

— клиентов – физических лиц, обратившихся в организацию с целью заключения договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого (или выгодоприобретателем по которому) является клиент, а другой –организация, в объеме, необходимом для заключения указанного договора (не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6);

— клиентов – физических лиц в рамках исполнение договора по продаже товаров/выполнению работ/оказанию услуг, одной из сторон которого (или выгодоприобретателем по которому) является клиент, а другой –организация, в объеме, необходимом для исполнения указанного договора(не требуется письменное согласие субъекта персональных данных на основании подпункта 5 пункта 1 статьи 6).

 1.3.Перечень работников, осуществляющих обработку и хранение персональных данных, представлен в Приложении 1 к настоящему акту.

 1.4.Исходя из категории и объема обрабатываемых данных информационная система компании, обрабатывающая персональные данные, относится к классу К3.

 1.5.Информационная система персональных данных включает:

— бумажные и электронные копии документов, касающихся работников;

— договоры-заказы с клиентами-физическими лицами в бумажном виде и их электронные варианты и/или копии;

— заказы-наряды, на основании которых осуществляется доставка товаров покупателям-физическим лицам, в бумажном виде и в виде документа 1С (набор информации в определенных полях);

— программа «1С:Предприятие»;

— файлы офисных приложений с информацией о физических лицах.

 1.6.На основе анализа существующей информационной системы персональных данных в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008, и Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, определено, что перечень угроз безопасности персональных данных соответствует Типовой модели угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, а именно:

— угрозы утечки информации по техническим каналам;

— угрозы несанкционированного доступа к персональным данным, обрабатываемым на автоматизированном рабочем месте.

 1.7.В организации существует многопользовательский режим обработки персональных данных с использованием разных прав доступа к ним пользователей. При этом применяются следующие методы и способы защиты информации:

а) управление доступом: идентификация и проверка подлинности пользователя при входе в локальную сеть и в программу «1С:Предприятие» (далее – система) по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет: регистрация входа (выхода) пользователя в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (логин) пользователя, предъявленный при попытке доступа;

в) обеспечение целостности: обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;

периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

 1.8.Направление уведомления в Роскомнадзор с целью включения в реестр операторов не требуется на основании п.2 ст.22 Федерального закона № 152-ФЗ.

2.      По результатам проведенного анализа комиссия предлагает:

 2.1.Утвердить Положение о персональных данных работников (проект представлен в Приложении 2 к настоящему акту).

 2.2.Внести в форму трудового договора пункт о согласии работника на обработку персональных данных следующего содержания:

«10.6. Я, ФИО, даю согласие Работодателю (Оператору) на весь срок действия трудового договора на:

— обработку моих персональных данных с использованием средств автоматизации или без использования таких средств (паспортные данные, данные об образовании, профессии и др., согласно Положению о персональных данных работников);

— передачу моих персональных данных с целью соблюдения действующего законодательства РФ в Пенсионный фонд, Фонд обязательного медицинского страхования, Фонд социального страхования, Центр занятости населения, налоговые органы, Сбербанк, органы соцзащиты, военкомат;

— передачу отдельных персональных данных контрагентам Работодателя с целью выполнения мной моих трудовых функций, включая: фамилия, имя, отчество; рабочий телефон; мобильный телефон; изготовление визитных карточек с указанными персональными данными;

— размещение отдельных персональных данных на сайте Работодателя, включая: фамилия, имя, отчество; рабочий телефон; фото.

Подпись»

По действующим трудовым договорам с работниками подписать дополнительные соглашения с аналогичным пунктом.

 2.3.Утвердить Положение о персональных данных клиентов (проект представлен в Приложении 3 к настоящему акту).

 2.4.Утвердить приказом руководителя перечень работников, допущенных к обработке персональных данных работников и клиентов-физических лиц.

 2.5.Заключить со всеми работниками, связанными с получением, обработкой и защитой персональных данных работников, Соглашение о неразглашении персональных данных работников (проект Представлен в Приложении 4 к настоящему акту).

 2.6.Заключить со всеми работниками, связанными с получением, обработкой и защитой персональных данных клиентов, Соглашение о неразглашении персональных данных клиентов (проект Представлен в Приложении 5 к настоящему акту).

 Председатель комиссии:

Члены комиссии:

Далее к Акту прилагаются поименованные в нем приложения (первое составлено мной, остальные найдены в Интернете и доработаны):

Приложение 1 к Акту

Приложение 2 к Акту

Приложение 3 к Акту

Приложение 4 к Акту

Приложение 5 к Акту

Последний документ — приказ генерального директора по результатам работы комиссии:

ООО «НАША ФИРМА»

г.Москва                                                                 Дата

Приказ № _____

Об утверждении документов по защите персональных данных

В соответствие с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и по результатам работы комиссии по проведению мероприятий по защите персональных данных

ПРИКАЗЫВАЮ:

1. Утвердить Положение о персональных данных работников.

2. Утвердить Положение о персональных данных клиентов.

3. Утвердить Перечень лиц, допущенных к обработке и хранению персональных данных.

4. Главному бухгалтеру (иному лицу, ответственному за ведение кадрового учета):

— подписать с работниками, указанными в Перечне (см.п.3), Соглашение о неразглашении персональных данных работников и/или Соглашение о неразглашении персональных данных клиентов (в редакции Приложений 4 и 5 к Акту о проведении мероприятий по защите персональных данных);

— подготовить и заключить дополнительные соглашения к действующим трудовым договорам с работниками о согласии работника на обработку персональных данных (в редакции пункта 2.2 Акта о проведении мероприятий по защите персональных данных);

— при заключении трудовых договоров с вновь поступающими работниками включать в них соответствующий пункт о согласии работника на обработку персональных данных.

5. Лицом, ответственным за обеспечение безопасности автоматизированной обработки персональных данных, назначить _________________.

6. Лицом, ответственным за организацию обработки персональных данных, назначить ____________________.

7. Контроль за выполнением настоящего приказа оставляю за собой.

 Генеральный директор

К этому приказу прилагаются поименованные в нем приложения, которые делаем путем редактирования приложений к акту (см.выше): удаляем слово «Проект», добавляем «Утверждено Приказом №__ от __». Далее с сотрудниками оформляются документы, указанные в п.4 приказа.

В заключение отмечу, что все эти документы согласованы с юристами и одобрены ими (их корректировки носили технический характер).

Надеюсь, мой опыт окажется кому-нибудь полезен.

 

Статьи по теме:

Разработка документов по защите персональных данных

Расходы на разработку документов по обеспечению безопасности обработки персональных данных учитываются при УСН

11 комментариев to “Документальное оформление мероприятий по обеспечению защиты персональных данных”

  • Спасибо за выкладку. Я еще не совсем разобрался с этим делом, только начинаю вникать что к чему, но разве не должна быть составлена еще и модель угроз для предприятия?

    • Да, Вы правы, если строго соответствовать требованиям законодательства в области защиты персональных данных, то необходима, в том числе, и модель угроз. Пожалуй, я сознательно пропустила этот документ и сделала это по следующей причине. На мой взгляд, ресурсы, затрачиваемые на проведение какого-либо мероприятия или подготовку какого-либо документа, должны быть соизмеримы с эффектом, получаемым в результате этого мероприятия. Разработка модели угроз априори предполагает задействование большого количества ресурсов — интеллектуальных (в случае самостоятельной разработки) или материальных (в случае привлечения сторонних специалистов). Я в своей публикации сразу очертила рамки организации, применительно к которой подобный набор документов может считаться исчерпывающим. Это малое предприятие с небольшими оборотами, штатное расписание которого не предполагает отдельной должности для реализаций требований закона о персональных данных. С другой стороны, это предприятие, хоть и малое, но должно каким-то образом выполнять требования разных (в том числе, не очень логичных и понятных) законов, обязательных для всех юридических лиц. Таким образом, представленный перечень документов можно рассматривать как вариант комплекса мер по организации защиты персональных данных, адаптированный для небольших предприятий, руководители которых уверены в отсутствии угрозы безопасности информационных систем своих организаций, но не хотят быть привлечены к ответственности за отсутствие мероприятий по их защите.

  • Ольга Ивановна:

    Я так долго искала более-менее вразумительную информацию по организации мероприятий по защите персональной информации…Спасибо Вам большое за такое подробное объяснение перечня и форм необходимых документов по реализации требований закона 152-ФЗ…на сегодняшний день это лучшее что я смогла найти!!!…Еще раз СПАСИБО Вам!!!

  • Мария:

    Здравствуйте!
    Огромное Вам спасибо!организация у нас очень маленькая, да и опыта у меня маловато, несмотря на то, что юрист….
    Спасибо Вам огромное!!!
    У меня только возник вопрос — что делать, если сотрудник, из опасений утраты своих рабочих материалов, самостоятельно, периодически копирует их на собственную флешку? Запретить? Или прописать это где-то?
    Каково Ваше мнение?
    Я прочитала в положении, предложенном вами, что копирование — только с разрешения руководителя…
    Как быть в таком случае?
    Спасибо огромное!!!

    • Здравствуйте. Рада, что Вам пригодились мои труды.
      По поводу Вашего вопроса. Конечно, сложно запретить сотруднику копировать что-то на личную флешку. Думаю, решение должен принимать руководитель: только он может оценить, насколько опасен для бизнеса «вынос» информации из офиса. Опять же, надо учитывать, что даже если запретить копирование путем включения соответствующего пункта в соответствующий документ, это не гарантирует 100-процентное выполнение этого требования сотрудниками. С другой стороны, этот пункт в локальном акте может служить для «устрашения» сотрудников, дабы не было желания поделиться конфиденциальной информацией с конкурентами. Но Вы должны понимать, что проверить выполнение будет сложно (это уже вопрос доверия к сотрудникам), как и доказать факт передачи информации «на сторону».
      Желаю Вам удачи!

    • Светлана:

      Выдать работнику промаркированную и зарегистрированную в Журнале учета съемных носителей флешку — пусть копирует сколько хочет, только нужна еще Инструкция о порядке хранения и уничтожения съемных носителей. Скопирует флешку и передает ее ответственному или хранит у себя в сейфе. При уходе в отпуск или увольнении должен сдать носитель.

  • Анна:

    Здравствуйте, Статья просто отменная, спасибо огромное. Единственно, указанные Вами приложения, цитирую «Далее к Акту прилагаются поименованные в нем приложения (первое составлено мной, остальные найдены в Интернете и доработаны)» не открываются. Как можно с ними ознакомиться? Буду очень признательна, если отправите на почту. За ранее спасибо.

    • Здравствуйте, Анна. Спасибо за интерес к моей статье. Почему-то после очередного обновления блога пропали все картинки и файлы. Выслала, что Вы просили на почту.

      • Здравствуйте Ольга. Спасибо за интересные статьи. Огромная просьба отправить мне на почту приложения №1-5 к актам. Спасибо.

Leave a Reply

Advertisement
Рубрики
Страницы
Архивы
Счетчики
Яндекс.Метрика