Документы по защите персональных данных в организации Образцы

• Актуальные изменения в законодательстве

С недавнего времени в силу вступили изменения к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована.

 

Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Комплекс документов и мероприятий по организации защиты персональных данных очень большой, требует кропотливой работы и больших временных затрат. В среднем найм организации, которая проведет полную подготовку Вашего предприятия к деятельности и возможным проверкам обойдется Вам в 200 - 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации - это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

 

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса,  существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

 

• собираете и храните данные паспортов Ваших клиентов, 
• кредитных карт,
• телефонных номеров,
• электронных и почтовых адресов.

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 37 500 руб.

Комплект включает в себя:

 

• Соглашение об обеспечении безопасности персональных данных
• Согласие на обработку персональных данных (кандидаты на работу)
• Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
• Модель угроз 1С Бухгалтерия
• Модель угроз Компании
• Модель угроз программного обеспечения
• Модель угроз мобильного приложения
• Модель угроз сервиса рассылок
• Протокол определения ущерба 1С Бухгалтерия
• Протокол определения ущерба Компании
• Протокол определения ущерба программного обеспечения
• Протокол определения ущерба мобильного приложения
• Протокол определения ущерба сервиса рассылок
• Акт определения уровня защищенности персональных данных 1С Бухгалтерия
• Акт определения уровня защищенности персональных данных Компании
• Акт определения уровня защищенности персональных данных программного обеспечения
• Акт определения уровня защищенности персональных данных мобильного приложения
• Акт определения уровня защищенности персональных данных рассылок
• Техническое задание на систему защиты персональных данных 1С Бухгалтерия
• Техническое задание на систему защиты персональных данных Компании
• Техническое задание на систему защиты персональных данных программного обеспечения
• Техническое задание на систему защиты персональных данных мобильного приложения
• Техническое задание на систему защиты персональных данных рассылок
• Приказ о назначении комиссии
• Положение о комиссии
• План мероприятий
• Приказ об утверждении документов
• Перечень должностей и третьих лиц, допущенных к обработке персональных данных
• Обязательство о неразглашении персональных данных
• Перечень обрабатываемых персональных данных
• Типовое Соглашение
• Типовая форма согласия на обработку персональных данных
• Перечень информационных систем персональных данных
• Перечень применяемых средств защиты информации
• Технический паспорт информационных систем персональных данных
• Перечень помещений для обработки персональных данных
• Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
• Инструкция администратора безопасности информационных систем персональных данных
• Инструкция лица, ответственного за организацию обработки персональных данных
• Положение об обработке персональных данных
• Политика оператора в отношении обработки персональных данных
• Положение об обеспечении безопасности персональных данных
• Регламент определения уровня защищенности персональных данных
• Уведомление в РосКомНадзор
• Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
• Инструкция пользователя информационных систем персональных данных
• Регламент учёта, хранения и уничтожения носителей персональных данных
• Регламент допуска сотрудников и третьих лиц к обработке персональных данных
• Регламент реагирования на запросы субъектов персональных данных
• Регламент резервного копирования персональных данных
• Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
• Регламент трансграничной передачи персональных данных

Главный документ, регламентирующий деятельность организации в данной сфере - положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

 

На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.

 

Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.

 

Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства. 

Штрафы за нарушения персональных данных

Нарушения:

1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе - требует скан паспорта, водительских прав, свидетельства ИНН.

2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

 

Привлекут к ответственности по части 1, только когда действия не подпадают: 
• под часть 2 или 
• состав преступления

 

Наказание:

Предупреждение или штраф:
• гражданам - от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 30 тыс. до 50 тыс. руб.

 

Судебная практика:

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32

 

Что делать, чтобы избежать штрафа:

Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись

Нарушения:

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные - информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или 
• к сведениям о реализуемых требованиях к защите персональных данных

 

Наказание:

Штраф:

• гражданам - от 3 тыс. до 5 тыс. руб.;

• должностному лицу и предпринимателю - от 10 тыс. до 20 тыс. руб.;
• организации - от 15 тыс. до 75 тыс. руб.

Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.

 

Судебная практика:

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016. 

 

Что делать, чтобы избежать штрафа:

1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения

 

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.

 

Нарушения:

1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.

 

Наказание:

Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.

 

Судебная практика:

Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016

 

Что делать, чтобы избежать штрафа:

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных