Приказ по персональным данным по школе – Образец приказа о персональных данных работников 2019

Содержание

Образец приказа о защите персональных данных работников 2019

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

назначение ответственного за организацию процесса обработки данных;
определение перечня лиц, допущенных к сбору, хранению и обработке;
утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;

указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
указание ответственному лицу ознакомить работников с распорядительным документом;
определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Скачать

Как заполнять

Приказ может состоять из следующих разделов:

Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.

Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Скачать

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Скачать

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

gosuchetnik.ru

Образец приказа о персональных данных работников 2019

Задать вопрос эксперту

ClubTK Вход/регистрация рубрики

Актуально
Анонсы
Архивное хранение
Больничные

Бухгалтерия в кадрах
Военнослужащие
Воинский учет
Гарантии и компенсации
Госслужба
Делопроизводство
Договоры
Документооборот
Должностные инструкции

Законодательство
Инвалиды
Иностранные работники
Инструкции по охране труда
Интервью
Кадровики советуют
Командировки
Конфиденциальность
Материальная ответственность

Медосмотры
Обучение и переподготовка
Оплата труда
Отпуска
Отчетность
Охрана труда
Оценка персонала
Персональные данные
Подбор персонала
Прием на работу
Проверки
Профессии
Профстандарты
Рабочее время
clubtk.ru
Приказ Об организации работы по защите персональных данных в учреждениях образования
Приказ
от «22»__10__2013 г.                                                              №626
Об организации работы по защите
персональных данных
в учреждениях образования
Во исполнение Конституции Российской Федерации, Трудового кодекса Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (ТК РФ), Федерального закона от 19.12.2005 №160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21 марта 2013 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Федерального закона от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», с целью защиты прав и свобод работников образовательных учреждений при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайн,
приказываю:
1.Обеспечить в учреждениях образования обработку персональных данных работников, ограничиваясь достижением конкретных, заранее определенных и законных целей. Не допускать обработку и объединение персональных данных, баз персональных данных, несовместимых с целями сбора персональных данных.
2. Возложить персональную ответственность за получение, обработку, безопасность и хранение персональных данных работников на руководителей образовательных учреждений.
3. Руководителям образовательных учреждений:
3.1. организовать мероприятия, направленные на обработку персональных данных и меры по обеспечению безопасности и хранения персональных данных работников в учреждениях образования в строгом соответствии с действующим законодательством;
3.2. приступать к обработке и использованию в работе персональных данных только после письменного согласия работника;
3.3. назначить ответственное должностное лицо за организацию обработки персональных данных работников, определив его обязанности в соответствии со статьей 22.1. ФЗ-152 «О персональных данных»;
3.4. разработать и утвердить с учетом мотивированного мнения первичной профсоюзной организации Положение о защите персональных данных, устанавливающее порядок обработки и защиты персональных данных работников образовательного учреждения;
3.5.определить приказом руководителя образовательного учреждения   категорию должностей, уполномоченных лиц, имеющих доступ к персональным данным работников;
3.6. осуществлять постоянный контроль за уточнением   персональных данных работников, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4. Разместить на сайтах отдела образования и РК профсоюза пакет документов по организации мероприятий, направленных на защиту персональных данных работников образовательных учреждений.
5. Главному специалисту отдела по кадровым вопросам Р.Ф.Хисамутдиновой довести настоящий приказ до сведения всех сотрудников и руководителей структурных подразделений путем персонального ознакомления с текстом под роспись.
6. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник отдела образования                                     М.З.Закирова
edu.tatar.ru
Приказ “О порядке обработки и защиты персональных данных в МОБУ СОШ с.Мурсалимкино в 2015-2016 учебном году”
ПРИКАЗ № 214
01 сентября 2016 года
«О порядке обработки и защиты персональных данных в МОБУ СОШ с.Мурсалимкино в 2016-2017 учебном году»
На основании Закона Российской Федерации от 27.07.2006г. № 152-ФЗ “О персональных данных”, постановления Правительства от 17.11.2007г. № 781 “Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”, совместного приказа ФСТЭК, ФСБ и Мининформсвязь от 13.02.2008 № 55/86/20, “Об утверждения порядка проведения классификации информационных систем персональных данных”, Методики определения актуальных угроз безопасности персональных данных, утвержденной зам. директора ФСТЭК России от 14.02.2008г., постановления Правительства РФ от 15.09.2008 № 687 “Об утверждении Положения об особенности обработки персональных данных, осуществляемой без использования средств автоматизации”, письма Минобрнауки РФ Федерального агентства по образованию от 29.07.2009г. № 17-110 “Об обеспечении защиты персональных данных”, приказа ФСТЭК от 05.02.2010г. № 58 “Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных”, главы 14 Трудового кодекса РФ, Закона Российской Федерации от 25.07.2011 № 26ФЗ “О внесении изменений в федеральный закон “О персональных данных”
ПРИКАЗЫВАЮ:
1.Назначить в 2016-2017 учебном году Санникову О.Г., зам. директора по ВР, координатором работы по обработке персональных данных учащихся МОБУ СОШ с. Мурсалимкино. Назначить Санникову О.Г. ответственной за техническое администрирование организации защиты персональных данных.
2.Назначить в 2016-2017 учебном году Исхакову А.М., делопроизводителя школы, оператором по обработке и использованию персональных данных работников в служебных целях в связи с трудовыми отношениями и касающихся конкретно работника, использованию персональных данных обучающихся в связи с договорными отношениями с родителями (законными представителями) учеников.
3. Исхаковой А.М. обеспечивать порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных сотрудников и обучающихся, согласно положению о защите персональных данных учеников; внести изменения/дополнения в должностные инструкции (функциональные обязанности) работников, имеющих доступ к конфиденциальной информации (персональным данным).
4.Обязать всех сотрудников проводить работу по защите персональных данных в соответствии с “Положением о защите персональных данных в МОБУ СОШ с. Мурсалимкино с использованием средств автоматической защиты и без автоматиче¬ской защиты”.
5.Утвердить:
1) План мероприятий по защите персональных данных в МОБУ СОШ с. Мурсалимкино (Приложение 1).
2) Перечень конфиденциальной информации о сотрудниках и учащихся школы (Приложение 2).
3) Список сотрудников МОБУ СОШ с. Мурсалимкино, допущенных к обработке персональных данных (Приложение 3).
4) Форму Листов соглашений на обработку персональных данных для сотрудников ОУ и родителей (законных представителей) обучающихся, письменный запрос персональных данных (Приложения 4,5,6).
5) Должностной регламент специалиста по обеспечению безопасности персональных данных (Приложение 6).
6. Секретарю школы Исхаковой А.М. ознакомить учителей школы с данным приказом и его приложениями путем вывешивания на доску объявлений, срок исполнения до 31.09.2016 года.
7. Контроль исполнения настоящего приказа оставляю за собой.
Директор школы: Р.Р.Гарейшина
mursalimkino-school.ru
Приказ о назначении ответственных за обработку персональных данных
В каждой организации при приеме сотрудников на работу собирается довольно много персональных сведений, требуемых для организации трудовых отношений. Порядок сбора, обработки, хранения и защиты описываются в положении о персональных данных организации. Данный локально-нормативный акт утверждается на основании приказа руководителя.
Оглавление статьи
Порядок применения приказа
Прежде всего в организации должно быть составлено положение о персональных данных, в котором регламентируется порядок сбора персональных данных, а это может происходить, как в бумажном, так и в электронном виде, также обработка, хранение и защита.
Если в организации присутствует профсоюзный орган, то предварительно данный документ согласовывается с выборным органом профсоюза. Если разногласий не обнаружено, то в течение 3-х дней после ответа профсоюза работодатель может утвердить положение издав соответствующий приказ руководителя.
На сновании положения должны действовать ответственные за сбор персональных данных лица, при этом все сотрудники должны быть ознакомлены с ним под роспись, а вновь принимаемых знакомят с документом до подписания трудового договора. При этом сотрудники работающие с персональными данными должны в свою очередь подписать соответствующее обязательство о неразглашении данных.
Важно! Прежде чем собирать личные данные сотрудников необходимо получить от них согласие на обработку персональных данных в виде заявления.
Как правильно составить приказ
[ads-pc-2] [ads-mob-2] Данный приказ не имеет установленной формы и составляется в произвольном виде согласно действующим правилам оформления документов в организации. Приказ можно составить на официальном бланке организации, где указаны все необходимые ее реквизиты. При оформлении приказа следует указывать в нем следующую информацию:
Вверху следует указывать реквизиты организации, если приказ оформляется на официальном бланке, то он должен их содержать.
Ниже пишется наименование документа «Приказ».
Приказ должен содержать очередной порядковый номер, согласно нумерации очередного документа в книге регистрации приказов, дату его составления и место.
Также пишется краткое содержание документа, т.е. о чем будет идти в нем речь, например: «О назначении ответственных за обработку персональных данных».
Ниже, в теле документа, отражается нормы закона, регламентируемые порядок работы с персональными данными сотрудников. После слов «Приказываю» указывается распорядительная часть:
Должны быть указаны ответственны лица за сбор и хранение данных.
Отдельные лица могут выполнять обработку данных, которые также указываются в документе.
Указывается пункт о доведение данного распоряжения до определенных лиц.
Указывается ответственный за осуществления контроля за данным распоряжением. Контроль может быть возложен на самого директора.
Далее все ответственные и указанные в документе лица должны расписать (ознакомиться).
В конце свою роспись и расшифровку ставит директор организации.
Образец приказа
[ads-pc-4] [ads-mob-4]
Скачать бланк приказа о назначении ответственных лиц за обработку личных данных.
Скачать образец приказа о назначении ответственных за обработку персональных данных.
blankionline.ru
Приказ о назначении ответственного за обработку персональных данных
Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.
Обязателен ли документ, его значение
Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.
ФАЙЛЫ
Скачать пустой бланк приказа о назначении ответственного за обработку персональных данных .docСкачать образец приказа о назначении ответственного за обработку персональных данных .doc

В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.
Что относится к персональным данным
Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.
Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.
Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.
На кого чаще всего возлагается ответственность за обработку персональных данных
Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.
В каком виде написать приказ
Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.
Каким сделать оформление
Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.
Чьи подписи должны стоять под приказом
Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.
Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.
Как проводить учет
Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.
Как организовать хранение
По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).
Образец приказа о назначении ответственного
Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.
В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.
assistentus.ru
Весь список документов по хранению персональных данных
Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.
Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.
Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):
Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.
Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.
Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.
Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.
Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.
В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:
1. Перечень сведений конфиденциального характера
Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.
2. Инструкция администратора информационной безопасности
Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.
3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).
4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Приказ об утверждении мест хранения персональных данных.
Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.
6. Перечень помещений, в которых ведется обработка персональных данных.
7. Инструкция пользователей информационной системы персональных данных.
Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.
8. Приказ о назначении комиссии по уничтожению персональных данных.
Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.
9. Проект системы защиты информационной системы персональных данных. Пример.
10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример.
11. План внутренних проверок режима защиты персональных данных.
План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.
12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример.
13. Журнал учета носителей информации информационной системы персональных данных.
14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.
Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.
15. План проведения внутренних проверок состояния защиты ПД.
Образец документа можно найти здесь и здесь.
16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.
Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.
17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.
18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример.
19. Акт классификации информационной системы персональных данных.
Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.
В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.
20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример.
21. Инструкция по организации парольной защиты.
22. Журнал периодического тестирования средств защиты информации.
23. Форма акта уничтожения документов, содержащих персональные данные.
Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.
24. Журнал учета средств защиты информации(перечень технических средств). Пример.
25. Журнал проведения инструктажа по информационной безопасности (для организаций).
26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.
27. Приказ о перечне лиц, допущенных к обработке персональных данных.
28. Положение о защите персональных данных.
Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.
Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).
Пример и ещё один.
29. Соглашение о неразглашении персональных данных.
Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.
30. План мероприятий по обеспечению безопасности персональных данных.
В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.
31. Модель угроз безопасности в информационной системе персональных данных.
Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.
Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.
32. Форма ответа на запрос субъекта персональных данных. Пример.
Не забывайте заполнять и обновлять эти документы!
Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].
newmediaedu.ru