Организация защиты персональных данных

Содержание

Защита персональных данных в организациях — Законники

Организация защиты персональных данных

Обрабатываются только персональные данные членов общественного объединения или религиозной организации.- Обрабатываются общедоступные персональные данные.- Персональные данные используются только для однократного пропуска на территорию организации.

— Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.- Персональные данные обрабатываются без использования средств автоматизации.

— Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.

— Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.

Важно

И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись.

В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных.

Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают. Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее.

Защита персональных данных в организации

Какие документы нужно подготовить, чтобы не бояться никакой проверки? Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме.

Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации. На основе Положения должны быть сделаны все остальные документы по защите персональных данных.

В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами.

Какие документы по защите персональных данных должны быть в организации

Внимание

Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных.

В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности.

Защита персональных данных

Читайте по теме в электронном журнале Права работников по защите персональных данных в организации Работник, в отношении которого осуществляется сбор сведений личного характера, должен иметь право свободно получать доступ к собранным данным, включая сведения медицинского характера.

При этом сотрудник может не только беспрепятственно знакомиться с составом собранных сведений, но и получать копии любых необходимых ему документов.
Важно, что осуществление такого доступа должно быть бесплатным.

Гарантии прав работника по защите данных В случае, если сотрудник, ознакомившись с данными, собранным в отношении него представителями организации, обнаружил неточные или недостоверные сведения, он вправе потребовать устранения ошибки или ликвидации неверной информации.

Защита персональных данных: что надо знать бухгалтеру

В середине прошлого года вступил в силу закон о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована.
Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству.

Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Любая проверка начинается с проверки документации.

7 шагов к созданию системы защиты персональных данных

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях. Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных».

В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре.

Защита персональных данных в организациях здравоохранения

Семь шагов к созданию системы защиты персональных данных в организации. 1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации.

Этот шаг оформляется приказом по предприятию «Об организации работ по обеспечению безопасности ПДн».

Приказ состоит минимум из 5 пунктов, в которых: — назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных; — дается указание о разработке локальной документации, относящейся к защите персональных данных; — создается комиссия по защите и обработке персональных данных в организации; — утверждается и вводится в действие Положение по защите и обработке персональных данных в организации. 2 шаг – проведение обследования информационных систем персональных данных организации.

Источник: http://zakonbiz.ru/zashhita-personalnyh-dannyh-v-organizatsiyah/

Закон о защите персональных данных — права и ответственность

Организация защиты персональных данных
» Персонал » Отдел Кадров » Что гласит закон о защите персональных данных

Работу с индивидуальными сведениями сотрудников регулирует закон о защите персональных данных (Полное название Федеральный Закон «О персональных данных») и Гражданский Кодекс Российской Федерации.

Обладая конфиденциальными сведениями о наемном работнике, работодатель обязан, помимо всего, обеспечить их сохранность в соответствии с законом.

Чтобы более подробно разобраться в данном вопросе, начнем, как говорится, «от печки» — для начала рассмотрим перечень персональных данных, подлежащих защите.

Перечень персональных данных подлежащих защите

Оформляя трудовые отношения с новым сотрудником, работодатель собирает и обрабатывает его персональные данные. Под персональными подразумеваются индивидуальные сведения о конкретном человеке. В том числе:

  • личностная информация: ФИО, возраст, половая принадлежность, фотоизображение;
  • сведения о полученном образовании и профессиональных навыках;
  • национальность и расовая принадлежность;
  • отношение человека к наркотическим, алкогольным, психотропным веществам;
  • сведения об этапах прошлой жизни (служба в рядах вооруженных сил, отбывание наказания, предыдущие места работы и т.п.);
  • принадлежность к политическим и религиозным течениям;
  • материальное положение;
  • сведения о месте проживания;
  • информация о родственных связях и семейном положении;
  • оценивающая характеристика личности;
  • данные о физическом и психическом состоянии сотрудника и его сексуальной ориентации;
  • наличие хобби, увлечений.

Получив необходимые сведения о своем сотруднике, наниматель обязан, согласно Федеральному Закону о защите персональных данных, обработать и сохранить их. Обрабатывая индивидуальные данные сотрудников, руководитель предприятия должен соблюдать некоторые правила, предусмотренные законом:

  1. Собирать и обрабатывать можно только те сведения личного характера, которые влияют на эффективность сотрудничества в рамках трудовых отношений, более качественное выполнение трудовых обязанностей и сохранение жизни и здоровья наемного работника.
  2. База данных работника складывается из информации, полученной от самого сотрудника и от сторонних лиц. Запрос сведений у третьих лиц может быть осуществлен только с согласия самого работника, оформленного в письменном виде.
  3. Сведения о вероисповедании, принадлежности к каким-либо политическим течениям, личной жизни, не могут быть материалом для обработки по месту трудоустройства.
  4. Также не обрабатывается информация о принадлежности к профсоюзным организациям и прочим объединениям.
  5. Запрещается принимать решения, ущемляющие личные права наемного рабочего, на основе автоматизированных или электронных данных.
  6. Обязанность по организации защиты персональных данных на предприятии лежит на работодателе.
  7. Руководитель предприятия обязан издать приказ о защите персональных данных своих сотрудников. Образец данного документа приведен ниже.
  8. Сотрудник под роспись знакомится с порядком обработки его индивидуальных сведений.
  9. В целях защиты своих персональных данных и на основе трудового права работник может не передавать нежелательную для него информацию.

Организация защиты персональных данных на предприятии

При обработке и использовании персональных данных своих сотрудников, у работодателя появляются обязанности:

  • не распространять полученные сведения;
  • предоставлять допуск к конфиденциальной информации только уполномоченным на то представителям;
  • какую-либо передачу информации осуществлять только с согласия ее владельца, оформленного в письменном виде.

Помимо прочего, работодатель не имеет права собирать и обрабатывать информацию, не относящуюся к выполнению трудовых обязательств сотрудника.

Относительно вопроса об индивидуальных сведениях работников в Трудовом Кодексе РФ есть статья 89 о защите персональных данных.

Согласно закону РФ о защите персональных данных, работник имеет право:

  • знать, как обрабатывается и хранится информация о его личности;
  • иметь доступ к базе своих персональных сведений;
  • вносить изменения в информационную базу, если таковые имеют место быть;
  • защищать свое право в судебных заседаниях в случае нарушения работодателем положений о защите персональных данных;
  • иметь представителей по защите своих прав.

Приказ о защите персональных данных образец

Защита персональных данных работника — трудовое право

К защите индивидуальных сведений граждан наше законодательство подошло очень серьезно. Нарушение права по защите личных данных, предусмотренное Конституцией РФ, карается законом. В первую очередь, наказаны будут лица, допустившие нарушения прав работника, а также и руководитель данного предприятия.

Уполномоченный сотрудник, который нарушил закон «О персональных данных», воспользовавшись своим служебным положением, подвергается наказанию в виде:

  • денежного штрафа в размере 100 000 – 300 000 рублей;
  • материального взыскания, составляющего сумму дохода за 12-24 месяца;
  • содержания под стражей до 0,5 года;
  • запрета занимать определенные должности.

Также, согласно статье 137 УК РФ, лица, виновные в распространении охраняемых законом сведений, несут ответственность в виде:

  • денежного штрафа в размере до 200 000 рублей;
  • материального взыскания, составляющего доход за 1,5 года;
  • от 120 до 180 часов обязательных работ;
  • выполнения исправительных работ сроком до 12 месяцев;
  • заключения под стражу до 4 месяцев.

Помимо всего, сотруднику, разгласившему охраняемую информацию, будет вынесен выговор, либо произойдет перевод его на другую должность, а возможно и увольнение.

Отстаивать права о защите своих индивидуальных сведений гражданин будет в судебном заседании. Доказав нарушения норм законодательства относительно персональных данных, работник может рассчитывать на возмещение материального и морального ущерба.

Поделитесь своим комментарием

Источник: https://ktovdele.ru/zaschite-personalnyih-dannyih.html

Положение о защите персональных данных работников

Организация защиты персональных данных

Положение о защите персональных данных является обязательным ЛНА в организации. Его подписание должно происходить еще до заключения трудового договора. В этой связи у работодателей возникает множество вопросов по поводу обработки и охраны таких данных работника. О том, как правильно построить работу и не допускать ошибок в вопросах применения данного закона, читайте в нашей статье.

Защита персональных данных работника

Итак, установление режима конфиденциальности приватных сведений требует принятия их оператором (работодателем) ряда мер: правовых, организационных и технических.

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) оператор при работе с персданными о сотруднике обязан принимать необходимые организационные и технические меры. В т. ч. использовать шифровальные (криптографические) средства для охраны данных от неправомерных действий.

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

При этом Закон не раскрывает содержания мер охраны личных данных. Ясно только, что цель таких мер — охрана от неправомерного или случайного доступа к материалам.

Правовые, организационные и технические меры, которые работодатель должен принимать для охраны данных работника, представлены в таблице 1.

Меры защиты персональных данных

Вид мер

мер

Рекомендации

1

2

3

Правовые меры

Разработка перечня сведений, отнесенных к приватным материалам

Следует отнести их к конкретному виду тайны и разграничить по категориям

Разработка локальных нормативных актов, регламентирующих вопросы обеспечения безопасности:

  • положения об охране персональных данных;
  • инструкции о порядке доступа к носителям персональных данных;
  • инструкции по автоматизированной и неавтоматизированной обработке персональных данных;
  • ЛНА о структурных подразделениях, обеспечивающих безопасность информации;
  • положения, регламентирующие организацию конфиденциального делопроизводства;
  • должностные инструкции сотрудников, работающих с такими данными сотрудников и т.д.

В локальных нормативных актах следует отразить особенности обработки каждой категории данных, в т.ч. особенности автоматизированной и неавтоматизированной обработки.

Также необходимо предусмотреть меры по охране.

Заключение договоров с условием об обязанности персонала в области обеспечения конфиденциальности и защиты от утери, порчи или несанкционированного использования.

Трудовые договоры с условием об обеспечении конфиденциальности персональных данных должны заключаться со всеми лицами, получающими доступ к персональным данным в процессе трудовых отношений.

ТД с условием об обеспечении конфиденциальности персональных данных должны заключаться со всеми лицами, получающими доступ к данным в процессе трудовых отношений.
В договоре (дополнительном соглашении) следует указать следующие обязанности:

  1. Соблюдать требования по получению и обработке;
  2. Принимать меры по обеспечению и конфиденциальности;
  3. Не использовать такие сведения в целях, не связанных с осуществлением трудовой функции;
  4. Не разглашать полученную информацию о персонале, а также не совершать других действий, влекущих уничтожение или утрату персональных данных или утерю их ценности для субъекта персональных данных.

Разработка и заключение соглашений о даче согласий на обработку индивидуальных данных и (или) их передачу, уведомлений об обработке персональных данных и т.п.

согласия на обработку приватных данных должно соответствовать требованиям ст.9 Закона о персональных данных.

Прочитайте полезные статьи по теме:

  •  Перечень документов по персональным данным в организации

Продолжение табл. 1

Регламентация и установление гарантий для персонала, получающих доступ к конфиденциальным данным

В локальном нормативном акте могут быть предусмотрены дополнительные гарантии для членов коллектива, получающих доступ к конфиденциальной информации, например:

— преимущественное право на оставление на работе при сокращении численности или штата;

Доплаты и надбавки к заработной плате за работу с конфиденциальной информацией и т.д.

Организационные меры

Определение и учет лиц, получающих доступ к приватным данным. При этом в случае обработки в информационных системах составление списка лиц, получающих доступ к данным, является обязательным. Перечень подлежит утверждению работодателем (п. 14 Положения о безопасности персональных данных в информационных системах).

Работодателю следует составить список лиц, получающих доступ к таким сведениям. В договоры этих сотрудников обязательно включаются условия об обеспечении конфиденциальности персональных данных.

Организация и ограничение доступа.

Система охраны не должна остаться только на бумаге. Работодателю следует принять меры, направленные на исключение получения доступа к конфиденциальным персональным данным неуполномоченных лиц.

Формирование структурных подразделений, осуществляющих работу с персональными данными и обеспечивающих их защиту.

В функции такого структурного подразделения должна входить организация и обеспечение систем защиты персональных данных. Эти функции следует указать в локальном нормативном акте (в т.ч.

может быть разработан документ о данном структурном подразделении). В небольших организациях такие функции могут быть поручены одному работнику.

Возложение обязанностей по организации охраны персональных данных должно найти свое отражение в трудовом договоре и должностной инструкции.

Организация работы с персональными данными в т.ч. организация конфиденциального делопроизводства и работы с материальными носителями персональных данных.

Следует предусмотреть правила работы с персональными данными и правила конфиденциального делопроизводства в локальных нормативных актах. Необходимо обеспечить реализацию указанных правил. В т.ч. посредством применения взысканий к работникам, допустившим их нарушение.  

Организация обучения и проверки знаний по работе с персональными данными.

В локальном акте следует предусмотреть периодичность такого обучения и проведения проверок знаний, а также их последствия. Необходимо определить лиц, ответственных за проведение проверок.

Вопросы, касающиеся защиты персональных данных, могут быть включены в перечень вопросов, выносимых на аттестацию сотрудника, при условии, что в обязанности трудящегося входит знание порядка обработки персональных данных в связи с осуществлением его трудовой функции.

Установление степеней конфиденциальности сведений и занесение соответствующих грифов на носители персональных данных.

Для специальных категорий персональных данных может быть установлен гриф «Строго конфиденциально», для других  категорий – «конфиденциально».

Окончание табл. 1

Технические меры

Под техническими средствами, позволяющими осуществлять обработку, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки индивидуальных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Отсутствие технических мер охраны может привести к неэффективности всей системы защиты.

Локальный нормативный акт о защите персональных данных работников в ТК РФ

В первую очередь (и это прямо предусмотрено законом) работодатель обязан разработать и утвердить локальный нормативный акт. Данный акт устанавливает порядок обработки таких сведений, меры и способы охраны этих сведений от утери и несанкционированного использования.

В компанию, занимающуюся оптово-розничной торговлей, пришел новый начальник отдела кадров. Принимая дела, он провел внутренний аудит всех кадровых документов, включая локальные нормативные акты, которые должны быть в каждой компании.

Выяснилось, что никакого документа, регламентирующего порядок работы с информацией о члене коллектива и защиты персданных в организации нет. Чтобы исправить это упущение, решено было срочно утвердить такой документ.

Разработали текст, а дальше встал вопрос. Нужно ли при утверждении локального нормативного акта, устанавливающего порядок обработки и способы охраны информации о сотруднике, учитывать мнение представительного органа сотрудников?

Прочитайте полезные статьи по теме:

  • Персональные данные работника 2021

Общее правило приведено в ч. 2 ст. 8 ТК РФ. В случаях, предусмотренных трудовым законодательством, другими федеральными законами и иными нормативными правовыми актами, коллективным договором, соглашениями, работодатель, принимая локальный нормативный акт, обязан учитывать мнение представительного органа коллектива (при наличии такого органа).

При этом Кодекс прямо не предусматривает такую обязанность работодателя в случае принятия локального нормативного акта о порядке работы с личными сведениями. Поэтому можно сделать вывод, что учет представительного органа сотрудников в этой ситуации не требуется.

П. 10 ст. 86 Трудового Кодекса РФ содержит требование совместной разработки таких мер работодателями, коллективом и их представителями. В то же время — наряду с установленной Законом № 152-ФЗ обязанностью оператора принимать необходимые меры по обеспечению конфиденциальности материалов о персонале. А вот что означает такая «совместная разработка мер» — не вполне ясно.

Полагаем, что в целях соблюдения интересов сотрудников. И с учетом п. 10 ст. 86 ТК РФ локальный нормативный акт, регламентирующий в т. ч. защиту информации о сотруднике, стоит принимать с учетом мнения представительного органа коллектива (при его наличии).

Прочитайте полезные статьи по теме:

Ознакомление работников с локальным актом о защите личных сведений работника

Процедура принятия локального нормативного акта об охране индивидуальных сведений персонала и порядок выработки мер такой охраны могут быть предусмотрены в:

  • коллективном договоре;
  • другом локальном нормативном акте.

Например в Инструкции по делопроизводству.

Закон содержит требование об обязательном ознакомлении сотрудников и их представителей под роспись с документами работодателя. В том числе с устанавливающими порядок обработки личных сведений работников, а также их права и обязанности в этой области (п. 8 ст. 86 Трудового Кодекса РФ).

Справочник кадровика в подарок!

Скачать журнал в PDF

Ваша задача не только выполнить данную обязанность, но и обеспечить документальное подтверждение того, что все сотрудники под роспись ознакомлены с документами, устанавливающими:

  • порядок работы с личными сведениями,
  • их права и обязанности в этой области.

Требования к охране информации о сотруднике  различаются в зависимости от того, обрабатываются личная информация в информационных системах или вне таковых, с использованием средств автоматизации или без них.

Прочитайте полезные статьи по теме:

  • Перечень документов по персональным данным в организации

Оформление и утверждение Положения о защите персональных данных работника

Унифицированная форма такого локального нормативного акта, как Положение о персональных данных работников, нормативными актами не предусмотрена. Документ составляется в произвольной текстовой форме. Конечно, при этом должны соблюдаться общие правила оформления документов. Определим их.

Правило 1. Локальный нормативный акт об охране конфиденциальности материалов о персонале оформляется на бланке работодателя, где указываются:

  • наименование работодателя;
  • место составления документа;
  • наименование вида документа (Положение о персональных данных работников);
  • заголовок к тексту (об охране персданных).

Правило 2. Мнение представительного органа сотрудников (если он есть) учитывается в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.

Работодатель направляет в представительный орган коллектива проект документа и обоснование по нему. Представительный орган коллектива в течение пяти рабочих дней составляет письменное мотивированное мнение по проекту. На проекте документа оформляется отметка об учете мнения.

Правило 3. Положение о персональных данных работников утверждается руководителем организации или иным уполномоченным должностным лицом. Издается отдельный приказ или оформления грифа утверждения на самом документе.

Правило 4. С ЛНА сотрудники должны быть ознакомлены под роспись.

Для лиц, принимаемых на работу, действуют специальные правила ознакомления. Они знакомятся с локальными нормативными актами работодателя, непосредственно связанными с их трудовой деятельностью. В т. ч. с ЛНА о охране конфиденциальных данных, до подписания трудового договора (ч. 3 ст. 68 ТК РФ).

Прочитайте полезные статьи по теме:

  • Ответственность за нарушения законодательства о персональных данных

Защита персональных данных работников в информационных системах

Информационные системы — совокупность приватных сведений, содержащихся в базе данных. А также информационных технологий и технических средств, позволяющих осуществлять обработку таких сведений с использованием средств автоматизации или без использования таковых.

Источник: https://www.pro-personal.ru/article/222824-zashchita-personalnyh-dannyh

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.