Защита персональных данных с 01.01.2011

[Аноним]

Всем доброго вечера!

На днях задумалась, что изменится с 1 января в отношении персональных данных сотрудников. У нас есть Положение о пордке обработки и защиты персональных данных, есть перечень допущенных лиц, расписка отв. лица за обработку перс. данных.

У кого есть какая-нибудь информация по этому поводу. Какие документы еще необходимы? Учет у нас автоматизирован, однако, нет возможности переплачивать сторонним фирмам за "защиту" всех данных.

Спасибо за отзывы!

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙ
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

[Аноним]

у меня такой же вопрос, что делать с этими пер. данными, прочла Приказ 58 , так там еще класс определять надо, говрят штраф 5000 т.р за не выполнение требований!

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙ
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

[fvd52]

Интересно, что делать тем ИП, у которых всего 1-2 наемных работника, бутики в аренде площадью 10-15 кв. м, нет бухгалтера и отдела кадров? А таких по стране ох как много!

[Kassir]

fvd52, выполнять Закон

[ks-77]

Люди,вы бы хоть внимательно прочли этот закон,особенно статью:"Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."
Мы бешенно начали собирать пакет документов-а потом внимательно стали разбирать каждое слово в законе-и...перестали.

[mln]

А мы и не начинали ….. кроме нескольких «ягодок»….возраст...

[MAriZA]

а можно для тупых? в итоге то что делать?

[НатальяС]

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."

В свидетельствах о рождении детей (для стандартных вычетов) есть данные о национальности детей и второго родителя, доверенности, выданные на работников покупателей, - здесь субъекты не являются сторонами договора и федеральный закон не устанавливает порядок получения этих данных.

[santa06]

а можно для тупых? в итоге то что делать?

во-во, присоединяюсь

Будьте добры ежели кто сталкивался с этой темой или знает конкретно, что сейчас надо делать
отпишитесь

[МиссВатсон]

Работаем с перс данными клиентов , подали уведомление в роскомнадзор , так сказать "вышли из тени" )) Зарегистрировались в реестре операторов персданных, спецы роскома говорят от нас больше ничего не потребуется никаких отчетов, проверок и т.п. Остальное по минимуму: Положение об обработке перс данных в нашей организации, назначение ответственных лиц за обработку и (или) хранение. Письменное согласие с каждого работника на обработку его перс данных. С клиентов так же письм.согласие. П.С. Всем удачи !!!

[Машунда]

Обнаружила нашу компанию в плане проверок Роскомнадзора на 2012 год. Есть уже компании, проходившие такие проверки? Поделитесь опытом. Чего ждать, как они это проводят, на что больше обращают внимание?

[YUM]

Попытка гальванизировать труп - Постановление ФСТЭК № 21 от 18.02.2013
Вступило в силу с 02.06.2013 г

[ZZZhanna]

Попытка гальванизировать труп - Постановление ФСТЭК № 21 от 18.02.2013
Вступило в силу с 02.06.2013 г

Видимо, я очень серый, малограмотный и необразованный человек, но я вообще не понимаю, об чем там речь, что надо или не надо делать, как это все обеспечивать и вообще что означает весь этот набор малопонятных слов.
За исключением одной фразы

могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.