Политика обработки персональных данных оу образец. Политика в отношении персональных данных

С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас. Расскажем, что это за документ, как его составлять, все ли работодатели должны его иметь и где он должен быть опубликован.

Что это за документ?

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа,определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или , самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

    обрабатываемых в соответствии с трудовым законодательством;

    полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    сделанных субъектом персональных данных общедоступными;

    включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание: сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

К сведению: в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

1. Общие положения.

Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) данных.

2. Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

    анализа правовых актов, регламентирующих деятельность оператора;

    целей фактически осуществляемой оператором деятельности;

    деятельности, которая предусмотрена учредительными документами оператора;

    конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовое основание обработки персональных данных.

Таковым является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В качестве правового основания обработки этих данных могут быть указаны:

    федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

    уставные документы оператора;

    договоры, заключаемые между оператором и субъектом персональных данных;

    согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

Обратите внимание: Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных оператором, поскольку регулирует отношения, связанные с обработкой этих данных, и закрепляет требования, предъявляемые к операторам при обработке этих данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

    работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;

    клиенты и контрагенты оператора (физические лица);

    представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

5. Порядок и условия обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ.

Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта данных на их обработку, выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта данных, и не дольше, чем требуют цели обработки персональных данных, кроме случаев, когда срок хранения данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

К сведению: при осуществлении хранения персональных данных оператор обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае подтверждения факта неточности данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена (ст. 21 Закона № 152-ФЗ).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом данных согласия на их обработку они подлежат уничтожению, если:

    иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

    оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;

    иное не предусмотрено другим соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст. 20 Закона № 152-ФЗ).

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов, обращений.

Политика утверждается приказом работодателя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись.

В связи с постоянным развитием компьютерных технологий защите персональных данных уделяется все больше внимания. Сейчас практически каждая организация имеет свой сайт и не просто размещает на нем те или иные сведения, но и осуществляет через него обмен информацией, в том числе персональными данными. При этом на сегодняшний момент Политика мало кем из организаций опубликована.

Еще раз обращаем внимание, что Политика – это отдельный документ, который должен быть у каждого оператора персональных данных, не считая других обязательных локальных актов в сфере обработки и защиты персональных данных. Если у вас еще его нет, его следует разработать, а если есть – привести в соответствие с Рекомендациями. И не стоит относиться к этому формально, ограничиваясь общими нормами Закона № 152-ФЗ, поскольку при проверке будет учитываться не только сам факт наличия Политики, но и то, насколько она соответствует реальному положению дел в области обработки персональных данных в конкретной организации.

Государственные органы и работодатели обращают особое внимание на работу с персональными данными граждан и работников. Забота о безопасности информации и обеспечение конфиденциальности личных сведенийважный аспект для функционирования любого предприятия или учреждения.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь к консультанту:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ .

Это быстро и БЕСПЛАТНО !

Что относится

ФЗ №152 устанавливает понятие персональных данных (ПД). Это любая информация, относящаяся к субъекту, а также позволяющая идентифицировать его личность прямо или косвенно. Законодательство не устанавливает конкретный перечень сведений, которые можно отнести к персональным данным.

В сфере трудовых взаимоотношений к ПД можно отнести:

  • паспортные данные;
  • дату рождения;
  • место проживания и адрес фактической регистрации;
  • номер ИНН или СНИЛС;
  • сведения об образовании;
  • сведения о стаже работы и т.д.

К ПД также можно отнести:

  • условия и нюансы трудового соглашения;
  • данные о воинском учете;
  • данные из медицинской карты;
  • социальные выплаты;
  • информация о наградах или дисциплинарных взысканиях.

Все это должно храниться в личном деле сотрудника и не может быть использовано против него. Информация также не может быть передана третьим лицам без согласия этого работника.

Любой работодатель является оператором по обработке ПД, то есть работодатель отвечает за сбор, хранение и накопление любых данных по отношению к сотруднику.

Обработка данных может проводиться руководителем или сотрудником отдела кадров вручную или с применением автоматизированных технологий. Конфиденциальность должна сохраняться как на время фактической работы физлица на предприятии, так и по завершению трудовой деятельности.

ФЗ №125 обязует предприятия хранить личные дела сотрудников в архиве в течение 75 лет. В течение этого периода никакая информация не может быть передана третьим лицам или использована в корыстных целях. Комплекс соответствующих мер должен быть направлен на конфиденциальность.

Как составить положение

Необходимость создания конфиденциальности и порядок работы с персональными данными должен быть отражен в Политике обработки ПД.

На 2019 год положение о защите ПД имеет следующую структуру:

  1. Общие положения с указанием целей и задач документа, а также с перечнем основных нормативно правовых актов, на основании которых создана политика конфиденциальности.
  2. Основные понятия с расшифровкой терминов и значений, используемых в документе.
  3. Состав ПД, включая перечень личных сведений работников.
  4. Условия обработки ПД внутри конкретного предприятия, на основании законодательства РФ.
  5. Список документов, предъявляемых работником работодателю, в которых содержится личная информация.
  6. Порядок доступа к информации, включая условия как для внутреннего, так и для внешнего обращения к базе данных и личным делам.
  7. Защита ПД, включая поэтапный комплекс мер, направленных на формирование полной конфиденциальности и создания безопасности хранения информации.
  8. Права и обязанности сотрудника в отношении обработки ПД, а также условия для внесения изменений и необходимость уведомления об этих изменениях.
  9. Ответственность за нарушение конфиденциальности, включая разъяснения различных случаев и меры наказания на основании законодательства РФ.

Как ввести в действие

Введение политики обработки ПД в действие проходит в несколько этапов:

  1. Разработка политики и согласование содержания документа с руководителями подразделений и юристами.
  2. Утверждение политики как нормативного акта. Утвердить документ должен глава предприятия путем издания приказа. При внесении в акт изменений также необходим соответствующий приказ.
  3. Ознакомление сотрудников предприятия с приказом и политикой. Также с документами должны быть ознакомлены не только уже работающие сотрудники, но и вновь нанятый персонал.
  4. Подтвердить ознакомление с текстом документа личной подписью сотрудника в специальном журнале. Подтверждение не обязательно и производится на усмотрение работодателя.

На практике руководитель и любой сотрудник предприятия должен иметь возможность обратиться к тексту положения при необходимости. Для удобства использования многие крупные предприятия выкладывают нормативные документы в ресурс общего корпоративного доступа.

В случае, если в данный момент положение о конфиденциальности персональных данных отсутствует, необходимо незамедлительно его разработать и согласовать со всеми инстанциями. Грамотно составленный документ поможет избежать многих проблем и разногласий.

Какие могут быть нарушения

Варианты нарушений и возможные санкции рассмотрены в таблице:

Нарушение

Санкции для физлиц

Санкции для должностных лиц

Санкции для юрлиц

Обработка ПД в «других» целях. Например, передача сторонним предприятиям или рекламным компаниям. Предупреждение или штраф в размере 1-3 тыс. рублей Предупреждение или штраф в размере 5-10 тыс. рублей Предупреждение или штраф в размере 30-50 тыс. рублей
Обработка ПД без согласия. Согласие должно быть предоставлено в письменном виде и заверено личной подписью физлица. Также обязательно присутствие даты заполнения документа и срока действия. Штраф в размере 3-5 тыс. рублей Штраф в размере 10-20 тыс. рублей Штраф в размере 15-75 тыс. рублей
Отсутствие доступа к положению о ПД сотрудникам предприятия в любое время при необходимости. Штраф в размере 700 – 1 500 рублей Штраф в размере 3-6 тыс. рублей Штраф в размере 5-10 тыс. рублей для ИП и 15-30 тыс. рублей для организаций
Сокрытие информации от владельца данных об изменениях в ПД или политике. Штраф в размере 4-6 тыс. рублей Штраф в размере 5-10 тыс. рублей Штраф в размере 20-40 тыс. рублей
Нарушение сохранности ПД, в следствие чего третьи лица могли получить информацию. Штраф в размере 700 – 2 000 рублей Штраф в размере 4-10 тыс. рублей Штраф в размере 10-20 тыс. рублей для ИП и 25-50 тыс. рублей для организаций

Таким образом, передача личной информации работодателю или в другие учреждения должна сопровождаться заполнением согласия на обработку личных данных.

При этом получатель согласия не вправе распространять персональные сведения после оказания услуги или после увольнения в течение нескольких десятков лет. Если же процедура обработки информации или конфиденциальность будет нарушена, потерпевший может обратиться в суд для разъяснения ситуации.

Согласно последним изменениям в федеральном законодательстве – вступлением в силу изменений в Федеральном законе № 152-ФЗ от 27.07.2006 “О персональных данных” от 01 июля 2017 года (начало действия Федерального закона от 07.02.2017 № 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”), в целях выявления наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработки мер по их устранению и недопущению в дальнейшем, в любой компании – организации, учреждении, предприятии, в различных системах социальной сферы и прочих (включая в ДОУ, школах) необходимо срочно принять целых пакет документов относительно политики конфиденциальности персональных данных.

Самый первый основополагающий документ в организации, с которого нужно начать – это Политика оператора в отношении обработки и защиты персональных данных .

Данная статья, является первым продолжением темы политики конфиденциальности, развернутой на главной странице – , где Вы сможете обозреть всю сеть необходимых документов, излагаемых в логической последовательности.

Если Вам нужно сделать документы не для компании, а для Вашего Сайта, переадресовываю к следующей странице: .

Здесь, я привожу пример и образец 2019 года, как делать Политику оператора в отношении обработки и защиты персональных данных в учреждении, на примере организации социального обслуживания населения.

Все отформатированные шаблоны-документы в формате docx в конце каждого пункта Вам будут доступны бесплатно для прямого скачивания по прямой ссылке.

Вам останется только немного их редактировать и применить к своему предприятию, заменив название организации.

Итак, начнем…

В прилагаемом тексте Политики вверху справа обозначаются реквизиты документа (кем утверждена Политика): должность, наименование организации, дата, номер приказа.

УТВЕРЖДЕНА
приказом директора
ГКУ СО «Наименование» ЦСОН»
от 30.06.2019 г. № 37

Политика оператора в отношении обработки и защиты персональных данных ГКУ СО «Наименование ЦСОН»: образец 2019 года

1.Общие положения

1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных ГКУ (ГБУ) СО «Наименование ЦСОН» (вставите свое наименование) (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая политика в отношении обработки и защиты персональных данных в ГКУ СО «Наименование ЦСОН» (далее – Политика) характеризуется следующими признаками:

1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

2.Информация об Операторе

Наименование:

  • полное официальное наименование: государственное казенное (бюджетное) учреждение социального обслуживания «Наименование центр социального обслуживания населения»;
  • официальное сокращенное наименование: ГКУ СО «Наименование ЦСОН».

ИНН: 0000000000.

Фактический адрес: 000000, Наименование область, Наименование район, станица Наименование, улица Наименование, 37.

Тел., факс: (00000): 0-00-00, 0-00-00.

Реестр операторов персональных данных:

https://rkn.gov.ru/personal-data/register/?id=00-000000.

– Номер в реестре операторов персональных данных: 00-0000000.

– Дата и основание внесения оператора в реестр: 00.00.2010, приказ № 000.

3.Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.06.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

3.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:

3.2.1. Правила обработки персональных данных

3.2.2. Перечень обрабатываемых персональных данных

3.2.3. Перечень информационных систем персональных данных.

3.2.4. Перечень работников, допущенных к работе с персональными данными.

3.2.5. Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3.2.6. Акты классификации информационных систем персональных данных.

4.Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

4.1.1. Обеспечение реализации государственной политики по социальной поддержке и социальному обслуживанию пенсионеров, ветеранов, инвалидов, малоимущих граждан, граждан пожилого возраста, семей с детьми, несовершеннолетних и других категорий населения, нуждающихся в государственной социальной поддержке и помощи, а также государственной семейной и демографической политики на территории Волгоградской области, предоставление социальных услуг.

4.1.2. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.

4.1.3. Осуществления пропускного режима.

5.Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения

5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

5.1.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ГКУ СО «Наименование ЦСОН».

5.1.2. Персональные данные получателей социальных услуг, их представителей, члены их семей. Источники получения: граждане, обратившиеся в ГКУ СО «Наименование ЦСОН».

5.2. Сроки обработки и хранения персональных данных определены в Перечне обрабатываемых персональных данных ГКУ СО «Наименование ЦСОН».

6.Основные принципы обработки, передачи и хранения персональных данных

6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».

6.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

6.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.

6.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

7.Сведения о третьих лицах, участвующих в обработке персональных данных

7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

7.1.1. Федеральной налоговой службе.

7.1.2. Отделению Пенсионного фонда РФ по Наименование области.

7.1.3. Участникам системы межведомственного электронного взаимодействия.

7.1.4. Негосударственным пенсионным фондам.

7.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.

8.Меры по обеспечению безопасности персональных данных при их обработке

8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

8.1.1. Назначением ответственных за организацию обработки персональных данных.

8.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

8.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.

8.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

8.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

8.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

8.1.7. Учетом машинных носителей персональных данных.

8.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

8.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

8.1.11. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.2. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в должностных регламентах вышеуказанных лиц.

9.Права субъектов персональных данных

9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

9.3.1. Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

9.3.2. При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

9.3.3. Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

9.3.4. Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.3.5. Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Сказано только, что документ должен быть общедоступен и разъяснять любому желающему политику оператора в отношении персональных данных, исполнение им всех требований закона по работе с этой информацией и ее защите.

В июле 2017 года, после внесения в закон очередных правок, разъяснение по составлению Политики (https://www.rkn.gov.ru/personal-data/p908/) опубликовал Роскомнадзор.

  • общие положения;
  • цели;
  • правовые основания;
  • категории субъектов, группы и объем данных;
  • порядок и условия обработки, сроки хранения;
  • условия внесения изменений и уничтожения данных,
  • меры безопасности;
  • права субъектов на доступ к своей информации.

Роскомнадзор также рекомендует включить в , в качестве приложений или иным способом, внутренние документы, регламентирующие процедуры работы с личной информацией, ограничение доступа, реагирование компании на запросы субъектов и уполномоченных органов и прочие. В качестве приложений могут быть изданы шаблонные формы согласия, отзыва согласия, запроса данных или заявления на внесение изменений.

Важно! Регулятор не устанавливает единую форму Политики. В документе должна быть изложена соответствующая информация, но структура, названия разделов их распределение и очередность могут отличаться у различных операторов.

Пошаговая инструкция по написанию разделов

  1. «Шапка» – сверху первой страницы в правом верхнем углу стандартный блок для подписи первого руководителя. Например: «Утверждаю, генеральный директор ООО «ИКС» Иванов И.И., дата, подпись, место для печати» . Или подобная форма, принятая в делопроизводстве компании.
  2. Общие положения – раздел включает в себя полное наименование предприятия – оператора, юридический адрес, ИНН, ключевые правовые основы, согласно которым разработан документ, общую характеристику прав и обязанностей оператора и субъектов.

    Например: «Политика обработки персональных данных ООО «ИКС» (далее – Оператор) разработана во исполнение Конституции РФ и действующего федерального законодательства в области защиты персональных данных (можно перечислить подробнее, а можно оставить перечень для соответствующего раздела), с целью соблюдения законодательства, прав субъектов персональных данных при обработке, сохранения конфиденциальности и обеспечения безопасности данных.

    Настоящая политика характеризирует принципы и цели оператора в сфере обработки персональных данных, способы обработки, категории данных, меры, предпринимаемые оператором по обеспечению безопасности, права Оператора и субъектов персональных данных…».

  3. Цели обработки – Роскомнадзор предписывает формулировать их максимально конкретно, исходя из законодательства и производственных потребностей оператора. В частности, целью может быть выполнение трудового и налогового законодательства, ведение бухгалтерского, налогового учета. Предоставление статистической отчетности, выполнение договорных обязательств, и осуществление видов деятельности, согласно Уставу, и прочие в рамках законодательства.
  4. Правовое основание – раздел представляет собой список федеральных законов и других нормативных актов, связанных с деятельностью Оператора в сфере работы с личной информацией, Устав предприятия, договоры между оператором и субъектами.

    Зачастую список включает в себя Конституцию РФ, Федеральный закон «Об информации, информационных технологиях и о защите информации», Трудовой и Налоговый кодексы, далее следуют соответствующие постановления правительства об обработке данных неавтоматизированным способом или в информационных системах, приказы Роскомнадзора, Федеральной службы по техническому и экспортному контролю, и другие.


  5. Перечень действий – сбор, систематизация, хранение, уточнение, извлечение, использование, передача (трансграничная или нет), обезличивание, блокирование, уничтожение и прочие манипуляции с предоставленной субъектами информацией.

    Также рекомендуется указать сроки и условия прекращения обработки. Например, обработка информации может быть прекращена по достижению целей, после завершения действия договора, обращения субъекта с отзывом согласия на обработку.

  6. Состав – подробно перечислите, данные каких категорий субъектов необходимо обрабатывать в указанных целях: работников и их родных, бывших сотрудников и кандидатов на вакантные должности, клиентов, контрагентов. Какая именно информация (ФИО, паспортные реквизиты, возраст, образование и так далее) необходима.

    Отдельно укажите, если требуется обработка так называемых специальных категорий данных – сведений о расе, национальности, политической и религиозной принадлежности, состоянии здоровья.

  7. Обработка – укажите способы обработки информации, например, автоматизированная, неавтоматизированная, смешанная.
  8. Обеспечение защиты – содержание раздела строится на выполнении ст. 18 и 19 закона «О персональных данных» .

    Оператор сообщает, что на предприятии назначено должностное лицо, ответственное за обработку этой информации, сотрудники ознакомлены с соответствующими регламентами, изданы локальные акты, регламентирующие все действия в данной сфере, доступ к информации, разработаны и применяются юридические, организационные и технические меры по обеспечению безопасности материальных носителей и электронных баз.

    Также раздел Политики гарантирует, что на предприятии ведется внутренний аудит в данной сфере, оценен потенциальный вред для субъекта, разработаны процедуры выявления нарушений действующего законодательства и их предотвращения.

  9. Права субъекта – раздел фактически подтверждает готовность оператора исполнять главу 3 статьи 14-17 закона «О персональных данных» . В частности, Политика информирует субъектов об их праве предоставлять персональные данные только добровольно и отозвать разрешение на обработку в любой момент, праве на доступ к своей информации и требование ее изменения или удаления недостоверных сведений.

    Субъект имеет право знать о целях, правовых основаниях и способах обработки данных, факте трансграничной передаче или передаче третьим лицам, если таковая производится. Защита прав субъекта и обжалование действий оператора производится в судебном порядке.

Подробнее о политике обработки персональных данных читайте .

Санкции за нарушение требований к документу

Требования о разработке и утверждении Политики в сфере обработки персональных данных и обеспечения публичного доступа к документу содержались и в первой редакции профильного закона от 2006 года. Но до 2017 года в законодательстве отсутствовали санкции за нарушение данной нормы.

Изменения в Кодекс об административных правонарушениях, в частности, в ч.3 ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» , устранили этот пробел, и теперь отсутствие документа в неограниченном публичном доступе повлечет за собой штраф до 30 тысяч рублей для компании и до 6 000 рублей для должностных лиц.