Начинается нездоровая движуха, по-моему. Типа надо организовать хранение и все такое. Кто заморачивался? Пакет документов где брали? Или положить на это все?
В чем выражается, что начинается нехорошая движуха? Я заморачивалась несколько лет назад, а потом бросила, так как никому это не нужно
Вы имеете ввиду включение организации, которая оказывает какие-либо услуги физическим лицам, в Реестр операторов персональных данных https://rkn.gov.ru/personal-data/register/?
Тогда ничего сложного-я несколько организаций включил в реестр. Необходимо будет подготовить ряд документов в организации (например, Положение об обработке персональных данных и т.п.), разместить некоторые документы на сайте организации, заполнить уведомление на сайте Роскомнадзора о включении организации в Реестр персональных данных и продублировать письменно заполненное уведомление либо непосредственно в Роскомнадзор, лиюо отправить его по почте. Вот здесь можно подробно почитать по этому вопросу https://regforum.ru/posts/1913_a_vasha_organizaciya__operator_personalnyh_dannyh/
пугают огромным пакетом документов. в реестр-то включиться не сложно, а вот держать тонну бумаги и еще ее написать -- нах надо.
В соответствии с главой 14 Трудового кодекса РФ и статей 18.1 и 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в каждой организации необходимо назначить ответственного за организацию обработки персональных данных в организации. Этот ответственный за организацию обработки персональных данных в организации должен быть назначен в каждой организации. Его можно назначить по совместительству. После назначения ответственной за организацию обработки персональных данных в организации должен подготовить и ввести в организации список документов, требуемых законодательством о персональных данных, и организовать направление уведомление в Роскомнадзор об обработке персональных данных, чтобы организация была включена в реестр операторов персональных данных. Какие документы необходимо сделать по ответственному за организацию обработки персональных данных в организации: 1. Положение об обработке персональных данных (этот документ я сделал и прикрепил к настоящему письму) Это основной документ. В отношении каждого субъекта персональных данных (работника, пациента) он описывает категории обрабатываемых данных, порядок их обработки — кто имеет право на сбор данных, их обновление, как и где они хранятся, кому и на каком основании могут быть переданы. Документ описывает права работников и пациентов при обработке их персональных данных и обязанности организации. Главный раздел документа — это система мер защиты, созданная в организации. Здесь подробно расписывают правовые, организационные и технические меры по защите персональных данных. Здесь же прописывают ответственность за несоблюдение требований об обработке персональных данных. Важная часть положения — лист ознакомления с локальным нормативным актом сотрудников организации и лист «Уведомление-обязательство». В последнем указывают, какие сотрудники к обработке каких категорий данных допущены. Ознакомление с правилами обработки заверяется подписью. 2. Политика в отношении обработки персональных данных Этот документ предназначен для информирования третьих лиц о том, каким образом в организации ведется обработка их персональных данных (п. 2 ст. 18.1 Закона о персональных данных). Документ размещают на официальном сайте и в бумажной версии, с обеспечением неограниченного доступа. 3. Приказ о работе с персональными данными Приказ устанавливает ответственного в организации за обработку персональных данных. Это может быть директор или иной сотрудник. В приказе перечисляют, какие меры нужно предпринять для обработки данных (какие документы разработать, какое оборудование приобрести и т. д.). Указывают сроки и ответственных исполнителей. Если в штате не предусмотрен специалист по защите информации (технический специалист), можно указать на необходимость заключить договор со сторонней организацией. С приказом должны быть ознакомлены все лица, на которых документом возложены какие-либо обязанности. 4. Приказ о перечне обрабатываемых данных (можно это сделать и не в виде приказа, а в виде приложения к Положению об обработке персональных данных) Документ устанавливает перечень персональных данных для каждой категории субъектов. В приказе можно указать сроки хранения каждого документа, содержащего персональные данные. 5. Приказ о допуске сотрудников к обработке персональных данных В документе нужно указать, какие сотрудники к обработке какой категории данных допущены. Например, у регистратора должен быть доступ к записи пациентов и расчетам с ними, но не к медицинской документации. С приказом должны быть ознакомлены все категории сотрудников, в нем упомянутые. 6. Приказ об обработке персональных данных без использования средств автоматизации Как правило, в организации не все персональные данные обрабатываются при помощи компьютеров. Например, личные карточки Т2 тоже часто заполняют ручным способом. Поэтому должен быть издан приказ об обработке данных без средств автоматизации (см. постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»). 7. Приказ об обезличивании персональных данных в научных и статистических целях Персональные данные можно использовать в научных, образовательных и статистических целях без согласия субъекта. Единственное условие — данные должны быть обезличены (подп. 9 ч. 1 ст. 6 Закона о персональных данных). Порядок обезличивания — описание действий, в результате которых будет невозможно идентифицировать субъекта данных, — нужно закрепить приказом. 8. Приказ об уничтожении персональных данных Нужно описать, в каких случаях персональные данные уничтожают (истечение установленного законом срока хранения документов, ликвидация организации и пр.). Указывают способы уничтожения бумажных и электронных документов, форму и порядок составления акта об уничтожении персональных данных. 9. Приказ о порядке предоставления информации об обработке персональных данных по запросам субъектов Субъект персональных данных имеет право узнать, как обрабатываются его данные (ст. 14 Закона о персональных данных). Приказ определяет порядок подачи таких запросов, сроки ответов, формы подачи запросов. 10. Формы согласия на обработку персональных данных Разрабатывают отдельные формы согласия на обработку персональных данных для сотрудников и для клиентов. Параметры, которые необходимо включить в каждую форму, указаны в ст. 9 Закона о персональных данных. 11. Модель угроз безопасности персональных данных Обработка персональных данных включает сбор, запись, систематизацию, накопление, передачу, обезличивание данных и т. д. На каждом из этапов есть вероятность утраты данных. Угрозы могут быть физической и технической природы. Физические угрозы предполагают, что сервер, сейф с трудовыми книжками и личными делами, флешка с информацией могут быть украдены, а данные незаконно использованы. Чтобы обезопасить организацию от кражи, следует принять меры защиты: установить сигнализацию, видеонаблюдение, специальные двери, ограничить доступ в помещения-хранилища. Технические угрозы — это уязвимость в программном обеспечении, как системном (например Windows), так и прикладном (программы 1С и пр.). Опасно использовать незащищенные каналы передачи данных в компьютерных сетях (между клиниками или филиалами одной клиники). Другая разновидность технических угроз — несанкционированный доступ к носителям информации (USB, CD/DVD и т. д.). Чтобы предотвратить утрату данных, нужно разграничить доступ к ним, установить персональную идентификацию пользователей, использовать криптографические средства защиты. На основании предложенной Федеральной службой по техническому и экспортному контролю методики необходимо разработать модель угроз (Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК России 15.02.2008) — анализирует, что может привести к утрате персональных данных. Затем разрабатывает систему мер по обеспечению безопасности. 12. Журнал учета материальных носителей персональных данных Представляет собой таблицу, где указано, какое количество и каких носителей использует организация, где они находятся. 13. Описание рабочих мест и скриншоты В организации должна быть схема рабочих мест с ЭВМ и скриншоты страниц прикладного программного обеспечения, содержащего персональные данные (1С и пр.). Скриншоты можно сделать при проведении проверки Роскомнадзора. Тем самым организация продемонстрирует, в каких программах какие персональные данные содержатся и обрабатываются. Все перечисленные документы обязательны в организации. Их наличие и содержание проверяет Роскомнадзор. Дополнительно на сайте организации необходимо разместить: 1) Приказ иПоложение о порядке хранения и защиты персональных данных пользователей сайта. 2) Соглашение об обработке персональных данных
Да, нет - я не сам всё это сгруппировал - просто сводил материал из разных источников от разных авторов, когда готовил документы по персональным данным и уведомление в Роскомнадзор о включении в Реестр операторов персональных данных)
Я вообще подумала как защитить свои данные .. типа не в Банк (нотариусу, в салон сотовой связи и так далее) паспорт несешь, а в некую организацию. Она по запросу подтверждает что Ты это Ты и паспорт твой проверен. Но данные не разглашают. Но это и получается что то типа эцп..только на деле вышло все наоборот...все данные стали продаваемые. Исправить ситуацию можно. Если зафиксировать законодательно, предоставление паспорта (образно) только в Подобную организацию. Без альтернативы, что по желанию, можно и лично паспорт предьявить... И тогда, если утечка и произойдет, а это будет обязательно , смело к этой организации можно предьявы и выставлять. Ведь только им предоставлялись личные данные.
