О защите персональных данных

Основные понятия

Если просто, то персональные данные — это сведения о человеке. Закон № 152-ФЗ от 26.07.2006 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.

В первую очередь тема важна для работодателей, так как трудовые правоотношения напрямую связаны с обработкой сведений о персонале. Именно поэтому на каждом предприятии утверждается Положение о работе с персональными данными работников. К этим данным относятся:

  • место жительства (регистрации);
  • номер телефона;
  • данные о документе, удостоверяющем личность;
  • доходы (зарплата, налоги);
  • наличие детей;
  • семейное положение;
  • образование;
  • состояние здоровья;
  • количество проработанных лет (стаж).

Утверждая Положение об обработке и защите персональных данных, вы можете дополнить или детализировать перечень.

Положение о защите персональных данных — 2018

Если обратиться к ст. 87 Трудового кодекса Российской Федерации и к статье 81.1 ФЗ 152, то прямого указания на порядок оформления работы с данными сотрудников нет. Нормы просто указывают на необходимость регламентировать такие операции. Самый распространенный на практике способ — издание соответствующего внутреннего документа. Образец Положения о персональных данных — 2018 можно скачать после прочтения статьи.

Локальный акт утверждается приказом по предприятию и подлежит доведению до сведения работников. Кроме ознакомления с самим локальным актом, работники подписывают согласие на обработку. Обработка — это сбор, систематизация, накопление, хранение, передача, уничтожение информации. Большую часть операций осуществляет специалист отдела кадров.

Цель локального акта — защитить личную, семейную тайну, обеспечить неприкосновенность частной жизни. Исходя их этих принципов, необходимо отразить в локальном документе следующее:

  • виды ПД;
  • действия, которые осуществляются с этими данными;
  • кто и каким образом имеет доступ к охраняемой информации;
  • обязанности лиц, осуществляющих обработку;
  • ответственность за разглашение.

Образец Положения о персональных данных работников — 2018

Доступ к информации

Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.

Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.

Ответственность

Если сведения, ограниченные в распространении, были сообщены другим лицам, то виновные граждане понесут ответственность в виде штрафа в сумме 500 или 1000 рублей. Должностные лица за утечку данных заплатят от 4000 до 5000 рублей, согласно ст.

Разработка положения о персональных данных работников

13.14 КоАП РФ.

Чтобы сотрудники вашей компании не допускали подобных нарушений, издайте локальный акт и контролируйте его соблюдение. Если вам необходим образец Положения об обработке персональных данных работников, то можно его скачать в нашей статье.

Кроме того, за разглашение личных данных могут уволить, так как эти сведения относятся к категории охраняемых законом. Основание (статья) для расторжения трудовых отношений — подпункт «в», пункта 6, части 1, статьи 81 ТК РФ.

 

Муниципальное казённое общеобразовательное учреждение

 «Средняя общеобразовательная школа № 6»

                                                          п. Медвеженский                                                                                                                       Приложение  2 к  приказу

                                                                                  № 54/1-од от 28.03.2013 г.                                                                                                      

ИНСТРУКЦИЯ

пользователя по обеспечению информационной безопасности

автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных)

в МКОУ СОШ №6

В Инструкции пользователя по обеспечению информационной безопасности при работе с базами данных школы (далее – Инструкция пользователя) использованы следующие термины и определения:

1. База данных (далее — БД) — централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее — СУБД).

2. Комплекс программных средств (далее — КПС) — система или приложение, использующее непосредственный доступ к БД.

3. Идентификатор (учетное имя или login) — присвоенная пользователю индивидуально буквенно-числовая последовательность, используемая для идентификации пользователя при установлении доступа к БД и позволяющая однозначно определять работу конкретного пользователя в БД.

Положение о персональных данных работников в 2018 году — образец

4. Пароль — секретная персональная последовательность символов, известная только пользователю, которая используется совместно с идентификатором для доступа в БД и позволяет подтвердить, что доступ к БД осуществляет именно конкретный пользователь.

5. Пользователи — должностные лица МКОУ СОШ № 6 г., а также все другие лица и организации, работающие с БД школы.

6. Администратор БД — должностное лицо МКОУ СОШ № 6, уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.

7. Локально-вычислительная сеть (далее — ЛВС) — группа компьютеров, а также периферийное оборудование, объединенные одним или несколькими автономными каналами передачи

цифровых данных в пределах одного или нескольких близлежащих зданий.

8. Политика информационной безопасности — комплекс организационно-технических мероприятий, правил и условий использования информационных систем МОУ СОШ №6, определяющих нормальное функционирование систем и обеспечение безопасности информации, обрабатываемой в МКОУ СОШ № 6 

Настоящий документ разработан на основе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с целью совершенствования методического обеспечения деятельности в данной области государственных и муниципальных органов, юридических и физических лиц, организующих и (или) осуществляющих обработку персональных данных (ПДн), определяющих цели и содержание обработки ПДн (операторов), а также заказчиков и разработчиков информационных систем персональных данных (ИСПДн) при решении ими задач по обеспечению безопасности ПДн.

Общие положения по организации доступа к конфиденциальной информации

в МКОУ СОШ №6

Инструкция пользователя определяет комплекс организационно — технических мероприятий по обеспечению безопасности конфиденциальной информации, хранящейся на компьютерах школы в БД и обрабатываемой с помощью средств вычислительной техники в МКОУ СОШ № 6

1. Инструкция пользователя является частью политики информационной безопасности МКОУ СОШ № 6, предназначена для обеспечения эффективной организации и управления доступом пользователей к конфиденциальной информации, хранящейся на компьютерах школы и в БД МКОУ СОШ № 6, и содержит требования по обеспечению информационной безопасности учреждения в части выполнения операций со конфиденциальной информацией и по организации и управлению доступом к БД.

2. Требования Инструкции пользователя обязательны для выполнения всеми пользователями, которым предоставляется доступ к конфиденциальной информации МКОУ СОШ № 6

3. Доступ к  конфиденциальной информации МКОУ СОШ № 6 предоставляется исключительно пользователям, утвержденным приказом администрации школы через предоставленный системным администратором школы пароль.

4. Решение задач, связанных с организацией и управлением доступом должностных лиц школы к конфиденциальной информации, осуществляется системным администратором школы.

При возникновении ситуаций, не включенных в положения настоящей Инструкции пользователя, решение принимает системный администратор.

5. Для доступа к БД школы у каждого пользователя БД должен иметь свой уникальный идентификатор и пароль доступа к БД.

6. Доступ к БД школы может быть предоставлен с любого компьютера административной локальной сети.

7. Доступ к БД предоставляется пользователям на срок действия их трудовых отношений и исполнения служебных обязанностей в МКОУ СОШ № 6

Обязанности и ответственность пользователей автоматизированных рабочих мест, выделенных для обработки конфиденциальной информации.

1. Перед началом первой работы с конфиденциальной информацией пользователь обязан изучить Инструкцию пользователя и ознакомиться с ответственностью за выполнение требований Инструкции пользователя при работе с конфиденциальной информацией под роспись.

2. Пользователю запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа к конфиденциальной информации другим лицам. Запрещается хранение пароля в общедоступных местах, позволяющих другим лицам получить информацию о пароле.

3. Пользователь конфиденциальной информации обязан обеспечивать правильность ввода и коррекции данных, за которые он отвечает.

4. Пользователь обязан закрывать соединение с БД школы на время своего отсутствия у рабочей станции БД или вообще выходить по доступу к ресурсам компьютера с конфиденциальными данными из своего идентификатора.

5. В случае выявления инцидентов с доступом к ресурсам компьютера с конфиденциальными данными (фактов несанкционированного доступа посторонними людьми, людьми без допуска к конфиденциальным данным) пользователь обязан незамедлительно сообщить об этом системному администратору школы.

6. В случае выявления инцидентов с доступом к БД школы (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.п.) пользователь обязан незамедлительно сообщить об этом администратору БД.

7. Установку и конфигурирование программного обеспечения на компьютерах с доступом к конфиденциальным данным школы выполняет системный

администратор или администратор БД школы. Пользователям данных рабочих мест запрещается самостоятельно устанавливать какое-либо программное обеспечение.

8. Пользователю запрещается использовать информацию, полученную в результате доступа к конфиденциальным данным школы, в целях, не предусмотренных его функциональными обязанностями и технологическими схемами. Он не вправе разглашать, использовать в личных целях, либо передавать третьим лицам, в том числе государственным органам, конфиденциальную информацию, за исключением случаев, установленных законами Российской Федерации.

9. При нарушениях правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации.

10. Пользователь несет ответственность за все действия, совершенные от имени его идентификатора, учетной записи или логина, если не доказан факт несанкционированного использования таковых.

C чего начать?!

Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей организации. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.

В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного — подготовка документов по защите персональных данных, контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.

Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.

Субъект персональных данных — это человек, персональные данные которого Вы обрабатываете.

Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).

После этого необходимо определиться с целями обработки каждого вида персональных данных.
Целями могут быть:
— обеспечение трудовых взаимоотношений (для персональных сотрудников);
— обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);
— исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).

Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».

Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме").

Согласие в письменной форме требуется в следующих случаях:
— обрабатываются специальные категории персональных данных
— обрабатываются биометрические персональные данные
— будет осуществляться трансграничная передача персональных данных

Согласие субъекта не требуется в случаях:
— обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);
— персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).

Положение о защите персональных данных работников организации (образец заполнения)

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях:
— Обрабатываются только персональные данные сотрудников.
— Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).
— Обрабатываются только персональные данные членов общественного объединения или религиозной организации.
— Обрабатываются общедоступные персональные данные.
— Персональные данные используются только для однократного пропуска на территорию организации.
— Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.
— Персональные данные обрабатываются без использования средств автоматизации.
— Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.
— Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности

Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.

Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.