Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

Об этом вы узнаете в нашей статье.

Скрыть содержание

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:

    • категории персональных данных;
    • кем используется система;
    • режим и объем обрабатываемой информации;
    • тип и структуру системы;
    • расположение технических средств;
    • подключение к другим сетям связи.
  19. Правила обработки без применения автоматизированных средств.
  20. Инструкция по организации защиты пароля и антивирусного контроля.
  21. Форма акта по утилизации документов, содержащих личную информацию.
  22. Журнал тестирования средств информационной защиты.
  23. Журнал по проведению инструктажа по безопасности системы.
  24. Журнал учета технических средств защиты информации.
  25. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  26. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  27. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  28. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  29. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  30. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  31. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

  • Организационная.

    Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

    Сюда относятся:

    1. должностные инструкции;
    2. положение;
    3. уведомления, письма;
    4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.

    Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.

    Сюда относятся:

    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.

    Детализация процессов обработки, порядок и правила работы с ПД.

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.
На нашем сайте есть другие материалы, посвященные вопросам защиты ПД. Прочтя их, вы узнаете:

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

  1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
  2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
  3. Образцы уведомления уполномоченного органа.
  4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
  5. Порядок отношений с распорядителем баз ПД.
  6. Порядок работы с запросами субъектов ПД.
  7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация

  1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

  2. Приказ о допуске к документам с персональными сведениями.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

  3. Инструкция по защите ПД.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
    Скачать бланк инструкции о защите персональных данных

Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий