Статьи

Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора.

Надейся на лучшее, а готовься к худшему. Сегодня деятельность любой компании может быть проверена Роскомнадзором на предмет соответствия требованиям законодательства в области персональных данных.

И даже если в план проверок на год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ "О персональных данных".

О визите Роскомнадзора вас обязательно предупредят письмом (или факсом), к которому будет приложена копия приказа о проверке. Предупредить они обязаны не менее чем за 3 рабочих дня до начала проверки (обычно за неделю).

Письмо и приказ будет выглядеть примерно так .

Первым делом следует сразу прочитать эти документы, чтобы знать свои права и тем более обязанности.

Полезно их будет распечатать и показывать выдержки в случае необходимости государственным инспекторам.

Затем необходимо найти ваше уведомление в реестре операторов персональных данных и очень внимательно его прочитать! Особо обратите внимание на адреса офисов и филиалов, ФИО ответственного за организацию обработки персональных данных, категории субъектов персональных данных. Частенько там забывают указать "ближайших родственников" из карточки Т2, "поручителей" из договоров, а так же "инвалидность", "водительское удостоверение", "предыдущие места работы", "телефон" из анкеты о приёме на работу сотрудников.

Если что-то в уведомлении будет не соответствует действительности - сразу получите предписание по статье КоАП 19.7 (3-5 тысяч рублей).

Если уведомления у вас нет, и вы точно уверены, что оно вам не нужно, рекомендую подготовить "справку о причинах неуведомления", в которой указать причины неуведомления Роскомнадзора (нужные подпункты из ч.2 ст.22 152-ФЗ) и подписать у руководителя организации.

Особое внимание следует уделить анкетам кандидатов на приём на работу! Инспектор обязательно попросит шаблон такой анкеты! Может попросить и заполненную анкету одного из кандидатов. Тут, кстати, не попадитесь: если анкеты кандидатов вы храните, а не уничтожаете, то на это нужно согласие самого кандидата !

В анкете не должно быть судимости (если закон не обязывает вас спрашивать об этом у кандидата). Не нужна графа "национальность", "инвалидность", "вредные привычки", "психологические качества" - это все спец.категории ПДн со всеми вытекающими последствиями! Если поправки в КоАП примут, за эти графы даже в старых анкетах можно будет получить до 300 тысяч штрафа! Шаблон анкеты должен так же соответствовать требованиям п.7 ПП 687: на анкете должно быть наименование организации, адрес. цели и сроки обработки персональных данных.

Должен быть разработан, утвержден и доведен под роспись до ответственных лиц весь перечень внутренних документов в области персональных данных:

Это копипаст из шаблона письма Роскомнадзора, ссылку на которое я давал в самом начале поста. Перечень документов уже пару лет как не меняется, поэтому есть смысл пробежаться глазами по всему списку и подготовить ответ по каждому пункту .

Хорошая новость заключается в том, что большую часть своего внимания сотрудники Роскомнадзора сосредоточат на вашем отделе кадров и бухгалтерии. У каждой компании свои методы и системы обработки персональных данных клиентов, но отдел кадров у всех работает одинаково, поэтому его легче проверять. Это, конечно, не правило, а только лишь наблюдение.

Пройти успешно проверку Роскомнадзора можно и своими силами, не прибегая к услугам компаний-интеграторов. Главное помнить, что защита персональных данных - это не разовое событие, а постоянный процесс. И если закупку межсетевых экранов и систем контроля доступа можно откладывать, ссылаясь на нехватку бюджетов, то документы по защите персональных данных должны быть у каждой организации. Сегодня это совсем не тяжело сделать.

Форум

Хотелось бы разграничить ответственность. Но как это оформить в приказе, что технически за обработку и сохранность персональных данных отвечаю я, а за личные дела сотрудник отвечает непосредственно отдел кадров.

У нас вот как:

Есть Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором прописаны должности и их функционал (Администратор БД, Администратор ИСПДн, ответственный за организацию обработки ПДн, ответственный за выполнение работ по обеспечению безопасности ПДн и т.д.).

В приказе Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

1. Назначить ответственным за организацию обработки персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение).

2. Назначить ответственным за выполнение работ по обеспечению безопасности персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением.

и т.д.

Документы, в которых про ответственность речь, про обязанности и т.д. под роспись этим сотрудникам.

Также ещё есть инструкции для этих должностей, где всё подробно описано. И тоже под роспись.

Приказ о назначении ответственных за обработку персональных данных (образец заполнения)

Образцы по теме: Приказ. Труд

ОАО "Бегемот"

Приказ о назначении ответственных за обработку персональных данных

Во исполнение гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других действующих нормативно-правовых актов РФ в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества

Приказываю:

1. Назначить ответственных за сбор и хранение персональных данных работников общества следующих сотрудников:

Водченко Светлану Анатольевну, начальника отдела кадров,

Принципкину Софию Федоровну, специалиста по кадрам.

2. Назначить ответственных за обработку персональных данных работников общества следующих сотрудников:

Водченко Светлану Анатольевну, начальника отдела кадров,

Принципкину Софию Федоровну, специалиста по кадрам,

Волонтерову Ольгу Ивановну, юрисконсульта,

Челобитько Анну Григорьевну, главного бухгалтера,

Свиридова Петра Александровича, бухгалтера по расчету заработной платы.

3. Настоящий приказ объявить руководителям структурных подразделений и должностным лицам, назначенным ответственными за обработку персональных данных.

4. Контроль исполнения приказа оставляю за собой.

Как защитить персональные данные в небольшом учреждении

19 апреля

Инструкция-пример: 13 необходимых мероприятий для выполнения требований ФЗ О персональных данных в организациях, которые обрабатывают персональные данные исключительно своих работников.

Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных. за несколько лет претерпевший существенные изменения, регулирует деятельность по обработке (использованию) персональных данных. На каждом конкретном предприятии или в организации содержание отдельных мер могут различаться. В данной инструкции Игорь Луканин, эксперт справочно-правового веб-сервиса Норматив по вопросам обработки персональных данных, рассказывает о том, какие меры нужно предпринимать для выполнения требований закона в небольших организациях, которые обрабатывают персональные данные исключительно своих работников.

Итак, для выполнения требований ФЗ-152 необходимо:

1. Издать приказ о назначении ответственного за организацию обработки персональных данных (п. 1 ст. 18.1 ). В обязанности ответственного будет входить организация выполнения всех остальных требований ФЗ О персональных данных. Желательно назначить ответственным работника, имеющего широкие полномочия, например одного из заместителей руководителя.

3. Определить цели обработки персональных данных (п. 2 ст. 5 ). В соответствии с п. 1 ст. 86 Трудового Кодекса РФ целями обработки персональных данных работников могут являться обеспечение соблюдения законов и иных нормативных правовых актов, содействие в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы и обеспечения сохранности имущества.

4. Определить, какие именно персональные данные работников хранятся и используются (как на бумажных носителях, так и в электронном виде). При этом не следует учитывать архивные документы, если таковые имеются (п. 2 ст. 1 ). Необходимо составить перечень используемых документов на бумажных носителях и перечень компьютерных программ, с помощью которых осуществляется хранение и обработка персональных данных, и указать, какие именно персональные данные работников в них вносятся. Например, известно, что в личную карточку работника вносится его фамилия, имя, отчество, паспортные данные, сведения об образовании и квалификации и так далее.

Особое внимание следует уделить определению того, обрабатываются ли специальные категории персональных данных (ст. 10 ) или биометрические персональные данные (ст. 11 ). Обработка таких персональных данных допускается только при наличии соответствующего правового основания и в соответствии с положениями указанных статей ФЗ О персональных данных.

5. Определить, какие действия совершаются с персональными данными при их обработке. Возможные действия (сбор, запись, систематизация и так далее) представлены в п. 3 ст. 3 .

Кроме того, необходимо определить, используется ли исключительно автоматизированная обработка персональных данных (п. 4 ст. 3 ), исключительно неавтоматизированная или смешанная. В большинстве организаций осуществляется смешанная обработка. Также нужно определить, осуществляется ли передача персональных данных по внутренней сети организации (если таковая имеется) и по сети Интернет.

6. Определить, осуществляется ли трансграничная передача персональных данных. Трансграничная передача персональных данных - это передача персональных данных органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ). Если она осуществляется в вашей организации, необходимо выполнить требования ст. 12.

В справочных целях при выполнении шагов 2-6 целесообразно обратиться к рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденным Приказом Роскомнадзора от 19.08. № 706. Кроме того, необходимо ознакомиться с пояснениями к полям уведомления о намерении осуществлять обработку персональных данных, размещенного на интернет-сайте Роскомнадзора .

7. Определить, осуществляется ли передача персональных данных работников третьим лицам. Все организации РФ, имеющие сотрудников, при сдаче отчетности в соответствии с законодательством предоставляют персональные данные своих работников в Пенсионный фонд России, Федеральную налоговую службу и иные федеральные органы исполнительной власти и местного самоуправления.

В случае если персональные данные работников передаются иным лицам (если это не предусмотрено федеральными законами, например при работе с банком по зарплатному проекту или при осуществлении добровольного медицинского страхования), необходимо получение согласия работников (ст. 7 ). При этом обязанность доказать получение согласия возлагается на вашу организацию (п. 3 ст. 9 ). В таком случае желательно включить положения о согласии, соответствующие п. 4 ст. 9. в текст трудового договора или заключать дополнительное соглашение к трудовому договору.

8. Определить, необходимо ли получать согласие работников в письменной форме на обработку их персональных данных. Такое согласие необходимо в случаях, предусмотренных п. 2 ст. 10. п. 1 ст. 11. п. 4 ст. 12. п. 2 ст. 16. За дополнительной информацией относительно получения согласия работников необходимо обратиться к п. 4 разъяснений Роскомнадзора .

9. Издать и утвердить политику в отношении обработки персональных данных, включающую сведения, приведенные в п. 7 ст. 14 (п. 1 ст. 18.1 ). В справочных целях целесообразно обратиться к Положению об обработке и защите персональных данных в центральном аппарате [Роскомнадзора], утвержденному Приказом Роскомнадзора от 03.12. № 1255 .

Данная политика должна быть размещена в неограниченном доступе (п. 2 ст. 18.1 ). Лучше поместить ее копию в печатном виде на доску информации в помещении вашей организации, где все желающие смогут иметь возможность с ней ознакомиться.

10. Оценить вред, который может быть причинен работникам в случае нарушения ФЗ О персональных данных (п. 1 ст. 18.1 ). Законом не установлен порядок выполнения такой оценки. Нужно оценить вред качественно (значительный, средний и так далее) и отразить данную оценку в акте.

11. Ознакомить под роспись работников с ФЗ О персональных данных, политикой в отношении обработки персональных данных и иными локальными актами (п. 8 ст. 86 Трудового Кодекса РФ ).

12. Обеспечить применение правовых, организационных и технических мер по обеспечению безопасности персональных данных (п. 2 ст. 19 ). Детальные требования к данным мерам установлены Постановлением Правительства РФ от 15.09.2008 № 687 и Постановлением Правительства РФ от 01.11. № 1119 .

Приказ ФСТЭК России от 18.02. № 21, утверждающий требования к организационным и техническим мерам по обеспечению безопасности персональных данных (и к средствам защиты информации, устанавливаемым на компьютеры, на которых осуществляется обработка персональных данных), в настоящее время находится на регистрации в Министерстве юстиции. После того как документ пройдет регистрацию и вступит в силу, желательно ознакомиться с ним.

13. Кроме того, необходимо осуществлять периодический внутренний контроль соответствия обработки персональных данных требованиям ФЗ О персональных данных и принятых в соответствии с ним нормативных правовых актов относительно защиты персональных данных, политики в отношении обработки персональных данных, а также иных локальных актов (п. 1 ст. 18.1 ). Результаты такого контроля желательно отражать в акте.

Для справки: Внимание, данная инструкция отображает лишь первоочередные меры по реализации требований ФЗ О персональных данных. Нужно помнить, что закон также обязывает работников организации вести определенную деятельность на постоянной основе: отвечать на запросы физических лиц об обработке их персональных данных, периодически уничтожать персональные данные, цель обработки которых достигнута и т. д.

Стоит также отметить, порядок реализации правовых, организационных и технических мер зависит от особенностей каждой отдельной организации, поэтому за более конкретными советами лучше обращаться в раздел Норматива Вопросы эксперту.

Направлено в суд уголовное дело по факту фиктивной постановки на учет иностранных граждан Прокуратура г. Мегиона утвердила обвинительный акт по уголовному делу в отношении местного жителя, который обвиняется в совершении преступления, предусмотренного ст. 322.3 УК РФ фиктивная постановка на учет иностранных граждан по месту пребывания в жилом помещении .

08.05. Просмотров: 23

Подписан закон, направленный на предотвращение создания фирм на подставных лиц Федеральным законом внесены поправки в Основы законодательства РФ о нотариате, в УК РФ, КоАП РФ, в федеральные законы Об обществах с ограниченной ответственностью , О государственной регистрации юридических лиц и индивидуальных предпринимателей .

Усиление требований к антитеррористической защищенности мест массового пребывания людей Постановлением Правительства РФ от 25.03. N 272 Об утверждении требований к антитеррористической защищенности мест массового пребывания людей и объектов территорий , подлежащих обязательной охране полицией, и форм паспортов безопасности таких мест и объектов территорий в целях обеспечения антитеррористической защищенности мест массового пребывания людей определен порядок проведения мероприятий, а также объектов, охраняемых полицией.

Изменения в Семейном законодательстве, касающееся усыновителей Федеральным законом от 20.04. N 101-ФЗ О внесении изменений в Семейный кодекс Российской Федерации внесены изменения в статью 127 Семейного кодекса РФ.

Президентом РФ подписан Федеральный закон, регулирующий порядок предоставления единовременной выплаты в размере 20000 рублей Федеральным законом от 20.04. N 88-ФЗ О единовременной выплате за счет средств материнского семейного капитала предоставляется право на предоставление единовременной выплаты в размере 20 000 рублей из средств материнского капитала.

О лишении управляющей домом компании лицензии, собственников квартир в доме должны своевременно проинформировать Постановлением Правительства РФ от 28.03. № 289 «О порядке информирования о возникновении отдельных оснований прекращения деятельности по управлению многоквартирным домом» установлена процедура информирования собственников помещений и иных лиц в случае прекращения лицензиатом деятельности по управлению многоквартирным домом.

Установлены ответственные за отлов и содержание безнадзорных животных Федеральным законом от 30.03. № 64-ФЗ внесены изменения в статью 26.3 Федерального закона от 06.10.1999 № 184-ФЗ «Об общих принципах организации законодательных представительных и исполнительных органов государственной власти субъектов Российской Федерации».

Прокуратурой города организована выставка детских рисунков В честь празднования 70-й годовщины Победы в Великой Отечественной войне 1941-1945 годов прокуратурой города организована выставка детских рисунков на тему «Этот день Победы!».

Порядок уплаты налога на имущество физических лиц С 1 января г. налог на имущество физических лиц будет исчисляться по правилам главы 32 Налогового кодекса РФ, которая введена Федеральным законом от 04.10. № 284-ФЗ.

За вождение автотранспортного средства в состоянии опьянения – до двух лет лишения свободы С 1 июля года за пьяную езду можно будет получить до двух лет лишения свободы - законопроект об этом принят Государственной Думой РФ в третьем окончательном чтении.

Изменены суммы штрафов за взятки в статьях 290 и 291 Уголовного кодекса Российской Федерации Федеральным законом № 40-ФЗ от 08.03. «О внесении изменений в отдельные законодательные акты Российской Федерации» внесены изменения в ч.1 ст. 290 Уголовного кодекса Российской Федерации получение взятки , а также в ч.1 и ч.2 ст. 291 Уголовного кодекса Российской Федерации дача взятки .

Подготовка кадров для муниципальной службы может осуществляться на основании договоров о целевом обучении Соответствующие положения введены Федеральным законом от 30.03. N 63-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием механизма подготовки кадров для муниципальной службы .

Утверждены новые базовые тарифы по ОСАГО Соответствующие изменения внесены в Указание Банка России от 19 сентября года N 3384-У О предельных размерах базовых ставок страховых тарифов и коэффициентах страховых тарифов, требованиях к структуре страховых тарифов, а также порядке их применения страховщиками при определении страховой премии по обязательному страхованию гражданской ответственности владельцев транспортных средств .

В Мегионе вынесен приговор членам организованной преступной группы, продававшим наркотики через сеть Интернет Приговором Мегионского городского суда 4 жителей города признаны виновными в приготовлении к сбыту наркотических средств на территории города, а также легализации денежных средств, приобретенных преступным путем.

По инициативе прокуратуры лицо, страдающее психическим расстройством, лишено права управления транспортными средствами Прокуратура города Мегиона провела проверку исполнения федерального законодательства о безопасности дорожного движения.

В прокуратуре города открыта «горячая линия» по вопросам нарушения прав ветеранов, инвалидов и участников ВОВ В целях активизации защиты прав ветеранов и инвалидов Великой Отечественной войны прокуратурой города организована работа «горячей линии» по вопросам обеспечения прав ветеранов, инвалидов, участников Великой Отечественной войны.

Прокурор города Мегиона через суд взыскал неустойку за неисполнение алиментных обязательств Прокуратура города Мегиона проверила соблюдение семейного законодательства в части своевременности перечисления гражданами алиментов на содержание своих несовершеннолетних детей.

С 1 июля года вводится уголовная ответственность за повторное управление транспортным средством лицом в состоянии опьянения С 1 июля года вступит в силу Федеральный закон от 31.12. № 528-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросу усиления ответственности за совершение правонарушений в сфере безопасности дорожного движения», которым усилена ответственность за управление транспортным средством лицом в состоянии опьянения.

Изменения в законодательстве об основных гарантиях избирательных прав Федеральным законом от 03 февраля года № 8-ФЗ «О внесении изменений в статьи 32 и 33 Федерального закона «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» и Федеральный закон «Об общих принципах организации местного самоуправления в Российской Федерации» уточнены положения законодательства об основных гарантиях избирательных прав и об общих принципах организации местного самоуправления.

Источники: www.rosint.net, ispdn.ru, obrazec.org, www.kontur-normativ.ru, admmegion.ru