Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы
Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.
Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?
Об этом вы узнаете в нашей статье.
Скрыть содержание
- Общий перечень
- Что требуется для сбора информации?
- Назначение ответственных лиц
- Определение уровня защищенности
- Начало обработки
- Организационно-распорядительная документация
Общий перечень
Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:
- Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
- Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
- Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
- Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
- Список помещений, где проводится обработка ПД.
- Приказ об утверждении мест хранения ПД.
- Проект информационной системы ЗПД.
- Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
- Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
- Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
- Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
- План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
- Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
- Журнал учета носителей информации.
- Журнал учета обращений субъектов ПД о выполнении их законных прав.
- Положение о правах доступа к обрабатываемым личным данным.
- План проведения внутренних проверок защищенности персональных данных.
- Акт классификации системы. Это база данных с личной информацией, где следует указать:
- категории персональных данных;
- кем используется система;
- режим и объем обрабатываемой информации;
- тип и структуру системы;
- расположение технических средств;
- подключение к другим сетям связи.
- Правила обработки без применения автоматизированных средств.
- Инструкция по организации защиты пароля и антивирусного контроля.
- Форма акта по утилизации документов, содержащих личную информацию.
- Журнал тестирования средств информационной защиты.
- Журнал по проведению инструктажа по безопасности системы.
- Журнал учета технических средств защиты информации.
- Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
- Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
- Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
- Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
- Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
- План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
- Форма ответа на запрос ПД.
О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.
Что требуется для сбора информации?
Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:
- Организационная.
Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.
Сюда относятся:
- должностные инструкции;
- положение;
- уведомления, письма;
- акты, приказы (о допуске сотрудников к работе с ПД).
- Технологическая.
Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.
Сюда относятся:
- инструкции по обработке данных;
- перечни.
- Методическая.
Детализация процессов обработки, порядок и правила работы с ПД.
Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.На нашем сайте есть другие материалы, посвященные вопросам защиты ПД. Прочтя их, вы узнаете:
- Какие уполномоченные органы по защите прав субъектов персональных данных существуют?
- Что такое политика обработки и защиты ПД?
- Как организовать и внедрить защиту данных в различных организациях?
Назначение ответственных лиц
Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.
Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.
Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.
- Скачать бланк приказа о назначении ответственного лица за обработку персональных данных
- Скачать образец приказа о назначении ответственного лица за обработку персональных данных
В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.
Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.
Определение уровня защищенности
К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.
Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.
Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.
В акте указываются:
- персональные данные, обрабатываемые в ИСПДн;
- объем обрабатываемых ПД;
- уровень защищенности;
- тип актуальных угроз для ИСПДн.
- Скачать бланк акта определения уровня защищенности персональных данных
- Скачать образец акта определения уровня защищенности персональных данных
Начало обработки
Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.Для начала обработки данных требуется следующее документальное оформление:
- Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
- Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
- Образцы уведомления уполномоченного органа.
- Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
- Порядок отношений с распорядителем баз ПД.
- Порядок работы с запросами субъектов ПД.
- Договор с субъектами, обрабатывающими базы ПД.
Организационно-распорядительная документация
- Положение о защите ПД.
Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.
- Приказ о допуске к документам с персональными сведениями.
В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.
- Инструкция по защите ПД.
Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
Скачать бланк инструкции о защите персональных данныхВнимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.