- Как обрабатывается информация?
- Защита персональных данных на предприятии: с чего начать?
- Что делать организации после признания ее оператором ПД?
- Защита персональных данных: перечень документов
Защита персональных данных в организации начинается с трудоустройства ее сотрудников (с заполнения ими анкеты), продолжается при осуществлении непосредственной деятельности. При заключении договоров или оказании услуг люди обязаны предоставить идентифицирующую информацию (серию и номер паспорта, ИНН, номер СНИЛС и пр.).
Как обрабатывается информация?
В рамках законодательства, вся полученная от граждан информация должна быть обработана, надлежащим образом сохранена и защищена от распространения без согласия их обладателя. Регламентирована защита персональных данных Законом 152-ФЗ от 27 июля 2006 г.
Под понятие обработки попадает получение информации, систематизация, дополнение, замена при необходимости (заключение о браке, о разводе, рождение детей и пр.). Получена она для того, чтоб ее использовать и даже распространять с согласия гражданина.
Хранение обеспечивается путем исключения без имеющегося на то разрешения владельца личной информации доступа, в результате которого она может быть скопирована, изменена, уничтожена, заблокирована и распространена.
Если получена информация для ее дальнейшей обработки, то выполнение этих действий служит основанием для ее уничтожения. Если необходимость в дальнейшем хранении отпадает, то информация также уничтожается.
Защита персональных данных на предприятии: с чего начать?
Защита персональных данных предприятия начинается с издания Приказа, обязательными реквизитами которого обязательно должны быть:
- фамилия и инициалы сотрудника, который будет нести ответственность за проведение политики защиты индивидуальной информации;
- должны быть перечислены обязательные документы, по вопросу защиты персональных данных;
- утверждается состав и приводятся фамилии и инициалы членов комиссии по защите индивидуальной информации;
- устанавливаются сроки на разработку и утверждение Положения по этому вопросу. Если Положение уже утверждено, то этим же приказом оно вводится в действие.
Когда полученная от гражданина информация не ограничивается кадровыми и трудовыми отношениями, а получена с целью обработки и предоставления услуги, то организация выступает оператором ПД (персональных данных).
После проведенного обследования на этот предмет должен ей быть присвоен класс информационной системы ПД, подтвержденный следующим пакетом документов по защите персональных данных:
- Отчет о проведенном обследовании;
- Приказ руководителя предприятия о том, что для присвоения класса информационной системе ПД создана комиссия;
- Акт, определяющий уровень защищенности ПД при их обработке.
Смотрите видео о защите персональных данных в организации.
Что делать организации после признания ее оператором ПД?
Факт признания организации оператором подтверждается направлением документа в организацию, контролирующую защиту персональных данных. В каждом федеральном округе существует надзорная организация, уполномоченная вести контроль операторов.
На официальной странице организации заполняется специально разработанная форма уведомления, которое надлежит в оригинале отправить посредством почтовой связи. Далее следует деятельность по разработке для обязательного применения в дальнейшем двух документов. Каждый гражданин, обратившийся за услугой в организации перед предоставлением личных данных, обязательно подписывает согласие на их обработку и хранение. Вот такой бланк и должен быть разработан.
Второй документ это согласие отменяет. Мало, кто знает, но после получения услуги такой документ можно требовать и подписывать, отзывая данное ранее согласие. Федеральный закон 152-ФЗ о защите персональных данных дает 30 дней организации, чтобы уничтожить полученные данные. Исключительными случаями остаются действия, направленные на совершение правосудия и защиту жизни. В таких случаях личная информация не уничтожается даже после получения отзыва.
В дальнейшем происходит внедрение разработанной системы. Для этого определяется ограниченное число лиц. Они в дальнейшем будут иметь доступ ко всей полученной информации для обработки.
Читайте о правовых последствиях незаконного увольнения сотрудника.
А также о том, как написать краткую характеристику.
На предприятии должен быть официально утвержденный перечень тех данных, что у обратившегося за услугой гражданина имеют право быть запрошены. Выходить за рамки списка работники организации не могут.
Каждый сотрудник ставит подпись в листке ознакомления к Положению об этом, принимает на себя обязательство сохранять полученные данные. Руководство обязано обеспечить сотрудника помещением, где будет проводиться обработка ПД.
Защита персональных данных: перечень документов
Документами, подтверждающими установление защитной системы ПД, являются:
- Описание внедренной системы с тремя инструкциями (администратора, пользователя и создания резервной копии).
- Положение, разграничивающее права доступа к личной информации во внедренной системе.
- Документы по применяемым защитным средствам, в том числе журналы учета эл. носителей, акты установки, списания и уничтожения носителей и бумажных документов. Если предприятие ведет дела с другими организациями и передает информацию им, то соглашения о неразглашении личной информации с ними тоже должны быть.
- Заключение о том, что установленная система защиты соответствует нормам.
Каждая организация, получившая статус оператора обязана вести журнал учета, фиксирующий каждый случай обращения за защитой предоставленных данных с целью обработки. Защищая личную информацию гражданина при ее обработке, реализуется его Конституционное право не только на частную жизнь, но и на личную тайну и тайну семьи.
Все больше организаций получает статус оператора, организующего и осуществляющего обработку личной информации. Даже на сайтах защита персональных данных, а вернее ее отсутствие, предусматривает ответственность за невыполнение требований федерального закона по принятию мер защиты личной информации.
А как вы считаете, кто должен отвечать за сохранение персональных данных? Делитесь своим мнением в комментариях! А также смотрите видео о том, что говорит Роскомнадзор о защите персональных данных.
