О защите персон.данных

[ks-77]

Ув.клерки,в свете вступления в силу ФЗ-152"О персональных данных" встал вопрос,как необходимо защищать персон.данные своих сотрудников.Есть ли какое положение ,где прописано,что нужно предпринимать,иметь для защиты ПД.Я истерически начала искать любую информацию-и воощем,как всегда каша.Наша организация небольшая,нужно иметь какое-то спец.помещение,комп-с паролем(доступом конкр специалиста) к ПД,заявления от сотрудников,положение по организации о защите ПД,приказы ...Подскажите пож, каким образом Вы защитили свои ПД на предприятии.Буду признательна за ответ.

[МариАнт]

Здесь обсуждали данную тему: Защита персональных данных для налогового представителя

[НатальяС]

Вообще, много неясного.
Положение о персональных данных должно быть, согласно ТК.
В законе сказано, статья 6 часть2 пункт 2) - согласия не требуется, если обработка в целях исполнения договора или пункт 1) на основании федерального закона. С работниками трудовые договора, значит, согласия не надо? Тоже самое, по уведомлению уполномоченного органа? А если данные в ПФ отправляем через уполномоченного представителя?
Заносим некоторых покупателей в программу УТ (отсрочка платежа или продажа по заказам), ФИО, адрес, телефон. Данные никому не передаем. Это подпадает под исполнение договора? А почему тогда газовая служба и энергосбыт теперь требуют согласия потребителей? Ведь тоже - исполнение договора.

[stas®]

А почему тогда газовая служба и энергосбыт теперь требуют согласия потребителей?

Больше по неграмотности, отчасти — из-за низкого качества закона.

[НатальяС]

Еще вопрос. Положение об особенностях обработки ПД, осуществляемой без использования средств автоматизации, говорит о том, что без автоматизации, если использование, уточнение, распространение, уничтожение ПД осуществляются при участии человека. Почему они вписали только эти действия, а не добавили другие действия с ПД. Получается, систематизация и хранение ПД в 1С - с использованием средств автоматизации? Или не так?

[stas®]

да. Вроде бы 1С сделала универсальные решения для персональных данных, посмотрите у них на сайте.

[ks-77]

Вообще, много неясного.
Положение о персональных данных должно быть, согласно ТК.
В законе сказано, статья 6 часть2 пункт 2) - согласия не требуется, если обработка в целях исполнения договора или пункт 1) на основании федерального закона. С работниками трудовые договора, значит, согласия не надо? .

Во,я тоже это нашла в ФЗ.
А может,для начала нужно определиться к какому классу информац.системы относится организация,потом уж и согласно Приказу от 5 февраля 2010г №58-и защищаться.И при чем,если фирма маленькая,один бух(,и кадровик в одном лице) и находиться в одном помещении с остальными сотрудниками-че снимать отдельн помещение,вешать решетки,замки с кодами-и не спать ночами,чтоб не взломали кадровые/зп дела.И еще,а что делать с делами,кот 75 лет сохраняются,как охранять(они же сейфе,и ключ на шею повесить и не спать...)ИМХО,такое:
1.Утвердить Положение о защите ПД работников в организации
2Собрать письменные согласия на обработку ПД
3.Проверить наличие антивирус.программы на компе доступа к ПД(бухгалтера),установить пароль(проверить наличие)
4.Все лица,связ с получением,обработ.,и защитой ПД,обязаны подписать обязательство о неразглашении перс данных работников.
5Ознакомить с документами подрасписку,устанавливающие порядок обработки ПД.а также о правах и обязаннос.
Что еще.Или хватит

[ks-77]

Сама нашла :
Локальные организационно-распорядительные документы организаций и предприятий, регламентирующие обработку ПДн в организации
1. Приказ о порядке обработки, обеспечении безопасности и конфиденциальности персональных данных
2. Приказ о назначении лиц, ответственных за организацию мер по защите персональных данных
3. Положение об организации работы с персональными данными в организации (разрабатывается с учетом принципов, изложенных в Федеральном Законе РФ № 152-ФЗ «О персональных данных» (ФЗ 152)
4. План-график мероприятий, направленных на приведение информационных систем персональных данных в соответствие с требованиями законодательства в области защиты персональных данных
5. Приказ о создании комиссии по классификации информационных систем персональных данных
6. Акт классификации информационной системы персональных данных
7. Перечень ИСПДН ( Сведения об информационных системах персональных данных, установленных в организации)
8. Форма Уведомления об обработке персональных данных (направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие, в случаях, установленных ФЗ 152).
9. Регламент реагирования на запрос субъекта
10. Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных
11. Регламент разбирательства инцидентов информационной безопасности в организации
12. Положение о службе информационной безопасности организации
13. Должностная инструкция администратора информационной безопасности (руководителя службы ИБ)
14. Регламент присвоения прав доступа к автоматизированной информационной системе.
15. Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы персональных данных
16. Заявка на предоставление пользователю прав доступа к ресурсу ИСПДн
17. Приказ об утверждении мест хранения материальных носителей персональных данных
18. Журнал учета материальных носителей персональных данных
19. Положение о порядке уничтожения персональных данных, обрабатываемых в организации
20. Акт уничтожения персональных данных субъекта(ов) персональных данных
21. Журнал учета машинных носителей информации
22. Положение об обеспечении пропускного режима и охране о здания
23. Положение об архиве организации
24. Типовой раздел по конфиденциальности ПДн в гражданско-правовом договоре
25. Типовой раздел по конфиденциальности ПДн в трудовом договоре
26. Дополнения в должностные инструкции работников, имеющих отношение к обработке ПДн.


Документы на стадии внедрения СЗПДн
(не высылаются, создаются инсталлятором на стадии внедрения СЗПДн)
Инструкция по организации антивирусной защиты.
Инструкция по организации парольной защиты.
Технический паспорт на каждую ИСПДн. Включает в себя перечень основных и вспомогательных технических средств (ОТСС, ВТСС), структуру, топологию и размещение ОТСС, схему электропитания и заземления, перечень СЗИ, перечень программных средств, сведения об аттестации, результаты периодического контроля.
Частная модель угроз на каждую ИСПДн.
Сертификаты на используемые технические и программные средства защиты.
Техническое задание на внедрение СЗ ИСПДн.
Акт приемки-сдачи системы защиты (СЗ) ИСПДн. Подписывается лицензиатом ФСТЭК (организацией, осуществлявшей работы по внедрению СЗ ИСПДн) и оператором.
Заключение о готовности СЗИ к эксплуатации, акт ввода в эксплуатацию СЗ ИСПДн.
Документ, подтверждающий проведение в установленном порядке процедуры оценки соответствия средств защиты ИСПДн (аттестация, декларирование, сертификация).
Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
Журнал учета носителей информации.
Просто голова кругом!!!!

[НатальяС]

Спасибо.

[Закамский]

скажите, неужели даже малые предприятия (до 10 человек) и занимающие чисто предоставлением аренды нежилых помещений должны сорать перечень документов (26 пунктов)?...
Клерки скажите,кто как же сделал?

[НатальяС]

Мы надеемся, что опять перенесут срок действия этого закона.

[ks-77]

скажите, неужели даже малые предприятия (до 10 человек) ?

Эти малые организации-ведь тоже обрабатывают ПД(для начисл. з/п,передачи ПД в различ фонды,да просто хранят их в личных делах).
А по поводу переноса вступл в силу закона-врядли, за нарушения-предусматривается ответственность вплоть до уголовной.
Мы тоже организация до 10 чел,следовательно относимся к 3 классу ИСПД(информ система персон.данных),и стали оформлять из вышеперечисленного списка доков-только то, что считаем необходимым.

[О.Д.П-к]

Приказ об ответственности за соблюдение ПД должны подписать ВСЕ работники, включаяя уборщиц, грузчиков и проч.
Нам так на семинаре сказали...

Ну что, собрала подписи...

[ks-77]

Приказ об ответственности за соблюдение ПД должны подписать ВСЕ работники, включаяя уборщиц, грузчиков и проч.
Нам так на семинаре сказали......

Ну и глупость сказали,в Приказе ФСТЭКа указывается,что ответственность несут только те сотрудники,кот.непосредственно связаны со сбором,хранением,обработкой ПД.И еще подписывают обязательство о неразглашении ПД.Грузкикам и уборщикам-Ваши ПД,и данные др.сотрудников -вообще до лампочки,если только не взломают пароли и возьмут копии чьего-нибудь паспорта для получения по нему кредитов