Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499) 110-93-26 (бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
+7 (812) 317-74-92 (бесплатно)
Регионы (вся Россия):
8 (800) 550-95-86 (бесплатно)
Обработка персональных даннных - как организовать и настроить передачу и обработку ПД, требования, правила, штрафные санкции

Как организовать обработку персональных данных на предприятии

Порядок сотрудничества

Наниматель и его помощники при работе с персональной информацией сотрудника обязаны соблюдать определенную правомерность своих действий. Порядок обработки личных данных работников:

  1. Персональные сведения заносятся в электронную базу данных предприятия либо фиксируются на бумажных носителях (личная карточка, дело, трудовая книга и др.).
  2. Работодатель, опираясь на законодательство, устанавливает порядок доступа к обработке личной информации сотрудников.
  3. В должностных инструкциях специалистов, имеющих доступ к личным данным других лиц, нанимателем прописываются их обязанности по работе с информационными системами и соответствующей бумажной документацией.
  4. Обработка персональных сведений должна осуществляться в специальных помещениях, таких как кабинет бухгалтера, комната отдела кадров.
  5. Требования к помещениям, обеспечивающие защищенность информации, утверждаются работодателем.
  6. Список лиц, обладающих правом доступа к индивидуальной информации сотрудников и к непосредственной работе с ней, устанавливается посредством приказа руководителя компании.
  7. Сотрудники, допущенные к личным данным других работников, подписывают соглашение «О неразглашении».
  8. Лица, ответственные за работу с персональной информацией, имею право использовать только определенные данные, требующиеся для конкретной операции, остальные же сведения не должны открываться.
  9. При использовании автоматизированных систем обработки и хранения информации, нужно опираться на постановление Правительства РФ №1119 п. 3, 4 от 01.11.2012г., указывающее на обязательства конкретной организации по обеспечению безопасности персональных сведений (подробнее об обязательстве о неразглашении и других документах читайте тут). Меры по защите сведений утверждены постановлением Правительства РФ №512 от 06.07.2008г. и приказом Роскомнадзора №996 от 05.09.2013г.

    Подробнее о том, что такое положение о защите персональных данных работника, читайте в этом материале.

    ВАЖНО.

    При выборе меры защиты персональных данных, следует исходить из степени их важности и уровня наносимого вреда, вследствие

    доступа

    к ним.

  10. Для правильного ведения ручной обработки информации (книги, журналы, реестры) в инструкции должны прописываться требования постановления Правительства РФ №687 от 15.09.2008г.
  11. Передаваться личные сведения о работнике могут только в случае выполнения требований, указанных в статье 88 ТК РФ.

Наниматель имеет право получить и, в дальнейшем, обрабатывать персональную информацию работника, по причине заключения с ним трудовых отношений.

Стоит упомянуть два нюанса:

  • минимальный период для сервера равен 6 месяцам, т.е. первоначальный платеж составит 4990 х 6 руб 10.000т.р. (вместе с установочным платежом);
  • стоимость установочного платежа в размере 10 000 руб. справедлив для типового комплекта документов. Стоимость разработки нетиповой конфигурации составляет 15 000 рублей. Делается это единоразово.

Для понимания нужна ли будет индивидуальная разработка, нам нужно краткое описание сервиса который будет размещаться на сервере ИСПДн.

  • Подписание договоров (их несколько: договор на предоставление ИСПДн в пользование, договор на аттестацию ИСПДн, договор на оказание услуг по криптографической защите ИСПДн);
  • Оплата счета;
  • Анализ и подготовка комплекта документации;
  • Создание и запуск ИСПДн;
  • Аттестация ИСПДн.

Как организовать обработку персональных данных на предприятии

Если у вас остались или появились еще какие-то невыясненные вопросы по обработке персональных данных, механизмам и способах их хранения и защиты, а также как организовать перенос, хранение и обработку ПД на выделенном сервере ГК Интегрус и сколько это будет стоить конкретно для вашей компании, обращайтесь напрямую к нашим специалистам по контактным телефонам в СПб и Москве или оставьте заявку на сайте. С уважением, «Интегрус»

Принципы

Статья 5 Федерального закона №125-ФЗ от 27.07.2006г. (ред. От 29.07.2017г.) «О персональных данных» описывает принципы работы с информацией. Основные принципы:

  • Как организовать обработку персональных данных на предприятииЛичная информация работников должна обрабатываться согласно действующему законодательству.
  • Индивидуальные сведения граждан могут использоваться только для достижения определенных целей, находящихся в рамках закона.
  • Объем и суть персональных данных, взятых для обработки, должны соответствовать поставленным целям, без затрагивания избыточных сведений, не нужных для решения существующего вопроса.
  • Нельзя объединять базы данных, наполненные персональными сведениями, используемыми для достижения несовместимых целей.
  • В процессе работы с личной информацией должна обеспечиваться точность данных, достаточность, актуальность в отношении поставленных руководителем целей.

    СПРАВКА. Ответственное лицо обязано принять меры по уточнению неполных сведений, если выявлена их недостаточность для достижения поставленной задачи.

  • Хранить персональные данные следует до тех пор, пока они требуются для обработки с какой-либо целью, если иной промежуток времени не утвержден законодательно либо договором с выгодополучателем.
  • Сведения должны содержаться в форме, позволяющей без труда распознать субъекта, к которому они относятся.
Предлагаем ознакомиться:  Лишение прав третий раз за вождение в нетрезвом виде

Когда необходимость в обработке некоторых данных пропадает, их следует обезличить либо вовсе уничтожить.

Пошаговая инструкция

Правила, цели и нормы обработки персональных данных определены главой 2 Федерального закона №125 от 27.07.2006г. (ред. 29.07.2017г.). Пошаговый процесс обработки индивидуальной информации работника включает в себя следующие этапы:

  1. Получение персональной информации о конкретном, принимаемом на работу, сотруднике.
  2. Занесение учетных данных в соответствующие документы или электронную базу.
  3. Обработка имеющихся сведений автоматизированным либо ручным способом.
  4. Хранение данных с периодическим обновлением и уточнением (подробнее о порядке хранения и использования персональных данных работников на бумажных и электронных носителях читайте в этом материале).
  5. Правомерное извлечение информации, ее использование и передача.
  6. Блокировка сведений или их уничтожение.

Правовой контроль за работой с индивидуальными данными включает в себя регулирование всех процессов и стадий работы с ними.

Подробнее о заявлении на обработку и на другие операции с персональными данными работника узнайте тут.

Как отразить изменения в бухгалтерском учете?

Бухгалтер ведет немалое количество документации, содержащей личную информацию о сотрудниках конкретной организации. Правильное внесение изменений о работнике, в связи со сменой фамилии, например, требует внимательности и знаний в данном вопросе. Механизм отражения в бухгалтерском учете изменений индивидуальных данных работника:

  1. Для уведомления работодателя сотрудник должен написать заявление об изменениях в своем ФИО в произвольной форме и приложить к нему копии документации, подтверждающей этот факт.
  2. Составляется соответствующий приказ, информация о котором фиксируется в регистрационном журнале личного состава. В приказе должны быть прописаны старые и обновленные сведения о работнике, с указанием ссылки на реквизиты бумаг, являющихся подтверждением вышеописанного.

    С документом ознакамливаются конкретный работник, специалисты по кадрам, бухгалтерия и, при согласии, проставляют свои подписи. Датой приказа, обычно, является день подачи заявления работником.

    СПРАВКА. Бухгалтера в некоторых компаниях предпочитают издавать приказ именно днем получения работником официальной бумаги о переменах в ФИО.

  3. В соответствии с инструкцией по заполнению трудовых книжек, прописанной в Постановлении Министерства труда №69 п. 2.3, 2.4 от 10.10.2003г., вносятся изменения в трудовую книгу работника. На титульном листке горизонтальной чертой зачеркиваются старые персональные данные и указываются новые.

    Как организовать обработку персональных данных на предприятииТакже корректировке подлежит внутренняя сторона обложки трудовой книги. При ее заполнении следует ссылаться на документ-основание, с указанием его даты и номера. В завершении, обновленные сведения заверяются подписью уполномоченного лица, печатью фирмы и делаются поправки в книге учета движения трудовых книг.

  4. Согласно Постановлению Госкомстата №1 от 05.01.2004г. «Об утверждении унифицированных форм…», заполняется личная карточка работника, называемая формой Т-2.

    Старые ФИО и сведения из прошлого паспорта перечеркиваются горизонтальной линией, тут же пишутся новая информация и дата исправлений. В пункте «дополнительные сведения» следует указать документ-основание.

  5. По вышеописанному принципу корректируются лицевой счет (Т-54), табель учета времени работы (Т-12), график отпусков (Т-7), табель расчета заработной платы (Т-13).
  6. В электронной бухгалтерской программе вносятся исправления в карточку индивидуального учета сумм начисленных страховых взносов и налоговый регистр по НДФЛ, так как эта документация не ведется в бумажном виде.
Предлагаем ознакомиться:  Может ли банк продать долг коллекторам без решения суда (передать третьим лицам)?

Как организовать обработку персональных данных на предприятии

Обработка личной информации сотрудников любой организации должна осуществляться только с их письменного согласия и полностью соответствовать порядку и принципам, прописанным в законодательстве.

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Как организовать обработку персональных данных на предприятииПеречень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Механизм организации хранения персональных данных на сервере

Существуют ситуации, когда интернет-порталу или иной интернет площадке, медицинскому, государственному или коммерческому учреждению (далее – операторам персональных данных, Операторам ПДн), необходимо собирать и обрабатывать персональные данные (далее – ПДн) своих клиентов  на серверах, в том числе в облаке.

В этом случае необходимо организовать обработку персональных данных в соответствии с ФЗ-152.

Для этой цели группа компаний «Интегрус», «Клодо» и «Вэлл-Сервис», создали защищенную хостинг платформу, позволяющую передавать в пользование Операторам ПДн защищённые по требованиям безопасности виртуальные машины.

Защищенная виртуальная машина включает операционную систему ALT Linux СПТ 6.0, сертифицированную по требованиям ФСТЭК России, в комплекс средств защиты которой входят СУБД, web-сервер и широкий набор разнообразных сервисов и прикладных утилит. Кроме того, виртуальная машина включает сертифицированное по требованиям ФСБ России средство криптографической защиты информации (СКЗИ).

Данное СКЗИ установлено и настроено таким образом, чтобы “оградить” виртуальную машину от остальной части хостинг-платформы и инфраструктуры, доступной хостинг-провайдеру и третьим лицам, с помощью функций шифрования. Система в целом организована таким образом, чтобы обеспечить недоступность для хостинг-провайдера внутреннего содержания виртуальной машины клиента.

Основным конкурентным преимуществом нашего решения является тот факт, что в отличие от большинства других компаний, оказывающих услуги защищенного хостинга, при работе с нами клиенту не требуется получать согласие физических лиц (субъектов ПДн) на передачу их данных третьему лицу (хостинг-провайдеру). Данное преимущество достигается специально разработанной технико-правовой схемой организации хостинг-платформы в защищенном исполнении.

Для клиента подготавливается комплект организационно-распорядительных документов. Уже разработаны шаблоны документов, которые заполняются и изменяются в соответствии с видом деятельности и данными определенной компании. Заполняются все переменные (наименование компании, ФИО директора, лица, ответственного за обработку персональных данных и т.п.

Предлагаем ознакомиться:  Как сделать переуступку квартиры в строящемся доме

Организационно-распорядительная документация

В поле деятельности операторов входят различные операции с информацией. Это обработка, сбор, хранение, защита, передача и разглашение идентификационных данных.

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Как организовать обработку персональных данных на предприятииПеречень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Защита персональных данных: пошаговая инструкция

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

Документы, регулирующие защиту персональных данных:

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

Бумаги, касающиеся передачи персональных данных:

  • Как организовать обработку персональных данных на предприятииРегламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Обязательство о неразглашении

— обязательство, которое подписывается при приеме на работу новым сотрудником. Регламентирует его ответственность за обработку и разглашение ПД.

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас (это быстро и бесплатно):

просто кликните для звонка

Предыдущая запись Введение суда в заблуждение статья
Следующая запись Подать на развод в Александрове

Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock detector