Документы по защите персональных данных в организации Образцы

С недавнего времени в силу вступили изменения к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована.

 

Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Комплекс документов и мероприятий по организации защиты персональных данных очень большой, требует кропотливой работы и больших временных затрат. В среднем найм организации, которая проведет полную подготовку Вашего предприятия к деятельности и возможным проверкам обойдется Вам в 200 - 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации - это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

 

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса,  существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

 

  • собираете и храните данные паспортов Ваших клиентов, 
  • кредитных карт,
  • телефонных номеров,
  • электронных и почтовых адресов.

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.

Комплект включает в себя:

 

  • Соглашение об обеспечении безопасности персональных данных
  • Согласие на обработку персональных данных (кандидаты на работу)
  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  • Модель угроз 1С Бухгалтерия
  • Модель угроз Компании
  • Модель угроз программного обеспечения
  • Модель угроз мобильного приложения
  • Модель угроз сервиса рассылок
  • Протокол определения ущерба 1С Бухгалтерия
  • Протокол определения ущерба Компании
  • Протокол определения ущерба программного обеспечения
  • Протокол определения ущерба мобильного приложения
  • Протокол определения ущерба сервиса рассылок
  • Акт определения уровня защищенности персональных данных 1С Бухгалтерия
  • Акт определения уровня защищенности персональных данных Компании
  • Акт определения уровня защищенности персональных данных программного обеспечения
  • Акт определения уровня защищенности персональных данных мобильного приложения
  • Акт определения уровня защищенности персональных данных рассылок
  • Техническое задание на систему защиты персональных данных 1С Бухгалтерия
  • Техническое задание на систему защиты персональных данных Компании
  • Техническое задание на систему защиты персональных данных программного обеспечения
  • Техническое задание на систему защиты персональных данных мобильного приложения
  • Техническое задание на систему защиты персональных данных рассылок
  • Приказ о назначении комиссии
  • Положение о комиссии
  • План мероприятий
  • Приказ об утверждении документов
  • Перечень должностей и третьих лиц, допущенных к обработке персональных данных
  • Обязательство о неразглашении персональных данных
  • Перечень обрабатываемых персональных данных
  • Типовое Соглашение
  • Типовая форма согласия на обработку персональных данных
  • Перечень информационных систем персональных данных
  • Перечень применяемых средств защиты информации
  • Технический паспорт информационных систем персональных данных
  • Перечень помещений для обработки персональных данных
  • Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
  • Инструкция администратора безопасности информационных систем персональных данных
  • Инструкция лица, ответственного за организацию обработки персональных данных
  • Положение об обработке персональных данных
  • Политика оператора в отношении обработки персональных данных
  • Положение об обеспечении безопасности персональных данных
  • Регламент определения уровня защищенности персональных данных
  • Уведомление в РосКомНадзор
  • Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
  • Инструкция пользователя информационных систем персональных данных
  • Регламент учёта, хранения и уничтожения носителей персональных данных
  • Регламент допуска сотрудников и третьих лиц к обработке персональных данных
  • Регламент реагирования на запросы субъектов персональных данных
  • Регламент резервного копирования персональных данных
  • Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
  • Регламент трансграничной передачи персональных данных

Главный документ, регламентирующий деятельность организации в данной сфере - положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

 

На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.

 

Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.

 

Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства. 

Штрафы за нарушения персональных данных 2018 года

Нарушения:

1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе - требует скан паспорта, водительских прав, свидетельства ИНН.

2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

 

Привлекут к ответственности по части 1, только когда действия не подпадают: 
• под часть 2 или 
• состав преступления

 

Наказание:

Предупреждение или штраф:
• гражданам - от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 30 тыс. до 50 тыс. руб.

 

Судебная практика:

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32

 

Что делать, чтобы избежать штрафа:

Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись

Нарушения:

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные - информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или 
• к сведениям о реализуемых требованиях к защите персональных данных

 

Наказание:

Штраф:

• гражданам - от 3 тыс. до 5 тыс. руб.;

• должностному лицу и предпринимателю - от 10 тыс. до 20 тыс. руб.;
• организации - от 15 тыс. до 75 тыс. руб.


Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.

 

Судебная практика:

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016. 

 

Что делать, чтобы избежать штрафа:

1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения

 

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.

 

Нарушения:

1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.

 

Наказание:

Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.

 

Судебная практика:

Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016

 

Что делать, чтобы избежать штрафа:

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных

 

Консультации(6)

  • Света

    Так юрист нашего предприятия должен согласовывать эти документы или он обоснованно отказывается?

    27.08.2018   0   0   Ответить
  • Администратор портала   Света

    Согласовать должен.

    27.08.2018   0   0   Ответить
  • Света

    В договоре прописано, что исполнитель выполняет работы по разработке комплекта проектов орд, которые оформляются в соответствии с требованиями внутренней нормативной документацией заказчика, а в нашей внутренней документацией так и определено, что должно быть согласование. Фирма выполнила условие договора и сделала эти проекты

    27.08.2018   0   0   Ответить
  • Администратор портала   Света

    Значит она отвечает только за сами документы.

    27.08.2018   0   0   Ответить
  • Света

    Здравствуйте. Ответьте пожалуйста на такой вопрос. На предприятии делают систему защиты персональных данных в информационных системах. Обследование систем провела специализированная фирма и подготовила и рекомендовала разработать комплект орд,. В этих орд есть согласование, юрист предприятия отказывается согласовывать эти документы, мотивируя это тем, что пускай фирма берет на себя ответственность. Но это же неправильно, эти документы внутренние, которые будут регламентировать работу на предприятии по защите ИСПДн. Юрист прав или нет?

    27.08.2018   0   0   Ответить
  • Администратор портала   Света

    А это уже зависит от договора, который заключен между сторонами. Некоторые только разработку документов делают, другие весь процесс под ключ с ответственностью.

    27.08.2018   0   0   Ответить

Добавить вопрос или комментарий

Сообщение должно содержать, хотя-бы, 2 символа

 

 

Посещаемость:

Яндекс.Метрика