Документы по защите персональных данных в организации. Минимальная цена.
С недавнего времени в силу вступили изменения к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована.
Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).
Комплекс документов и мероприятий по организации защиты персональных данных очень большой, требует кропотливой работы и больших временных затрат. В среднем найм организации, которая проведет полную подготовку Вашего предприятия к деятельности и возможным проверкам обойдется Вам в 200 - 250 тыс. рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации - это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.
Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:
- собираете и храните данные паспортов Ваших клиентов,
- кредитных карт,
- телефонных номеров,
- электронных и почтовых адресов.
Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.
Документы по защите персональных данных в организации Образцы:
- Соглашение об обеспечении безопасности персональных данных
- Согласие на обработку персональных данных (кандидаты на работу)
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Модель угроз 1С Бухгалтерия
- Модель угроз Компании
- Модель угроз программного обеспечения
- Модель угроз мобильного приложения
- Модель угроз сервиса рассылок
- Протокол определения ущерба 1С Бухгалтерия
- Протокол определения ущерба Компании
- Протокол определения ущерба программного обеспечения
- Протокол определения ущерба мобильного приложения
- Протокол определения ущерба сервиса рассылок
- Акт определения уровня защищенности персональных данных 1С Бухгалтерия
- Акт определения уровня защищенности персональных данных Компании
- Акт определения уровня защищенности персональных данных программного обеспечения
- Акт определения уровня защищенности персональных данных мобильного приложения
- Акт определения уровня защищенности персональных данных рассылок
- Техническое задание на систему защиты персональных данных 1С Бухгалтерия
- Техническое задание на систему защиты персональных данных Компании
- Техническое задание на систему защиты персональных данных программного обеспечения
- Техническое задание на систему защиты персональных данных мобильного приложения
- Техническое задание на систему защиты персональных данных рассылок
- Приказ о назначении комиссии
- Положение о комиссии
- План мероприятий
- Приказ об утверждении документов
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных
- Обязательство о неразглашении персональных данных
- Перечень обрабатываемых персональных данных
- Типовое Соглашение
- Типовая форма согласия на обработку персональных данных
- Перечень информационных систем персональных данных
- Перечень применяемых средств защиты информации
- Технический паспорт информационных систем персональных данных
- Перечень помещений для обработки персональных данных
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
- Инструкция администратора безопасности информационных систем персональных данных
- Инструкция лица, ответственного за организацию обработки персональных данных
- Положение об обработке персональных данных
- Политика оператора в отношении обработки персональных данных
- Положение об обеспечении безопасности персональных данных
- Регламент определения уровня защищенности персональных данных
- Уведомление в РосКомНадзор
- Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
- Инструкция пользователя информационных систем персональных данных
- Регламент учёта, хранения и уничтожения носителей персональных данных
- Регламент допуска сотрудников и третьих лиц к обработке персональных данных
- Регламент реагирования на запросы субъектов персональных данных
- Регламент резервного копирования персональных данных
- Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
- Регламент трансграничной передачи персональных данных
Главный документ, регламентирующий деятельность организации в данной сфере - положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.
На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.
Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.
Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.
Законодательство о защите персональных данных в РФ
- Конституция РФ
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
- Трудовой кодекс РФ
- Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных"
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
- Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных»
- Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
- Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
- Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»
Штрафы за нарушения персональных данных 2018 года
Нарушения:
1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе - требует скан паспорта, водительских прав, свидетельства ИНН.
2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.
Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступления
Наказание:
Предупреждение или штраф:
• гражданам - от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 30 тыс. до 50 тыс. руб.
Судебная практика:
Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32
Что делать, чтобы избежать штрафа:
Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись
Нарушения:
1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные - информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных
Наказание:
Штраф:
• гражданам - от 3 тыс. до 5 тыс. руб.;
• должностному лицу и предпринимателю - от 10 тыс. до 20 тыс. руб.;
• организации - от 15 тыс. до 75 тыс. руб.
Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.
Судебная практика:
Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.
Что делать, чтобы избежать штрафа:
1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения
Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.
Нарушения:
1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.
Наказание:
Предупреждение или штраф:
• гражданам - от 700 руб. до 1,5 тыс. руб.;
• должностному лицу - от 3 тыс. до 6 тыс. руб.;
• предпринимателю - от 5 тыс. до 10 тыс. руб.;
• организации - от 15 тыс. до 30 тыс. руб.
Судебная практика:
Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016
Что делать, чтобы избежать штрафа:
Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных
Задать вопрос юристу или оставить свой комментарий
Консультации0