Migration48.ru

Вопросы Миграции
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Комплексная защита персональных данных в Туле

Комплексная защита персональных данных в Туле

Нарушение законодательства Российской Федерации в области персональных данных

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора?

На сегодняшний день деятельность каждой компании связана с хранением и обработкой данных не только сотрудников и партнеров, но и клиентов. Утеря, столь ценных данных может нанести весомый ущерб вашему бизнесу:

  • потеря дохода
  • упущенная выгода
  • потеря клиентов
  • штрафы за несоблюдение закона 152-ФЗ «О персональных данных»

Вследствие участившихся кибератак на сервера компаний, вопрос о защите персональных данных клиентов и сотрудников выходит на первый план. Киберпреступники находят все более изощренные схемы взлома, и защищать информационные системы становится все сложнее. Поэтому во избежание потери конфиденциальной информации, стоит доверить профессионалам защиту персональных данных.

Когда вы начинаете разрабатывать план безопасности, то стоит начать именно с информационной безопасности, потому что это основа безопасности данных вашей компании. За последнее время число киберприступлений возросло, по статистике каждый второй малый и средний бизнес понес убытки из-за утечки информации.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора? — Применять организационные меры и технические средства защиты персональных данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Стоит понимать, что предоставление данных может быть добровольным и обязательным. Например, доставка почтовых отправлений, здесь согласие на обработку данных необязательно.

Меры внутренней защиты персональных данных:

  • Ограничение числа работников, которым открыт доступ к персональным данным
  • Назначение ответственного лица, которое обеспечивает исполнение организаций законодательства в своей сфере.
  • Утверждение списка документов, содержащих персональные данные.
  • Разработка собственных, внутренних документов по защите персональных данных.
  • Ознакомление работников с действующими документами о защите данных.
  • Порядок уничтожения информации.
  • Устранение нарушений требований.

Комплексная защита персональных данных

Обеспечение безопасности персональных данных при их обработке в информационной системе — обязательное для соблюдения оператором этой системы требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Система обеспечения безопасности персональных данных включает в себя организационные меры и (или) технические средства защиты персональных данных, определенные с учетом актуальных угроз и информационных технологий, используемых в информационных системах

Защита персональных данных

Почему мы?

Компания «Интелком» предлагает свои услуги по построению систем защиты персональных данных, начиная с этапа предпроектного обследования и заканчивая проведением аттестации. Наши специалисты, с учетом существующей инфраструктуры и пожеланий заказчика, помогут с выбором средств защиты информации, осуществят их установку и настройку, разработают необходимые организационно-распорядительные документы, проведут аттестацию, а также обеспечат сопровождение системы комплексной защиты персональных данных.

Профессионализм
Все сотрудники являются
сертифицированными
специалистами
Качество
Даем гарантию на
выполненные работы
Надежность
Лицензиаты ФСТЭК и ФСБ
Точно в срок
Мы придерживаемся
установленных планов и
сроков

Организационные меры комплексной защиты персональных данных

Организационные меры защиты – это меры организационного характера, регламентирующие процессы функционирования ИСПДн, использование ресурсов ИСПДн, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с ИСПДн таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Технические средства защиты персональных данных

Технические меры защиты основаны на использовании программных и(или) программно-аппаратных средств защиты. Выбор средств защиты информации осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Политика обработки и защиты персональных данных

1.1 Настоящий документ (далее Политика) определяет политику ГБУЗ «ОКВД №3» в отношении обработки персональных данных, определяет цели, порядок их обработки, а также содержит сведения о реализуемых требованиях к защите персональных данных.

1.2 Политика Учреждения разработана на основании: Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119, Приказа ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» и других нормативно-правовых актов в области защиты персональных данных.

1.3 Настоящей Политикой определяется порядок обращения с персональными данными субъектов, которые обращаются в учреждение или присылаются из других медицинский организаций по Челябинской области,и персональными данными работников Учреждения.

1.4 Целью настоящей Политики является защита интересов Учреждения, его пациентов, работников, субъектов персональных данных из других медицинский организаций по Челябинской области, а также выполнения законодательства Российской Федерации в области обеспечения безопасности персональных данных.

2. Правовые основания обработки персональных данных

2.1 Информационная система персональных данных сотрудников ГБУЗ «ОКВД №3»:Федеральный закон от 21.11.1996 №129-ФЗ «О бухгалтерском учете» (с изменениями и дополнениями); Бюджетный кодекс Российской Федерации; Указания о порядке применения бюджетной классификации от 25.12.2008 №145н; от 01.12.2010 № 157н; 16.12.2010 №174; Инструкция по бюджетному учету от 30.12.2008 №148н; от 21.12.2011 № 180н; Инструкция о порядке составления и представления годовой, квартальной и месячной отчетности об исполнении бюджетов бюджетной системы РФ от 13.11.2008 №128н; от 25.03.2011№ 33н.

Читайте так же:
Установление факта принятия наследства: особенности в 2022 году

2.2 Информационная система персональных данных пациентов ГБУЗ «ОКВД №3»: Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан Российского Федерации».

3. Цели обработки персональных данных

3.1 Информационная система персональных данных пациентов ГБУЗ «ОКВД №3» : установление медицинского диагноза, оказание медицинских услуг.

3.2 Информационная система персональных данных сотрудников ГБУЗ «ОКВД №3»: обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества .

3.3 Учреждение прекращает обработку персональных данных в следующих случаях:

— при выявлении неправомерной обработки персональных данных, осуществляемой Учреждением.

— при передаче персональных данных в архив (Хранение документов в архиве организованно согласно федеральному закону №125-ФЗ «Об архивном деле в Российской Федерации»)

— при прекращении деятельности Учреждения.

— при ликвидации информационной системы персональных данных.

— при окончании срока хранения и обработки персональных данных.

4. Категории обрабатываемых персональных данных,источники получения

4.1 В информационной системе персональных данных сотрудников ГБУЗ «ОКВД №3» обрабатываются персональные данные сотрудников, состоящих в трудовых отношениях с учреждением.

4.2 В информационной системе персональных данных пациентов ГБУЗ «ОКВД №3» обрабатываются персональные данные физических лиц (пациентов).

5. Принципы обработки персональных данных

ГБУЗ «ОКВД №3» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных». Обработка персональных данных ГБУЗ «ОКВД №3» осуществляется на основе следующих принципов:

5.1 Обработка персональных данных осуществляется на законной и справедливой основе.

5.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой .

5.4 Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

5.5 Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.

5.6 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных .

5.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Сведения о третьих лицах, участвующих в обработке персональных данных

6.1 В целях соблюдения законодательства РФ, для достижения целей обработки персональных данных ГБУЗ «ОКВД №3» в ходе своей деятельности предоставляет персональные данные, согласно основаниям обработки персональных данных:

— Информационная система персональных данных пациентов ГБУЗ «ОКВД №3»: МИС «БАРС» , Территориальный фонд обязательного медицинского страхования Челябинской области, Министерство здравоохранения Челябинской области .

— Информационная система персональных данных сотрудников ГБУЗ «ОКВД №3»: федеральная налоговая служба, пенсионный фонд Российской Федерации, военный комиссариат, филиалы Учреждения, Сбербанк.

6.2 Передача осуществляется с использованием криптографических средств защиты информации, сертифицированных ФСБ России.

6.3 Передача персональных данных по запросу полиции осуществляется согласно ст. 13, части 1, пункта 4 Федерального закона «О полиции» от 07.02.2011 № 3-ФЗ.

7. Меры по обеспечению безопасности персональных данных при их обработке

7.1 ГБУЗ «ОКВД №3» при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2 Меры по обеспечению защиты, выявлению и предотвращению нарушений в процессе обработки персональных данных:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3)оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) учет машинных носителей персональных данных;

5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

Читайте так же:
Обязанности жены перед мужем

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных ;

9) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

8. Права субъектов персональных данных.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:

8.1 Субъект персональных данных вправе требовать от ГБУЗ «ОКВД №3» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые ГБУЗ «ОКВД №3» способы обработки персональных данных;

4) наименование и место нахождения ГБУЗ «ОКВД №3» , сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ГБУЗ «ОКВД №3» или на основании федерального законодательства;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

8) информацию о трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.

8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами .

8.4 Сведения, указанные в пункте 9.2, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.5 Если субъект персональных данных считает, что ГБУЗ «ОКВД №3» осуществляет обработку его персональных данных с нарушением требований обработки персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ГБУЗ «ОКВД №3» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

9. Контактная информация

9.1 Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Телефон справочно-информационногоцентр а: +7(495)987-68-00.

10. Заключительные положения

10.1 Настоящая политика разработана постоянно действующей экспертной комиссией, утвержденной приказом ГБУЗ «ОКВД №3» от 18.07.2016г. №99/о «О создании постоянно действующей экспертной комиссии» и утверждается главным врачом ГБУЗ «ОКВД №3».

10.2 ГБУЗ «ОКВД №3» имеет право вносить изменения в настоящую Политику.

10.3 При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте ГБУЗ «ОКВД №3», если иное не предусмотрено новой редакцией Политики.

10.4 Настоящая политика обязательна для соблюдения и ознакомления всеми сотрудниками ГБУЗ «ОКВД №3».

Какие меры по защите персональных данных физлиц нужно принимать при обработке этих данных

Для этого вам нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Оглавление:

  1. Какие требования предъявляются к защите персональных данных

Если вы обрабатываете персональные данные (являетесь оператором), то вы должны принять меры для их защиты. Вы сами решаете, какие именно меры и в каком составе будете принимать, кроме случаев, когда закон обязывает вас принять конкретные меры, например назначить ответственное лицо (ч. 1 ст. 22.1 Закона об обработке персональных данных).

Учтите, что эти меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). В противном случае вас могут привлечь к ответственности за нарушение законодательства о персональных данных.

Вы должны принять меры нескольких видов:

  • правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
  • технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.
Читайте так же:
Какую печать нужно ставить в трудовой книжке сотрудника

Специальные требования по защите персональных данных предусмотрены для отдельных категорий операторов. Например, существует специальный Перечень мер для операторов-госорганов. А компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR) (к примеру, если они продают товары гражданам Евросоюза), должны учитывать также требования этого регламента.

  1. Какие действия нужно совершить, чтобы обеспечить защиту персональных данных при их обработке

Чтобы обеспечить защиту персональных данных физлиц при их обработке, вам нужно принять ряд организационных и технических мер.

В основном эти меры совпадают с мерами по защите персональных данных работников, поскольку Закон о персональных данных не проводит различий между персональными данными работников и прочих физлиц.

Конкретный перечень этих мер зависит от того, как вы храните данные — в электронном виде или на бумажном носителе. В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе).

Сложнее организовать защиту электронных данных. Для этого вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности (п. п. 7 — 12 Требований к защите персональных данных при их обработке в информационных системах). От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять (п. п. 13 — 16 указанных Требований).

  1. Какие документы нужно создать для защиты персональных данных при их обработке

Четкий перечень этих документов законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки.

Создайте следующий комплект основных документов:

  • политика в отношении обработки персональных данных или иной локальный нормативный акт (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Это самый главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению.

Если у вас уже есть подобный локальный акт по персональным данным работников, вы можете в нем же предусмотреть положения о защите прав иных физлиц (например, добавить специальный пункт по физлицам).

Если у вас есть интернет-сайт, через который вы получаете персональные данные, разместите на нем политику в отношении обработки персональных данных (или иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных);

  • приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете — работников или, например, клиентов;
  • приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
  • соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.

Положение о защите персональных данных работников

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании статей Конституции РФ,
Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации»
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом главного врача и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных работника может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.2.4. Персональные данные следует получать у него самого. Если персональные
данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

Читайте так же:
Какие документы нужны для оформления завещания

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:
— бухгалтерии;
— сотрудники службы управления персоналом;
— сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.4.1. Персональные данные не могут быть использованы в целях причинения
имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
— не сообщать персональные данные работника третьей стороне без письменного
согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
— не сообщать персональные данные работника в коммерческих целях без его
письменного согласия;
— предупредить лиц, получающих персональные данные работника, о том, что эти
данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
— разрешать доступ к персональным данным работников только специально
уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на вопросы, связанные с передачей персональной
информации по телефону или факсу.
3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.2. Внешний доступ.
4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения муниципальных органов управления;
4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.2.4. Другие организации. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

Читайте так же:
Закон О Банках и Банковской Деятельности N 395-1

5. Защита персональных данных

5.5. «Внутренняя защита».
5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для
разграничения полномочий между руководителями и специалистами организации.
5.5.2. Для обеспечении внутренней защиты персональных данных работников
необходимо соблюдать ряд мер:
— ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
— строгое избирательное и обоснованное распределение документов и информации между работниками;
— рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
— знание работником требований нормативно — методических документов по защите информации и сохранении тайны;
— наличие необходимых условий в помещении для работы с конфиденциальными
документами и базами данных;
— определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
— организация порядка уничтожения информации;
— своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
— воспитательная и разъяснительная работа с сотрудниками подразделения по
предупреждению утраты ценных сведений при работе с конфиденциальными документами;
— не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, — руководителю структурного подразделения, (например, при подготовке материалов для аттестации работника).
5.5.3. Защита персональных данных сотрудника на электронных носителях.
Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. «Внешняя защита».
5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение
вируса, подмена, фальсификация содержания реквизитов документа и др.
5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
5.6.3. Для обеспечения внешней защиты персональных данных сотрудников
необходимо соблюдать ряд мер:
— порядок приема, учета и контроля деятельности посетителей;
— порядок охраны территории, зданий, помещений;
— требования к защите информации при интервьюировании и собеседованиях.
5.7. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

7. Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине
возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной
информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами
получившие информацию, составляющую служебную тайну, обязаны возместить
причиненные убытки, причем такая же обязанность возлагается и на работников.
7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред
правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector