Персональные данные в организации

Ирина Андрианова

Эта книга – практический материал, который поможет сэкономить Ваше время, быстро сориентироваться в изменениях законодательства и разработать документы по персональным данным. В книге приведен обзор законодательства, алгоритм построения системы защиты персональных данных, примеры документов (политика, приказы, инструкции, согласия, уведомления, акты и др.).Для специалистов, ответственных за работу с персональными данными,руководителей организаций и учреждений.

2. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

2.1. Алгоритм построения системы защиты персональных данных в организации

Согласно ст. 19 ФЗ-152 оператор (организация, учреждение) должен защищать обрабатываемые им персональные данные. Важно исключить несанкционированный доступ к сведениям, их утрату или утечку. Для этого в организации необходимо правильно выстроить систему безопасности ПДн, которая зависит от многих факторов: вида деятельности компании, способа обработки данных (автоматизированной, без средств автоматизации или смешенный), категорий обрабатываемых сведений и др. Так, при обработке ПДн в информационных системах ПДн организации необходимо установить уровни защищенности ПДн в зависимости от уровней актуальных угроз с учетом категорий ПДн, выработать организационные и технические меры по их защите и провести ряд мероприятий:

1) Приказом руководителя организации назначается ответственный за обработку и защиту ПДн (его работа осуществляется на основании должностной инструкции). Также создается постоянно действующая комиссия по защите персональных данных из наиболее опытных работников в количестве 3—5 человек (порядок работы, функции и полномочия комиссии прописываются в локальном нормативном акте (положении), который утверждается приказом, также как и ее состав с указанием должностей и ФИО соответствующих работников).

2) Комиссия разрабатывает перечень лиц, допущенных к работе с ПДн, который также утверждается приказом руководителя (в приказе указываются должности и ФИО сотрудников, которые имеют доступ ПДн и обрабатывают их для выполнения своих должностных обязанностей). Эти сотрудники обязаны пройти обучение, инструктаж по работе с ПДн (проводит ответственный по ПДн).

3) Согласно ПП №1119 ответственный по ПДн проводит инвентаризацию информационных систем ПДн в организации (ИСПДн), т. е. определяет перечень оборудования и программного обеспечения (ПО) — в приказе перечисляются назначение каждой ИСПДн и основные цели обработки ПДн (например, для бухгалтерских программ целью будет автоматизация процессов бухгалтерского учета, расчета заработной платы и тп.). Также прописываются категории обрабатываемых персональных данных. В этом же приказе можно установить границы контролируемой зоны ИСПДн, где ответственные лица осуществляют контроль за ПДн и обеспечивают их защиту.

4) Комиссия формирует перечень сведений, в котором перечисляется, какие именно персональные данные обрабатываются для каждой категории субъектов ПДн — работников, клиентов, контрагентов и тд.

5) Комиссия составляет и направляет уведомление в Роскомнадзор об обработке ПДн. Есть возможность отправить документ в электронном виде через сайт ведомства. Образец заполнения и утвержденные формы также можно найти на портале персональных данных Роскомнадзора.

6) Комиссия разрабатывает типовые формы согласий на обработку, распространение ПДн (отдельно для сотрудников, клиентов, пользователей, контрагентов и тд.). Формы согласий разрабатываются на основании ст.9, ст. 10.1, ст. 11 ФЗ-152 приказа Роскомнадзора от 24.02.2021 №18. Если компания (например, интернет-магазин) планирует использовать сайт для получения согласия на обработку ПДн от пользователей сайта, то необходимо разработать отдельную форму согласия для этой группы субъектов ПДн. В согласиях обязательно указываются сведения об операторе ПДн (организации), цель обработки ПДн, виды данных, а также наименования юр. лиц, ФИО физ. лиц, которым сведения будут передаваться.

Конец ознакомительного фрагмента.