Акт проверки персональных данных

Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных

ГАРАНТ:

См. данную форму в редакторе MS-Word

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных в отделе

регистрации и архива организационно-контрольного

управления аппарата администрации города Иркутска

Возможные нарушения требований к защите персональных данных (ПДн)

Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)

Обработка ПДн сотрудниками, не включенными в перечень допущенных в обработке ПДн

Отсутствие или неактуальность перечня сотрудников, допущенных к обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие подписанных обязательств о неразглашении ПДн

Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)

Возможность считывания информации с экрана монитора для посторонних

Соблюдение порядка доступа в помещение, в котором ведется обработка ПДн

Отсутствие записей в журнале учета уничтожения ПДн

ГАРАНТ:

См. данную форму в редакторе MS-Word

И.о. заместителя мэра — руководителя аппарата
администрации города Иркутска

Начальник отдела регистрации и архива
организационно-контрольного управления
аппарата администрации города Иркутска

> N 3. Перечни персональных данных, обрабатываемых в отделе регистрации и архива организационно-контрольного управления аппарата.

Содержание Распоряжение администрации города Иркутска от 16 марта 2015 г. N 031-10-170/5 «О принятии мер, направленных на обеспечение.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/44079246/b33eab3b4b8b87e0512a2171eb7466d1/

Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных

в отделе кадровой работы управления кадровой

и правоохранительной работы аппарата

администрации города Иркутска

от 19.12.2014 N 031-10-903/14

Возможные нарушения требований к защите персональных данных (ПДн)

Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)

Обработка ПДн сотрудниками, не включенными в перечень допущенных в обработке ПДн

Отсутствие или неактуальность перечня сотрудников, допущенных к обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие подписанных обязательств о неразглашении ПДн

Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)

Возможность считывания информации с экрана монитора для посторонних

Соблюдение порядка доступа в помещение, в котором ведется обработка ПДн

Отсутствие записей в журнале учета уничтожения ПДн

Заместитель мэра — руководитель аппарата
администрации города Иркутска

Заместитель начальника управления — начальник
отдела кадровой работы управления кадровой и
правоохранительной работы аппарата
администрации города Иркутска

> N 4. Правила работы с обезличенными данными в отделе кадровой работы управления кадровой и правоохранительной работы аппарата.

Содержание Распоряжение администрации города Иркутска от 19 декабря 2014 г. N 031-10-903/14 «О принятии мер, направленных на обеспечение.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/34774371/6d3817b76f7c7d3dbacd5d714146a107/

Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

Об этом вы узнаете в нашей статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

Организационная.

Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

1. должностные инструкции;
2. положение;
3. уведомления, письма;
4. акты, приказы (о допуске сотрудников к работе с ПД).

Технологическая.

Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.

1. инструкции по обработке данных;
2. перечни.

Методическая.

Детализация процессов обработки, порядок и правила работы с ПД.

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам.

Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

Начало обработки

Для начала обработки данных требуется следующее документальное оформление:

1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
3. Образцы уведомления уполномоченного органа.
4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
5. Порядок отношений с распорядителем баз ПД.
6. Порядок работы с запросами субъектов ПД.
7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация

1. Положение о защите ПД.

Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
Скачать бланк инструкции о защите персональных данных

Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/paket-dokumentov.html

Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных

ГАРАНТ:

См. данную форму в редакторе MS-Word

внутреннего контроля соответствия

обработки персональных данных

требованиям к защите персональных данных

Возможные нарушения требований к защите персональных данных (ПДн)

Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)

Обработка ПДн сотрудниками, не включенными в перечень допущенных в обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие записей в журнале учета электронных носителей ПДн при использовании самих носителей

Отсутствие подписанных обязательств о неразглашении ПДн

Хранение файлов на рабочей станции сотрудника, содержащих ПДн

Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)

Соблюдение порядка доступа в помещение, в котором ведется обработка ПДН

Отсутствие записей в журнале учета уничтожения ПДн

ГАРАНТ:

См. данную форму в редакторе MS-Word

> N 4. Правила работы с обезличенными данными в случае обезличивания персональных данных в службе государственного жилищного.

Содержание Приказ Службы государственного жилищного надзора Иркутской области от 19 августа 2019 г. N 37-спр «О принятии мер, направленных.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/72642060/173be416c6814b9e8a4f3c718128f5f4/

Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных

ГАРАНТ:

См. данную форму в редакторе MS-Word

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных

Возможные нарушения требований к защите персональных данных (ПДн)

Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)

Обработка ПДн сотрудниками, не включенными в перечень допущенных к обработке ПДн

Отсутствие или неактуальность перечня сотрудников, допущенных к обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие записей в журнале учета электронных носителей ПДн при использовании самих носителей

Отсутствие подписанных обязательств о неразглашении ПДн

Хранение файлов на рабочей станции сотрудника, содержащих ПДн

Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)

Возможность считывания информации с экрана монитора для посторонних

Соблюдение порядка доступа в помещение, в котором ведется обработка ПДн

Отсутствие записей в журнале учета уничтожения ПДн

> N 4. Правила работы с обезличенными данными в случае обезличивания персональных данных в службе архитектуры Иркутской области

Содержание Приказ Службы архитектуры Иркутской области от 23 июля 2019 г. N 82-7-спр «О принятии мер, направленных на обеспечение.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/72360130/6d3817b76f7c7d3dbacd5d714146a107/

Обследование (аудит) ИСПДн

Аудит информационных систем персональных данных (ИСПДН) — это проверка уровня защиты информационной системы персональных данных на соответствие требованиям законодательства РФ.

Цели и задачи аудита:

• оценить степень защищенности информации и состояние информационных систем;
• проанализировать соответствие уровня безопасности информационных систем актуальным стандартам и нормативно-правовым актам;
• разработать и передать клиенту рекомендации, которые помогут устранить обнаруженные проблемы и несоответствия.

Аудит включает в себя:

• анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
• определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
• определение структурных подразделений и работников, которые задействованы в обработке персональных данных, формирование перечня;
• определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
• анализ информационных систем, в которых ведется обработка персональных данных;
• определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
• описание и анализ техпроцесса обработки персональных данных в информационных системах;
• анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
• описание текущего состояния уровня безопасности персональных данных и формирование рекомендаций, как обеспечить должную степень защиты персональных данных.

Источник: http://kontur.ru/security/features/ispdn

Акт проверки персональных данных

Акт внутреннего контроля соответствия обработки персональных данных в администрации Народненского сельского поселения требованиям к защите персональных данных — СКАЧАТЬ

АКТ №1 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Бухгалтер» — СКАЧАТЬ

АКТ № 2 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Кадровый учет» — СКАЧАТЬ

АКТ № 3 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Делопроизводство» — СКАЧАТЬ

Источник: http://narodnenskoe.e-gov36.ru/its/akti-vnutrennego-kontrolya-sootvetstviya-obrabopersonalnih

Акт о результатах проведения проверки обеспечения защиты персональных данных

Акт проверки (обследования) обеспечения защиты ПДн описывает текущее состояние режима защиты ПДн.

• быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;
• основываться на результатах внутренней проверки;
• содержать дату и адрес учреждения, где проводилась проверка. Если проверка проводилась также в филиалах, это тоже должно быть указано;
• содержать названия всех выявленных ИСПДн.

Внутренняя проверка производится на основании приказа о проведении проверки и классификации ИСПДн и в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

В акте о результатах проведения проверки обеспечения защиты персональных данных отражаются:

Состав и структура объектов защиты.

Конфигурация и структура ИСПДн.

Режим обработки ПДн.

Перечень лиц, участвующих в обработке ПДн.

Права доступа лиц, допущенных к обработке ПДн.

Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

Существующие меры защиты ПДн.

Список необходимых мер защиты ПДн.

Данные проверки служат информационной основой для других нормативно-организационных документов.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/akts/akt_proverka_zashity_personalnyh_dannyh/

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

1. Перечень обрабатываемых ПД.
2. Приказ о назначении комиссии по защите.
3. План мероприятий по защите.
4. Положение о комиссии по защите.
5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
6. Согласие на ОПД.
7. Перечень информационных систем.
8. Обязательство о неразглашении.
9. Соглашение о соблюдении безопасности.
10. Перечень средств защиты информации.
11. Техпаспорт информационных систем.
12. Перечень помещений.
13. Приказ о назначении ответственных лиц.
14. Положение об ОПД.
15. Положение по защите.
16. Политика в отношении ОПД.
17. Инструкция ответственного лица.
18. Инструкция администратора безопасности.
19. Регламент определения уровней защищенности.
20. Техзадание на систему защиты.
21. Модель угроз безопасности.
22. Акт определения уровней защищенности.
23. Протокол определения ущерба субъекту ПД.
24. Уведомление об ОПД.
25. Инструкция пользователя информационных систем.
26. Регламент учета, хранения и уничтожения носителей.
27. Регламент допуска сотрудников и других лиц.
28. Регламент реагирования на запросы субъектов ПД.
29. Регламент резервного копирования.
30. Регламент проведения контрольных мероприятий.
31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

• Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
• Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
• Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
• Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
• Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
• Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
• Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

Передача

• Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
• Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
• Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Акт проверки персональных данных

АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА

от 2 марта 2015 года N 031-10-124/5

Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и о внутренних проверках режима защиты персональных данных в администрации города Иркутска

(с изменениями на 18 июня 2019 года)

(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (Приложение N 1).

1.2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (Приложение N 2).

2. Руководителям структурных подразделений администрации города Иркутска в месячный срок с момента подписания настоящего распоряжения ознакомить под роспись сотрудников подведомственного структурного подразделения администрации города Иркутска. Листы ознакомления представить в отдел информационной безопасности и криптографической защиты информации департамента информатизации комитета по экономике администрации г. Иркутска.

3. Контроль за исполнением настоящего Распоряжения возложить на заместителя мэра — руководителя аппарата администрации города Иркутска.

И.о. главы администрации города Иркутска
А.Б.ЛОГАШОВ

Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска

Приложение N 1
к распоряжению администрации
города Иркутска
от 2 марта 2015 г. N 031-10-124/5

(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

1. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (далее — Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в том числе Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами администрации города Иркутска.

1.2. Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2011 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», иных нормативных правовых актов.

2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства

2.1. Цель проведения внутреннего контроля состоит в проверке и оценке соответствия обеспечения безопасности персональных данных (далее — ПДн) требованиям действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», политики администрации города Иркутска в отношении обработки ПДн, правовых актов администрации города Иркутска, регулирующих работу с ПДн в структурных подразделениях администрации города Иркутска.

2.2. При проведении контроля используются процедуры документальной проверки, опрос и интервью с муниципальными служащими, работниками, замещающими должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее — служащие) администрации города Иркутска. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего контроля в качестве дополнительного способа может применяться «проверка на месте», которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования.

2.3. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:

— политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;

— организационная структура обеспечения безопасности ПДн создана;

— процессы выполнения требований безопасности ПДн исполняются и удовлетворяют поставленным целям;

— защитные меры (межсетевые экраны, средства защиты информации от несанкционированного доступа и т.п.) настроены и используются правильно;

— остаточные риски безопасности ПДн оценены и остаются приемлемыми;

— рекомендации предшествующих проверок реализованы.

2.4. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учета нештатных ситуаций информационных систем персональных данных (далее — ИСПДн), ведущийся администратором безопасности.

2.5. Ответственный за организацию обработки ПДн для проведения контроля имеет право привлекать администратора безопасности ИСПДн и других служащих.

Заместитель мэра — председатель комитета
по экономике администрации г. Иркутска
А.А.АЛЬМУХАМЕДОВ

Начальник отдела информационной безопасности
и криптографической защиты информации
департамента информатизации комитета
по экономике администрации г. Иркутска
Е.В.ТОРГАШИН

Приложение N 2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска

Приложение N 2
к распоряжению администрации
города Иркутска
от 2 марта 2015 г. N 031-10-124/5

(в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

1. Общие положения

1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее — План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.

1.2. План содержит следующую информацию:

— название проводимого мероприятия;

1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.

Руководители структурных подразделений администрации города Иркутска доводят до сведения муниципальных служащих и (или) работников, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.

2. Мероприятия по проверке режима защиты персональных данных

2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:

— ежедневные мероприятия — мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее — ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;

— еженедельные и ежемесячные мероприятия — мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;

— ежегодные или проводимые раз в несколько лет — мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.

3. Журнал учета мероприятий по контролю обеспечения защиты персональных данных

3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее — Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.

В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.

В Журнал заносится следующая информация:

— название проведенного мероприятия;

— дата проведенного мероприятия;

— результат (отчет, действия) мероприятия (при необходимости).

Источник: http://docs.cntd.ru/document/543706522

Какие документы нужны для организации защиты персональных данных? Образцы бумаг

Сегодня, когда нужная информация распространяется молниеносно через социальные сети, государственные органы и общественность стали обращать пристальное внимание на защиту конфиденциальности участников этого процесса.

В России данный вопрос также не остался без внимания. Контроль за соблюдением Федерального закона №152-ФЗ «О персональных данных» (далее по тексту – Закон) был особенно ужесточен в последнее время.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какие документы нужны в организации, работающей с массивами?

Условно подобного рода документацию можно распределить по 3 направлениям:

• Организационного характера: положение, приказы, письма.
• Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
• Методического свойства: например, правила обработки персональных данных.

Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.

Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.

Обязательный перечень

Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:

1. техническое задание, инструкция или положение о порядке обработки данных;
2. план мероприятий по обеспечению информационной безопасности;
3. соглашение (согласие, заявление) на обработку сведений о владельце;
4. приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.

Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.

О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.

Дополнительный список

К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.

Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.

Определение и содержание: как написать?

Техническое задание

При составлении тех задания нужно четко понимать цели компании в сфере обработки персональных данных. Очевидно, что техзадание одного из основных сотовых операторов на российском рынке телекоммуникаций будет в корне отличаться от техзадания маленькой турфирмы, обрабатывающей документы десяти – двадцати человек в месяц. В то же время в техническом задании должны быть учтены все требования Закона.

Содержание технического задания:

1. общая информация о проекте;
2. назначение и цели проектирования;
3. характеристики объекта;
4. требования к проекту в целом;
5. требования к подсистемам;
6. состав и содержание выполняемых работ по проекту;
7. порядок контроля и приемки проекта;
8. требования к содержанию мероприятий по вводу проекта в действие.

Инструкция

В инструкции указываются конкретные действия компании для обеспечения сохранности конфиденциальной информации, в том числе и технические алгоритмы (пропускная система, внедрение паролей и уровней доступа, защита от кибератак, программное обеспечение и локализация серверов и т.д.).

Зачастую крупные компании, обладающие крупными массивами накопленных персональных данных, такие как банки, сотовые операторы, авиакомпании, органы статистики, налоговой, подвергаются нападениям хакеров, старающихся взломать систему защиты и получить доступ к паролям и финансовому положению клиентов компаний. Поэтому подобный документ имеет первостепенное значение для указанных организаций.

Например, страховое общество может добавить в такую инструкцию:

1. нормы о целях защиты персональных данных застрахованных лиц;
2. определить список документов, в которых имеются персональные данные (анкета заявителя, номера его телефонов, копия паспорта, технического паспорта на автомобиль, правоустанавливающие документы на квартиру или дом и т.д.);
3. указать работников, которые имеют доступ к таким данным и ответственны за их разглашение и т.д.;
4. описать режим и порядок работы с персональными данными клиентов (как их собирать, обрабатывать, хранить и уничтожать).

Содержание инструкции:

• общие положения;
• понятия и определения;
• условия и порядок обработки информации;
• меры по защите;
• перечень организационных и технических документов;
• приложения в виде образцов типовых документов: приказы, договора, форма согласия на обработку данных.

• Скачать бланк инструкции по защите персональных данных
• Скачать образец инструкции по защите персональных данных

Пошаговую инструкцию по реализации защиты персональных данных в различных организациях мы привели в отдельном материале.

План мероприятий

Если какой-либо банк, обладающий тысячами документов со служебными сведениями своих клиентов, будет налаживать или совершенствовать систему защиты, то потребуется составить подробный перечень всех действий. И указать сроки их выполнения. То есть представить на утверждение правления многоступенчатую систему защиты информации. При этом совокупность мероприятий будет подразделяться на организационную и техническую деятельность.

Содержание плана мероприятий:

Акт проверки состояния

Дополнительный документ, составляемый при разработке положения или инструкции об организации защиты персональных данных.

Содержание акта:

1. сведения о должностном лице, утверждающем акт;
2. вводная часть: описание оснований для проверки;
3. объекты проверки;
4. текущее состояние защиты конфиденциальных сведений;
5. выявленные нарушения;
6. необходимые меры защиты.

• Скачать бланк акта проверки состояния защиты персональных данных
• Скачать образец акта проверки состояния защиты персональных данных

Соглашение, согласие, заявление

Соглашение, заявление на защиту и обработку персональных данных – один из важнейших документов. Его необходимость определена в силу положений части 1 статьи 9 Закона. Только имея такое согласие, оператор, обрабатывающий сведений, может защитить себя впоследствии от обвинений в несанкционированном доступе к конфиденциальной информации.

На заявлении должна быть проставлена подпись владельца персональных данных. Можно также получить согласие через интернет, путем заполнения специальной формы на сайте компании. Указанное согласие лучше всего подписывать взаимосвязано с договором на защиту и обработку персональных данных.

В этом случае при подписании подобного документа компания, получающая доступ к информации о заявителе, почти гарантированно получает иммунитет от юридического преследования при обработке. Необходимо только постараться детально описать всевозможные эксцессы, вследствие которых сохранность сведений о клиенте может оказаться под угрозой.

План внутренних проверок состояния системы

Для постоянного контроля за защитой конфиденциальных данных требуется периодически проверять систему защиты на предприятии. С этой целью рекомендуется разработать план проведения проверок, в том числе плановых и внеплановых, для выявления «слабых звеньев» в системе защиты.

Предписание о разработке

Документ является информирующим актом, в котором указывается, что компания является оператором обработки персональных данных и подпадает под требования Закона. В связи с этим, на предприятии требуется обеспечить создание системы защиты персональных данных.

Иск за моральный вред

Составляется иск по правилам общего искового производства. Например, если газета или другое печатное издание, публикуя сведения о происшествиях в школе, укажет имена и класс обучения учеников без согласия их законных представителей, то это будет основанием для подачи иска об устранении нарушений закона о защите персональных данных и возмещении морального ущерба.

Содержание искового заявления:

Договор

В системе защиты персональных данных важно заручиться согласием владельцев конфиденциальных сведений и лиц, обрабатывающих эти сведения. Все юридические детали подобного согласия, процедуры его получения и возможной ответственности за утечку сведений лучше заранее оговорить в специальном договоре.

Содержание договора:

В случае, когда предприятие в связи со своей основной деятельностью не может отнести обработку персональных данных к исключениям, указанным в ст. 1 и 22 Закона, оно обязано предоставить все необходимые документы в Роскомнадзор. Только тогда требования законодательства будут считаться выполненными, и при проведении проверки на компанию не будет наложен штраф.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/dokumenty-svyazannye-s-zashh.html