Любая организация, осуществляющая деятельность, связанную с обработкой и хранением персональных данных (далее - ПДн), в том числе путем использования системы БПС, должна внедрить систему защиты персональных данных для соответствия требованиям федерального законодательства РФ.
Что такое персональные данные?
- Фамилия, имя, отчество;
- Дата и место рождения;
- Адрес (место регистрации);
- Образование, профессия;
- Изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео - изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
- Семейное положение, наличие детей, родственные связи;
- Факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- Финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
- Деловые и иные личные качества, которые носят оценочный характер;
- Прочие сведения, которые могут идентифицировать человека.
1. Данная система должна быть изолирована, от других информационных систем на физическом уровне, либо логическом уровне.
2. Доступ к системе должен иметь ограниченный круг лиц, который будет установлен в разработанном и утвержденном документе.
3. К данной системе должна применяться парольная политика для всех серверов и рабочих станций, разработанная и утвержденная в организации.
4. При передаче информации по открытым каналам (сеть интернет) (между офисами, филиалами) - необходимо использовать защищенное соединение (VPN).
5. Информационная система должна быть защищена Firewall.
6. Ограничение программной среды - обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска, запрещенного к использованию в информационной системе программного обеспечения.
7. В информационной системе должно быть реализовано разграничение прав пользователей.
Основные шаги
при разработке пакета документов для обработки персональных данных:
Подать уведомление в Роскомнадзор о том, что объект является Операторами обработки ПДн.
Заявление подается на сайте Роскомнадзора, в электронной форме.
Инструкция по подачи заявления есть в пакете документов «Подача уведомления в Роскомнадзор (инструкция).docx». (https://pd.rkn.gov.ru/operators-registry/notification/form/).
Разработать и утвердить правила(положение) обработки персональных данных.
Положение описывает принципы обработки ПДн в организации и является общим документом, в котором собраны типовые формы документов организации: Согласие на обработку ПДн и прочих документов.
С данным положением должны быть ознакомлены сотрудники, которые будут работать с персональными данными в организации.
Назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.
Таким ответственным может быть, как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.
Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.
Разработать и утвердить политику обработки персональных данных.
Данный документ является открытым и его необходимо будет разместить на сайте, или в любом доступном месте для пользователей, после утверждения.
Разработать согласие на обработку персональных данных (для сайта) и разместить на сайте:
• Согласие на обработку ПДн;
• Политику обработки ПДн;
• Договор публичной оферты.
Разработать необходимый минимальный пакет документов в организации и соблюдай режим обработки ПДн.
(Пакет документов указан в Приложении)
Виды ответственности за нарушение 152-ФЗ:
- Гражданская – на нарушителя закона налагаются имущественные санкции;
- Административная – выплата штрафа, приостановление деятельности, запрет занимать определенные должности;
- Уголовная – лишение свободы на срок, определенный законодательством по конкретному случаю;
- Дисциплинарная – налагается на работника в виде замечания, выговора или увольнения.
Обращаем также ваше внимание, что при поручении обработки персональных данных третьей организации необходимо подписать Договор-поручение между данными организациями.
Приложение
- Минимальный перечень документов1. Приказ о назначении комиссии2. Перечень обрабатываемых персональных данных
3. Перечень информационных систем персональных данных
4. Перечень защищаемых информационных ресурсов
5. Перечень лиц, допущенных к обработке персональных данных
6. Приказ о контролируемой зоне
7. Модель угроз информационной системы персональных данных
8. Акт определения уровня защищенности
9. Положение о персональных данных
10. Инструкции:- Инструкция пользователя информационный системы персональных данных
- Инструкция администратора информационный системы персональных данных
- Инструкция администратора безопасности информационный системы персональных данных
- И другие инструкции, предусмотренные законодательством
12. Политика обработки персональных данных
13. Договор-поручение на обработку 3-им лицам
14. Журналы:- Журнал обращений
- Журнал учета носителей
- И другие журналы, предусмотренные законодательством
- Приказ о назначении ответственных
- Приказ о допуске сотрудников
- Приказ о проведении работ по защите персональных данных
- Приказ о проведении внутренних проверок
- И другие приказы, предусмотренные законодательством
17. План мероприятий по проверке информационной системы персональных данных на соответствие и на выполнение сотрудниками режима обработки персональных данных
другие продукты
Создание сайта — 