Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

https://www.youtube.com/watch?v=ytadvertiseru

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональных данных в организациях: закон

Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.

Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма. Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

  • Трудовым кодексом РФ – ст. 86-90;

  • Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. 18.1, 19, 22.1;

  • Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;

  • Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № 21 от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.

Предлагаем ознакомиться  Схемы мошенничества при покупке квартиры. Как избежать мошенничества при покупке недвижимости

Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством (п.1 и п.2 ст. 13.11 КоАП РФ).

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Внутренние документы по защите персональных данных в организации

Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

  • Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);

  • Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);

  • Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;

  • Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);

  • Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст.

Защита персональных данных в организации: пошаговая инструкция

Защита персональных данных в организациях

Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

  • Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.

  • Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

  • Разработать Положение о персональных данных, включив раздел об их защите.

  • Назначить сотрудника, который будет отвечать за работу с ПД.

  • Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.

  • Подготовить образцы расписок о неразглашении ПД.

  • Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

Предлагаем ознакомиться  Какие документы иметь при себе при выписки из домовой книги

https://www.youtube.com/watch?v=ytaboutru

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.