Pravo-76.ru

Юридический журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Положение о порядке хранения и защиты персональных данных пользователей

Хранение персональных данных в организации

Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.

Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:

  • за игнорирование правил в отношении ПДн сотрудников и заказчиков положены внушительные штрафы;
  • при многократных нарушениях возникает вероятность потери клиентов и партнеров, а также несения не только административной, но и уголовной ответственностей;
  • не будет возникать трудностей при прохождении проверок контролирующими структурами;
  • удастся приобрести репутацию надежного партнера и работодателя;
  • грамотно организованные обработка, хранение и использование персональных данных позволяют сократить время и трудозатраты отдела кадров, то есть можно будет не держать большой штат специалистов;
  • снизится вероятность получения вызовов с суд по делам о неправомерном получении либо применении конфиденциальной информации граждан;
  • не будет накапливаться ненужная документация;
  • процесс поиска нужной информации о сотрудниках будет требовать минимальных усилий.

Что относится к персональным данным сотрудников

Термин «персональные данные» раскрыт в ТК РФ и Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

Персональные данные — это:

  • информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ч. 1 ст. 85 ТК РФ);
  • любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другие сведения (ст. 3 Закона № 152-ФЗ).

Узнать персональную информацию можно только от самого сотрудника. Если персональные сведения по какой-либо причине нужно запросить у третьих лиц, то нужно получить согласие сотрудника в письменном виде. Получая согласие, нужно известить сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):

  • о целях получения информации;
  • источниках данных;
  • характере сведений;
  • способах получения;
  • последствиях отказа от дачи согласия на их получение.

Получив в свое распоряжение персональные сведения работников, их нельзя распространять и раскрывать третьим лицам без согласия самого сотрудника (ст. 7 Закона № 152-ФЗ).

Правила хранения, обработки, использования и защиты персональных сведений работодатель устанавливает самостоятельно. Принятый в компании порядок закрепляется в положении о работе с персональными данными сотрудников 2021. Далее расскажем, как его составить и ввести в действие.

Последствия нарушения закона

Какова политика Роскомнадзора в отношении обработки данных и обеспечении их безопасности? Работодатели организаций могут получать письма от Роскомнадзора, которые предупреждают о возможности при проверке получить серьезные штрафы за нарушение закона № 152-ФЗ от 27.07.2006 “О персональных данных”.

За нарушение закона предусмотрены меры дисциплинарной, материальной, административной и уголовной ответственности. Административная ответственность предусмотрена ст. 13.11 и 13.14 КоАП. Материальная ответственность в виде штрафов составляет:

  • для должностных лиц 500 – 1000 руб.;
  • для организации 5000 – 10 000 руб.;
  • для должностных лиц (в связи с исполнением служебных обязанностей) 4000 – 5000 руб.

о персональных данных клиентов Компании

1. Основные положения

1.1. Под персональными данными (ПДн) следует понимать какую-либо информацию, имеющую прямое отношение к установленному или определяемому с помощью этой информации лицу, включающую ФИО, данные о рождении, семейном положении, социальном статусе, имущественном состоянии, полученном образовательном уровне, профессии, получаемых заработках и прочие сведения.

1.2. Обработка ПДн – это операции с такой информацией по сбору, систематизации, накоплению, хранению, уточнению, внесению изменений, применению, передаче, обезличиванию, удалению, блокированию.

1.3. Конфиденциальность – строгое соблюдение работником, владеющим доступом к ПДн, требований не распространять их без получения разрешения субъекта этой информации или его законных представителей.

1.4. Распространение ПДн – операции по передаче этой информации определенным лицам, предоставлению сведений для ознакомления большому числу лиц (обнародование в средствах массовой информации, на телевидении, другим способом).

1.5. Применение ПДн – операции, выполняемые с использованием этой информации для принятия конкретных решений или с иной целью, в результате чего возникают последствия юридического характера, касающиеся носителей ПДн или иным способом касающиеся прав, свобод граждан.

Читать еще:  Возможно ли использование товарного знака без заключения лицензионного соглашения?

1.6. Блокирование ПДн – временная приостановка сбора, выполнения любых действий с личной информацией клиентов, включая ее передачу.

1.7. Уничтожение ПДн – операции, после выполнения которых нельзя восстановить эти сведения в информсистеме персональной информации или в результате их выполнения происходит уничтожение физических носителей ПДн.

1.8. Обезличивание ПДн – операции, после выполнения которых необходимо использовать дополнительную информацию для установления принадлежности личных сведений конкретному гражданину.

1.9. Общедоступные ПДн – сведения личного характера, которые доступны неограниченному количеству людей, и для ознакомления с этой информацией получено разрешение их владельца, или получение такого согласия не требуется на основании норм федерального законодательства.

1.10. Клиент – физлицо, являющееся субъектом ПДн, потребитель услуг компании.

1.11. Оператор – госорган, орган муниципального значения, ЮЛ, ФЛ, занимающиеся самостоятельной или совместной обработкой личных сведений клиентов, устанавливающие цели, для которых они обрабатываются, действия, совершаемые с ПДн. Компания считается Оператором в соответствии с этим документом.

2. Общая информация

2.1. Положение создано с учетом требований Конституции РФ, ГК РФ, федерального законодательства.

2.2. Целями обрабатывания ПДн являются:

установление процедуры обработки личных сведений каждого Клиента Компании, чьи данные необходимо обрабатывать;

защита прав, свобод человека во время выполнения операций с его ПДн, определение ответственности работников Компании, владеющих доступом к ПДн, в случае невыполнения ими законодательства по обработке и защите ПДн.

2.3. Введение в действие этого документа

2.3.1. Нормы этого Положения начинают действовать с даты его утверждения Директором компании на бессрочный период. Все изменения, вносимые в этот документ, утверждаются приказом Владельца Компании.

3. Персональные данные

3.1. ПДн состоят из:

  • ФИО Клиента;
  • полной даты рождения;
  • электронной почты;
  • телефонного номера.

3.2. Компания наделена правом создания, сбора, хранения таких данных, также и на электронных носителях, в которых содержатся сведения о Клиенте, касающиеся:

  • анкетной информации о Клиенте;
  • регистрационной заявки от физлица;
  • договора;
  • документов Клиента, подтверждающих его личность (в копиях), прочей документации, предоставляемой Клиентом, в которых указаны его ПДн;
  • сведений об уплате предоставленных товаров, услуг с реквизитами, принадлежащими Клиенту;
  • адресной информации для доставки заказа в соответствии с договором;
  • переписки в электронном виде, записи ведения переговоров по телефону.

4. Цели по обработке ПДн

4.1. Цель выполнения всех действий с ПДн – реализация определенных задач, включая:

  • консультацию, информационную поддержку, предоставление услуг посредничества;
  • прочие сделки, выполняемые в законном порядке, комплексные операции с ПДн, которые необходимо выполнять для реализации указанных в договоре сделок;
  • выполнение законодательных требований.

4.2. Прекращение процедуры обработки ПДн должно состояться в случае ликвидации Компании или по заявлению Клиента.

5. Сбор, процессы обработки, защиты ПДн

5.1. Любые операции с ПДн Клиента нужно выполнять при наличии его письменного разрешения, кроме законодательно оговоренных случаев.

5.2. Клиент предоставляет свое согласие на использование личных сведений для хранения в Компании на бумажном носителе или в электронном виде.

5.3. Разрешение Клиента на использование его ПДн должно действовать на протяжении всего срока договорных отношений. После окончания этого срока они уничтожаются, если иное не оговорено в договоре.

5.4. Если ПДн Клиента можно получить исключительно через третью сторону, Компания заранее уведомляет его об этом. Клиент должен предоставить свое письменное разрешение. Третьи лица должны иметь согласие Клиента на передачу его ПДн Компании.

5.5. Компания сообщает Клиенту о преследуемых целях, возможных источниках получения его ПДн, характере сведений и последствиях отказа Клиента предоставить свое письменное согласие на их предоставление.

5.6. ПДн Клиента обрабатываются без получения его согласия в следующих случаях:

  • если они являются общедоступными;
  • если это предусмотрено федеральными законами;
  • для подписания, выполнения договорных обязательств между Клиентом и Компанией;
  • для формирования статистики, если соблюдается условие обезличивания ПДН;
  • в прочих случаях, предусмотренных законодательством.

5.7. Компания не обрабатывает сведения о Клиенте, касающиеся его расовой принадлежности, сексуальной ориентации, политических взглядов, религии, философских убеждений, здоровья.

5.8. Обработка ПДн начинается с получения достоверных ПДн Клиента. Доступ к этим сведениям имеют только работники Компании, которым предоставлено такое право после подписания Соглашения о неразглашении ПДн Клиента.

5.9. Доступ к ПДн Клиента в Компании имеют:

  • Директор Компании;
  • сотрудники, выполняющие бухгалтерские операции;
  • сотрудники отдела по работе с Клиентами;
  • сотрудники подразделения поддержки Партнеров;
  • сотрудники маркетингового отдела;
  • служба персонала;
  • юридический отдел;
  • сотрудники информационного подразделения (IT);
  • Клиент – субъект ПДн.
Читать еще:  Инструкция составляем приказ о назначении ответственного за БДД

5.10. Обеспечение защиты ПДн осуществляется Компанией за ее счет в соответствии с требованием законодательства.

5.11. Компания во время защиты ПДн Клиента выполняет все меры технического, организационного, распорядительного, юридического характера, включая:

  • шифрование с помощью криптографических средств;
  • использование антивирусных программ;
  • проведение анализа защищенности;
  • выявление фактов вторжения, профилактические меры для предупреждения таких случаев;
  • управление доступом;
  • действия по регистрации и учету;
  • обеспечение целостности сведений;
  • издание нормативных актов локального характера по регулированию защиты ПДн.

5.12. Общая защита ПДн Клиентов возложена на Директора Компании.

5.13. Доступ к ПДн Клиента могут получать только работники Компании, использующие эти сведения для выполнения трудовых обязанностей.

5.14. Сотрудники Компании, использующие личные сведения Клиентов, подписывают Соглашение о неразглашении их ПДн.

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. ПДн Клиента блокируются, разблокируются на основании письменного заявления Клиента.

6.2. Обезличивание, уничтожение выполняются по заявлению Клиента, предоставленному в письменном виде, в случае полного предоставления услуг в пределах договора. Уничтожение ПДн является необратимой операцией и возможно по истечении 1 года после выполнения договорных обязательств.

7. Передача и хранение персональных данных

7.1. Передача и хранение ПДн Клиента осуществляются с соблюдением требований:

  • запрет на сообщение ПДн Клиента в коммерческих целях;
  • запрет на передачу ПДн при отсутствии письменно выданного Клиентом согласия, кроме разрешенных законом случаев;
  • предупреждение получателей ПДн Клиента о неразглашении ими этих сведений и использовании для целей их получения. Компания должна требовать от получателей подтверждения соблюдения данного правила;
  • доступ к ПДн должен предоставляться только лицам, уполномоченным на получение, и исключительно для реализации конкретных функций.

8. Права Оператора ПДн

8.1. Оператор имеет право:

  • на отстаивание в суде своих интересов;
  • на передачу данных Клиента третьей стороне в установленных законом случаях или с его согласия;
  • на отказ в предоставлении ПДн в предусмотренных законом случаях;
  • на применение ПДн Клиента без получения его разрешения в предусмотренных законом случаях.

9. Права Клиента

9.1. Клиенту предоставляются следующие права:

  • требовать уточнить его личные сведения, заблокировать, уничтожить, если ПДн не являются полными, достоверными, полученными законным путем, не нужны для заявленных целей их обработки;
  • получать список ПДн, обрабатываемых Компанией, перечень источников, через которые Компания эти данные получает;
  • иметь доступ к сведениям о сроках обработки ПДн, включая срок их хранения;
  • требовать уведомить всех лиц, получивших неполные, недостоверные ПДн Клиента, о внесенных в них изменениях, дополнениях, уточнениях;
  • обжаловать в уполномоченном органе, защищающем права Клиента, в суде действия Компании, которые Клиент считает неправомерными, а также бездействия Компании, связанные с обработкой его ПДн.

10. Ответственность

10.1. За нарушение норм, которые регулируют вопросы обработки, защиты персональных данных Клиента, несут ответственность работники Компании, признанные виновными в нарушениях в этой сфере по действующему законодательству РФ и по требованиям локальных документов Компании.

Попытка №2

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Порядок утверждения положения

Процедура составления и ввода в действие данного внутреннего акта не зависит от процедуры любого другого локального документа.

Если в организации сформирован орган профсоюза, то вводить документ в действие можно только после согласования с этим органом. Проект документа передается туда, где в течение 5 дней должно пройти его рассмотрение. По завершении этого срока профсоюз должен в письменном виде высказать мнение о нем.

Орган может высказать отрицательное мнение, т. е. не согласиться с нормами документа. Тогда вместе с мнением предоставляются рекомендации по его изменению.

Администрация фирмы может принять предлагаемые изменения либо в срок трех дней инициировать дополнительные переговоры.

Если в компании нет профсоюза, но сформирован иной орган, который представляет интересы работников, то проводить согласование необходимо с ним.

Читать еще:  Если есть расхождения в акте сверки как написать

Когда профсоюз вообще не сформирован, администрация вводит документ в действие самостоятельно при помощи подготовки приказа.

В этом распоряжении устанавливается дата, с которой положение начинает действовать, определяются ответственные лица по контролю за соблюдением документа, производится отмена старого положения (если новое создается взамен старого).

Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации в БДОУ г. Омска «Центр развития ребенка – детский сад № 345»

к приказу № 61 от 03.09.2018

БДОУ г. Омска «Центр развития

ребенка – детский сад № 345»

ПОЛОЖЕНИЕ

о парольной защите при обработке персональных данных и иной конфиденциальной информации в

БДОУ г. Омска «Центр развития ребенка — детский сад № 345»

  1. Общие положения

Данное Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в информационных системах (ИС) организации, а также контроль за действиями Пользователей и обслуживающего персонала при работе с паролями в БДОУ г. Омска «Центр развития ребенка — детский сад № 345» (далее – ОУ).

Парольная защита требует соблюдения ряда правил, изложенных в настоящем Положении. Цель Положение определяет требования ОУ к парольной защите информационных систем. Область действия Положение распространяется на всех пользователей и информационные системы (далее – ИС) ОУ, использующих парольную защиту.

  1. Термины и определения

ИС – в данном случае любая информационная система, для работы с которой необходима аутентификация пользователя.

Пароль – секретный набор символов, используемый для аутентификации пользователя.

Пользователи – администраторы ИС и работники Общества или сторонней организации, которым предоставлен доступ к ИС Общества, а также корпоративный доступ к ресурсам сети Интернет.

Учетная запись – идентификатор пользователя, используемый для доступа к ИС.

III. Положения о паролях

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИС самостоятельно с учетом следующих требований:

  • длина пароля должна быть не менее 6-8 символов;
  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры;
  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
  • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
  • личный пароль Пользователь не имеет права сообщать никому. Владельцы паролей должны быть ознакомлены под подпись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

При наличии технологической необходимости (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п.) использования имен и паролей некоторых сотрудников (Пользователей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей сообщать руководителю их новые значения.

Внеплановая смена личного пароля или удаление учетной записи Пользователя ИС в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться сотрудниками, отвечающими за работу ИС немедленно после окончания последнего сеанса работы данного Пользователя с системой.

Внеплановая полная смена паролей всех Пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИС.

Хранение Пользователем своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя в опечатанном конверте.

Повседневный контроль за действиями Пользователей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования, возлагается на сотрудников БДОУ г. Омска «Центр развития ребенка — детский сад № 345», на которых возложена эта ответственность руководителем.

  1. Роли и ответственность

-Исполняют требования положения и несут ответственность за ее нарушение.

-Информируют администратора парольной защиты обо всех ставших им известных случаях нарушения настоящего положения.

Администратор парольной защиты:

-Принимает обращения пользователей по вопросам парольной защиты (например, блокировка четных записей, нарушение положения и др.).

-Организует консультации пользователей по вопросам использования парольной защиты.

-Контролирует действия Пользователей при работе с паролями, соблюдением порядка их смены, хранения и использования.

-Отвечает за безопасное хранение паролей встроенных административных учетных записей.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector