admin / 08.07.2018

Хранение персональных данных

Cоблюдаете ли вы требования к хранению персональных данных на сайте?

С 1 июля, если вы собираете данные пользователей на своём сайте, он должен соответствовать целому ряду требований Роскомнадзора. Разберем на примерах, что это за требования и почему их обязательно нужно выполнять.

Рекомендации по выполнению требований законодательства о персональных данных на сайтах

Если вы являетесь оператором по обработке персональных данных. 

1. До 1 июля 2017 года при заходе на ваш сайт посетитель должен увидеть уведомление, в котором будет ясно написано, что его персональные данные обрабатываются на данном сайте в целях его функционирования, и если он не согласен на обработку, то может покинуть сайт. Если посетитель это прочитал и не ушёл, значит, он согласен на обработку своих персональных данных.

2. Мы уже писали, что персональные данные надо хранить в России. Чтобы у вас не было проблем с российским законодательством, свой сайт лучше создать на территории РФ. Также узнайте у технической поддержки хостинг-провайдера или ЦОДа точный адрес расположения вашего сервера. Эта информация может понадобиться для проверок Роскомнадзора.

3. На вашем сайте должны быть указаны контактные данные для связи с администратором сайта. Укажите адрес электронной почты, по которому посетитель может обратиться с любым вопросом, в том числе и по обработке персональных данных, их изменению и удалению. 

4. Вам как владельцу сайта надо будет утвердить своим приказом Политику в отношении обработки персональных данных и разместить её в своем офисе или месте проживания, на своем сайте и в мобильном приложении своего сайта так, чтобы она была видна всем посетителям. Обычно она публикуется в нижней части сайта гиперссылкой на отдельную страничку. Но это не тот документ, с которым регистрирующийся посетитель соглашается при заполнении формы. Тот называется Соглашение об обработке персональных данных, и его также необходимо подготовить и опубликовать, чтобы при регистрации посетитель его видел. 

5. Давайте более подробно поговорим про размещение документа под названием «Согласие на обработку персональных данных». Под каждой формой ввода данных на сайте, а также и в мобильном приложении, необходимо будет разместить текст примерно такого содержания «Нажимая на кнопку ВВЕСТИ, я выражаю свое согласие на обработку своих персональных данных», где слова «согласие на обработку персональных данных» будут ссылкой на сам документ. 

6. Вам необходимо подать в Роскомнадзор уведомление об обработке персональных данных посредством заполнения этих форм. Все поля обязательны к заполнению. И, что важно, каждый раз, когда у вас что-то меняется (категории персональных данных, лицо, ведущее обработку персональных данных) необходимо повторно информировать об этом Роскомнадзор через эти формы. Роскомнадзор опубликовал образцы заполнения данных форм.

7. Если вы не хотите больше обрабатывать персональные данные, то вам необходимо направить в территориальный орган Роскомнадзора заявление об исключении из Реестра операторов, осуществляющих обработку персональных данных. Это надо сделать в течение десяти рабочих дней после завершения обработки, вот пример такого заявления. Также такое заявление можно подать в электронном виде на сайте «Госуслуг». 

После подачи заявления персональные данные должны быть уничтожены. Порядок уничтожения персональных данных определяется оператором самостоятельно. Можно составить акт об уничтожении персональных данных или сделать запись в специальном журнале. 

8. Запросите у вашего ЦОД и хостера документы, дающие гарантию, что персональные данные находятся под защитой. Эти документы могут вам понадобиться при проверке.

9. Подготовьте документы, которые будут подтверждать, что вы сами принимаете меры по обеспечению безопасности персональных данных, осуществляете внутренний контроль и аудит, оцениваете вред, который может быть причинен в случае нарушений. Обязательно обозначьте уровень защищенности персональных данных и определите тип актуальных угроз. Подробнее здесь.

Кстати, на некоторых сайтах за вознаграждение можно заказать весь пакет необходимых документов.  

10. Помните, что у людей, персональные данные которых вы обрабатываете, есть право затребовать у вас информацию о том, какие именно их персональные данные, как, сколько по времени, кем и в каких целях используются и др. Разработайте заранее форму ответа. Необходимо отвечать в течение 30 дней. 

11. Подумайте, необходима ли вам вообще форма обратной связи с персональными данными на сайте. Может быть, не очень?

Свои вопросы по правилам хранения персональных данных вы можете задать юристу: legal4advice@gmail.com

Кроме того, вам необходимо подготовить набор документов, который вы будете хранить у себя, они регламентируют порядок работы с персональными данным. 

Если вы думаете, что вас не коснутся изменения законодательства

Судебная практика по делам по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»

Здесь мы собрали наиболее типичные случаи из судебной практики первой половины 2017 года по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Проанализируем, за что именно наказывали по данной статье, и какие виды наказаний применялись чаще всего.

Наиболее часто административные дела по нарушению порядка обработки персональных данных возбуждали после проверок интернет-сайтов, на которых отсутствовало согласие на обработку персональных данных, а также не была опубликована политика в отношении обработки  персональных данных.

Дело №1.

Интернет-сайт муниципального казённого общеобразовательного учреждения средняя общеобразовательная школа с. Мугреевский в Ивановской области осуществлял обработку персональных данных пользователей без их согласия на нее. Кроме того, на нём не был опубликован документ, определявший его политику в отношении обработки персональных данных. Суд вынес постановление о признании МКОУСОШ с. Мугреевский, Южского района, Ивановской области (то есть, всего юридического лица, а не его руководителя) виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначил ему наказание в виде предупреждения.Более подробно о деле.

Дело №2.

В городе Петухово Курганской области на интернет-сайте МБОУ «Октябрьская средняя общеобразовательная школа» при переходе по ссылке «Обратная связь» пользователи могли отправить сообщение, при этом происходил сбор определенной информации о гражданине: его имени и emаil. Обработка персональных данных  субъекта происходила без согласия на неё. Кроме того, на сайте не был опубликован документ, определявший его политику в отношении обработки персональных данных. Судья постановил привлечь данное юридическое лицо к административной ответственности по ст.13.11 КоАП РФ и назначить административное наказание в виде предупреждения.Более подробно о деле.

Дело №3.

Индивидуальный предприниматель из Уфы не принял меры по размещению на своем сайте документа, определяющего политику в отношении обработки персональных данных, а также сведений о реализуемых требованиях к их защите. Суд решил признать виновным этого индивидуального предпринимателя в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП, и назначить ему наказание в виде предупреждения.Более подробно о деле. 

Дела по данной статье возбуждают не только в отношении физических или юридических лиц и индивидуальных предпринимателей, но и в отношении должностных лиц.

Дело №4.

Глава администрации одного из городских поселений в Ленинградской области не обеспечил публикацию администрацией документа, определяющего политику администрации в отношении обработки персональных данных, а также возможность доступа граждан к этому документу с использованием средств соответствующей информационно-телекоммуникационной сети. Судья постановил признать главу администрации городского поселения виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить ему административное наказание в виде административного штрафа с перечислением в соответствующий бюджет.Более подробно о деле. 

Второй тип правонарушения по данной статье – оператор персональных данных не уведомил уполномоченный орган по защите прав субъектов персональных данных (то есть, Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Дело №5.

Директор общества с ограниченной ответственностью из города Октябрьска Самарской области, осуществляя обработку персональных данных физических лиц, в том числе индивидуальных предпринимателей, а именно: сбор, запись, хранение, извлечение, передачу персональных данных, не уведомил уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку. В реестре операторов, обрабатывающих персональные данные, размещенном на официальном сайте Роскомнадзора, сведения о данном ООО отсутствовали. Судья постановил признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП, директора общества с ограниченной ответственностью и назначить ему наказание в виде предупреждения.Более подробно о деле.

Дело №6.

Должностное лицо в Самаре допустило нарушение требований ст.ст. 18.1,22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части не направления уведомления об обработке персональных данных в уполномоченный орган. В реестре операторов обработки персональных данных сведения о таком операторе отсутствовали. Судья постановил привлечь данное должностное  лицо к административной ответственности, предусмотренной ст. 13.11 КоАП РФ и подвергнуть наказанию в виде административного штрафа в размере 500 (пятьсот) рублей.Более подробно о деле. 

Также административные дела возбуждают, когда оператор персональных данных заведомо уведомил Роскомнадзор о своем намерении обрабатывать персональные данные через сайт, но при изменении сведений об обработке персональных данных (например, сначала эти данные обрабатывал один человек , а потом другой) не сообщил об этом в Роскомнадзор.

Дело №7.

Учебное заведение в Самаре осуществляло деятельность, связанную с обработкой персональных данных обучающихся. В ходе проведения проверки было установлено, что в реестре операторов, осуществляющих обработку персональных данных значится МБУ ДО «ЦВР «Крылатый» г.о. Самара. Но в реестре операторов персональных данных лицом, ответственным за обработку персональных данных по состоянию на дату внесения записи в реестр, значился один сотрудник. Вместе с тем, приказом директора МБУ ДО «ЦВР «Крылатый» г.о. Самара ответственным за обработку персональных данных был назначен другой сотрудник. Таким образом, МБУ ДО «ЦВР «Крылатый» г.о. Самара не были соблюдены положения ст. 22 Федерального закона «О персональных данных» в части ненаправления уведомления об изменениях сведений об обработке персональных данных в уполномоченный орган. Суд постановил признать МБУ ДО «Центр внешкольной работы «Крылатый»  виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить наказание в виде предупреждения.Более подробно о деле. 

Дело №8.

Также в Самаре и.о. директора детской школы искусств (школа искусств значилась в реестре операторов, осуществляющих обработку персональных данных), не направила уведомление об изменении сведений об обработке персональных данных в уполномоченный орган, когда приказом директора был назначен другой ответственный за обработку персональных данных. Суд постановил признать детскую школу искусств виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, и назначить наказание в виде штрафа в размере 5000 рублей. Более подробно о деле. 

Еще один вид нарушения по ст. 13.11 КоАП состоит в том, что руководитель организации не разработал внутренний пакет документов по обработке персональных данных.

Дело №9.

В городе Северодвинске Архангельской области директор предприятия не издал приказ о назначении лица, ответственного за организацию обработки персональных данных, не разработал и не утвердил локальные акты по вопросам обработки персональных данных, не ознакомил работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, не произвел обучение указанных работников, внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных не осуществлял.

В итоге суд постановил признать директора предприятия виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить ему наказание в виде предупреждения. Более подробно о деле.

Дело №10.

В Чаунском районе Чукотского автономного округа произошла похожая ситуация. Директор (должностное лицо) совершил административное правонарушение, нарушил установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В ходе проверки было установлено, что в организации отсутствуют документы, определяющие политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений. Суд постановил признать директора виновным в совершении административного правонарушения (по ст. 13.11 КоАП РФ) и назначить ему наказание в виде предупреждения. Подробно о деле. 

Незнание закона не освобождает от ответственности.

Дело №11. 

Председатель правления жилищно-строительного кооператива в Самаре нарушил порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В ходе судебного заседания он пояснил, что исполняет обязанности председателя более года. О необходимости ведения документации он не знал, так как документация в ЖСК никогда не велась, а юридического образования он не имеет. Обещал в ближайшее время устранить недостатки и полагал, что в данной ситуации вины за ним нет. Суд постановил привлечь председателя правления данного ЖСК к административной ответственности, предусмотренной ст. 13.11 КоАП РФ, и подвергнуть наказанию в виде административного штрафа в размере 500 (пятьсот) рублей. Более подробно о деле.  

Как мы видим из приведенных выше дел из реальной судебной практики, в качестве меры ответственности в большинстве случаев было вынесено предупреждение. Это значит, что если правонарушение в сфере персональных данных совершено лицом впервые в течение года, то судья может (но не обязан!) освободить данное лицо от штрафа и вынести официальное порицание (то есть, предупреждение по ст. 3.4 КоАП РФ).

Как Роскомнадзор проводит проверки по закону о персональных данных

До недавнего времени Роскомнадзор проводил проверки деятельности компаний в сфере соблюдения законодательства о персональных данных в соответствии с Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ .

Согласно этому закону плановые проверки нельзя было проводить чаще, чем один раз в три года (ч. 2 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). При этом Роскомнадзор действовал на основании плана проверок, который в обязательном порядке сноачала направлялся на согласование в органы прокураторы (ч. 3,ч. 6 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»).

С момента вступления в силу 1 сентября 2015 года Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 N 242-ФЗ Роскомнадзор получил право проводить проверки без таких ограничений и без соблюдения сроков проверок в количестве 20 рабочих дней (ст. 13 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). На практике иногда получалось, что Роскомнадзор мог провести проверку соблюдения компанией требований по обработке персональных данных в любой момент, по любому поводу и любой длительности. 

Сейчас Роскомнадзор обязан направить материалы по итогам проверок в органы прокуратуры для принятия мер прокурорского реагирования. После 1 июля 2017 года при выявлении нарушений Роскомнадзор будет иметь право самостоятельно составлять протоколы об административных правонарушениях по новой редакции статьи 13.11 КоАП и обращаться в суд, минуя органы прокуратуры. 

Срок привлечения к ответственности нарушителя останется прежний, это три месяца со дня совершения административного правонарушения (дата, если она точно установлена,  фиксируется в протоколе об административном правонарушении). Также ждем регламента проведения проверок Роскомнадзора по выявлению нарушений исполнения закона «О персональных данных», который на сегодняшний момент еще не утвержден и не вступил в силу. В нем будет детально прописан алгоритм проведения таких проверок.

Федеральный Закон 242 о хранении персональных данных.

C 1 сентября 2015 года в Российской Федерации начинало действовать положение о локализации хранения и отдельных процессов обработки персональных данных , определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Для того, чтобы понять, что можно делать, а что нельзя, мы подготовили данный материал.

Итак, о чем же говорит закон?

Полный текст закона Вы можете прочитать здесь.

Что нельзя делать?

  • Полностью хостить сайт, содержащий персональные данные, вне территории Российской Федерации, без принятия дополнительных мер.
  • Предоставлять прямой доступ с российского сайта в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории Российской Федерации.
  • Напрямую использовать по схеме Saas приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.

Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.

Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данный в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Административная ответственность

Статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • На граждан в размере от 300 до 500 рублей;
  • На должностных лиц – от 500 до 1 тысячи рублей;
  • На юридических лиц – от 5000 до 10 000 рублей.

Что можно делать?

Не стоит забывать о том, что ограничения на размещение баз персональных данных вводятся на период сбора (внесения изменений) персональных данных и не затрагивают их последующей обработки после завершения сбора (внесения изменений).

Ограничения касаются только персональных данный граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства.

Что делать, чтобы выполнить закон?

  • Обеспечить первичное размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, целиком располагающихся на территории Российской Федерации;
  • Обеспечить уточнение, обновление, изменения, извлечение персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости;
  • Применять те же правила в отношении персональных данных граждан, чье гражданство неизвестно или установить его нельзя.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором персональных данных в своей деятельности.

Есть два варианта:

  • Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России.

    Срок хранения персональных данных

    Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.

или

  • Хранить данные в информационной системе за рубежом в зашифрованном виде, а расшифровывать данные только в приложении, находящимся на территории России.

Следует помнить, что зашифрованный массив данных без ключа у провайдера – не персональные данные!

Как использовать облачные продукты компании Microsoft?

  1. Необходим локальный AD компании, в который заносятся персональные данные сотрудников. Локальный – размещенный на территории Российской Федерации, в том числе в любом российском облаке.
  2. Использовать службу синхронизации каталогов Office 365 (DirSync) для синхронизации учетных записей (без поддержки функциональности единого входа SSO).
  3. Использовать службу федерации Active Directory (ADFS) для поддержки функциональности единого входа SSO

СЭД/ЕСМ система DocSpace поддерживает схемы развертывания без нарушения требований ФЗ-242 как при локальной установке, так и при использовании в облаках: Azure, хостинг в России или за рубежом, гибридные облака.

Программное обеспечение компании Conteq соответствует всем требованиям закона. Вам остается только сосредоточится на своих задачах. О соблюдении закона позаботимся мы.

.

.

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п.

1 ст.18.1 Закона «О персональных данных»):

  1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен.

В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.

2.

5 шагов по организации учета и хранения персональных данных

Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных.Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств).Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»).

Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на legal4advice@gmail.com.

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*