Беседка ver. 2.0 (18+)

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Беседка ver. 2.0 (18+) » Работа и "быстро спрошу" » Защита персональных данных


Защита персональных данных

Сообщений 1 страница 20 из 44

1

Добрый день, коллеги.
При трудоустройстве предприятие, естественно, берет от сотрудников/работников согласие на обработку персональных данных.
Возник вопрос,так как это для нас немного в новинку, нужно ли предприятию уведомлять Федеральную службу по надзору в сфере связи, информационных технологий....(Роскомнадзор) об обработке персональных данных, а так же разрабатывать комплект документов по информационной безопасности?
Нюанс, у предприятия есть еще и подрядчики.
Можно отделаться наличием Положения о персональных данных с ознакомлением с ним (Положением) всех работников и Приказом об ответственных лицах?

Отредактировано ОксанаЯлта (2018-02-01 14:44:03)

0

2

Уведомление Роскомнадзора

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
сделанных сотрудниками общедоступными;

полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
относящихся к членам (участникам) общественного объединения или религиозной организации;
включающих в себя только фамилии, имена и отчества сотрудников;
необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Форма уведомления о намерении осуществлять обработку персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. № 94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных (ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ). Форма заявления о прекращении обработки данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. № 94.

«Как организовать обработку персональных данных сотрудников». Н.З. Ковязина
© Материал из КСС «Система Кадры» – первого онлайн-портала готовых решений для вашей службы персонала.
Подробнее: --

0

3

Уважаемый Александр Г. Маякните, если Систему Кадры использовать тоже не айс.

На семинарах наш роскомнадзорщик это же самое только немного другими фразами говорил. из моей тетрадочки перепечатывать оч. уж долго.

Отредактировано OK-koalla (2018-02-01 15:05:28)

0

4

Сейчас уже одним Положением не обойтись. Требуется еще и ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, которая обязательно должна быть размещена на сайте организации.

0

5

OK-koalla написал(а):

Уведомление Роскомнадзора

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
сделанных сотрудниками общедоступными;

полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
относящихся к членам (участникам) общественного объединения или религиозной организации;
включающих в себя только фамилии, имена и отчества сотрудников;
необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Форма уведомления о намерении осуществлять обработку персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. № 94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных (ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ). Форма заявления о прекращении обработки данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. № 94.

«Как организовать обработку персональных данных сотрудников». Н.З. Ковязина
© Материал из КСС «Система Кадры» – первого онлайн-портала готовых решений для вашей службы персонала.
Подробнее: --

то есть уведомление не нужно?
у меня уже мозг распух от объема информации

Отредактировано ОксанаЯлта (2018-02-01 15:22:51)

0

6

OK-koalla написал(а):

обязательно должна быть размещена на сайте организации

нет такого сайта), но все составлю

Отредактировано ОксанаЯлта (2018-02-01 15:20:56)

0

7

Щас скину список того, что будут проверять. Также на семинаре списочек этот раздали. Половина из него для меня китайским языком написана.

0

8

OK-koalla написал(а):

Щас скину список того, что будут проверять. Также на семинаре списочек этот раздали. Половина из него для меня китайским языком написана.

Спасибо большое, жду

0

9

OK-koalla написал(а):

Уважаемый Александр Г. Маякните, если Систему Кадры использовать тоже не айс.

Разрешаю. Подпись, число.

+1

10

Меня сейчас конечно куча народа поправит, я надеюсь. Мне до Мазухиной как до Китая задним ходом.
В двух словах если, то если ИНН у работника не берете при приеме на работу, и вообще вот написан в ТК перечень документов при приеме на работу, его запрашиваете только, то сведения подавать не нужно.

0

11

АлександрГ. написал(а):

Разрешаю. Подпись, число.

Спасибо!

0

12

1. Учредительные документы оператора;
2. Положение о порядке обработки персональных данных;
3. Положение о подразделении, осуществляющем функции по организации защиты персональных данных;
4. Должностные регламенты лиц. имеющих доступ и (или) осуществляющих обработку персональных данных;
5. План мероприятий по защите персональных данных;
6. План внутренних проверок состояния защиты персональных данных;
7. Приказ о назначении ответственных лиц по работе с персональными данными;
8. Типовые формы документов, предполагающие или допускающие содержание персональных данных;
9. Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор или в иных аналогичных целях;
10. Договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
11. Выписки из ЕГРЮЛ. содержащие актуальные данные на момент проведения проверки;
12. Приказы об утверждении мест хранения материальных носителей персональных данных:
13. Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма):
14. Распечатки электронных шаблонов полей, содержащие персональные данные;
15. Журналы (книги) учета обращений граждан (субъектов персональных данных);
16. Акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
17. Приказ о назначении ответственного за организацию обработки персональных данных;
18. Правила рассмотрения запросов субъектов персональных данных или их представителей;
19. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
20. Перечень информационных систем персональных данных;
21. Перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций:
22. Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
23. Должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
24. Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
25. Типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные:
26. Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;
Указанные документы представляются в виде копий, заверенных печатью (при наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

0

13

OK-koalla написал(а):

Спасибо!

Не булькает.

0

14

Где побулькаем? В Бутово?

0

15

OK-koalla написал(а):

Указанные документы представляются в виде копий, заверенных печатью (при наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

Это же список для Роскомнадзора я так понимаю?
Или этот список выполнять даже тем, кто не направляет Уведомление

Отредактировано ОксанаЯлта (2018-02-01 15:43:06)

0

16

А фиг знает как вас там ваш Роскомнадзор проверять будет?

+1

17

OK-koalla написал(а):

А фиг знает как вас там ваш Роскомнадзор проверять будет?

пипец :confused:  %-)

+1

18

ОксанаЯлта написал(а):

то есть уведомление не нужно?
у меня уже мозг распух от объема информации

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в надзорный орган:
- если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
- когда обработке подвергаются данные общедоступного характера;
- если обрабатываются только фамилия, имя, отчество;
- когда они используются один раз, например, для выписки пропуска;
- если для обработки не применяется компьютерная техника.

+3

19

OK-koalla написал(а):

Учредительные документы оператора;
2. Положение о порядке обработки персональных данных;
3. Положение о подразделении, осуществляющем функции по организации защиты персональных данных;
4. Должностные регламенты лиц. имеющих доступ и (или) осуществляющих обработку персональных данных;
5. План мероприятий по защите персональных данных;
6. План внутренних проверок состояния защиты персональных данных;
7. Приказ о назначении ответственных лиц по работе с персональными данными;
8. Типовые формы документов, предполагающие или допускающие содержание персональных данных;
9. Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор или в иных аналогичных целях;
10. Договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
11. Выписки из ЕГРЮЛ. содержащие актуальные данные на момент проведения проверки;
12. Приказы об утверждении мест хранения материальных носителей персональных данных:
13. Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма):
14. Распечатки электронных шаблонов полей, содержащие персональные данные;
15. Журналы (книги) учета обращений граждан (субъектов персональных данных);
16. Акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
17. Приказ о назначении ответственного за организацию обработки персональных данных;
18. Правила рассмотрения запросов субъектов персональных данных или их представителей;
19. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
20. Перечень информационных систем персональных данных;
21. Перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций:
22. Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
23. Должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
24. Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
25. Типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные:
26. Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

а вот список, который я выгружаю нашим клиентам:
1. Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
2. Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
3. План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
4. Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
5. Форма Обязательства о неразглашении персональных данных.
6. Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
7. Перечень обрабатываемых персональных данных.
8. Форма Согласия на обработку персональных данных.
9. Форма Согласия на обработку персональных данных для сайта.
10. Перечень информационных систем персональных данных.
11. Перечень применяемых средств защиты информации.
12. Перечень помещений, в которых ведется обработка персональных данных.
13. Технический паспорт информационных систем персональных данных.
14. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
15. Инструкция администратора информационной безопасности.
16. Инструкция менеджера обработки персональных данных.
17. Положение по обработке персональных данных.
18. Политика компании в отношении обработки персональных данных.
19. Положение об обеспечении безопасности персональных данных.
20. Уведомление об обработке персональных данных.
21. Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
22. Инструкция пользователя информационных систем персональных данных.
23. Регламент по учёту, хранению и уничтожению носителей персональных данных.
24. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
25. Регламент по реагированию на запросы субъектов персональных данных.
26. Регламент по взаимодействию с органами государственной власти в области персональных данных.
27. Регламент по резервному копированию персональных данных.
28. Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.

в принципе они похожи.
помню впервые лет 6 назад составляла этот приказ о присвоении класса защищенности ПДн и схемы защиты.
глаз начинает дергаться когда просят повторит сей подвиг

+1

20

Any написал(а):

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в надзорный орган:
- если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
- когда обработке подвергаются данные общедоступного характера;
- если обрабатываются только фамилия, имя, отчество;
- когда они используются один раз, например, для выписки пропуска;
- если для обработки не применяется компьютерная техника.

Так вроде что-то вырисовывается, спасибо.
Вро де как и не нужно направлять уведомление.
Сделала запрос в Роскомнадзор, а попутно буду все-таки готовить документы по списку без фанатизма(

0


Вы здесь » Беседка ver. 2.0 (18+) » Работа и "быстро спрошу" » Защита персональных данных