Политика конфиденциальности для компании: образец-пример 2017 года, скачать текст

Добрый вечер уважаемые читатели блога! Как обещал, для тех, кому актуально, я готов бесплатно поделиться с полным пакетом документов касающихся области политики конфиденциальности в отношении обработки и защиты персональных данных компании обязательных для внедрения в деятельность организаций, учреждений и предприятий любых форм собственности, утверждаемых в Вашей компании приказами по основной деятельности.

Осмелюсь предположить: вряд ли вы найдете что-то подобное в Интернете, в той жесткой упорядоченности, структуре, полноте сведений и прочих данных. Вам останется только немного доработать предлагаемый пакет документов - включить мозги, заменить наименование компании, организации в форме или шаблоне. Любой документ доступен для скачивания по прямым ссылкам в формате docx: текст, образец, пример 2017 года.

Содержание

Цель: Соблюсти Законы 152-ФЗ, 13-ФЗ и как избежать штрафа

Для любой компании - организации, учреждения или предприятия важно четко определить в своей деятельности наличие несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработать меры по их устранению и недопущению в дальнейшем.

С 01 июля 2017 года вступили в силу новые изменения в Федеральном законе № 152-ФЗ от 27.07.2006 "О персональных данных". В частности, с этой даты, вступил в силу Новый Федеральный закон от 07.02.2017 № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", где значительно расширен перечень составов правонарушений, ужесточением мер ответственности за нарушение законодательства в области персональных данных.

Привожу печальные примеры: как будет сейчас

Установлена административная ответственность за: обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1 000 до 3 000 рублей, на должностных лиц - от 5 000 до 10 000 рублей, на юридических лиц - от 30 000 до 50 000 рублей).

Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (влечет предупреждение или наложение штрафа на граждан в размере от 3 000 до 5 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 15 000 до 75 000 рублей).

Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных (влечет предупреждение или наложение штрафа на граждан в размере от 700 до 1 500 рублей, на должностных лиц - от 3 000 до 6 000 рублей, на юридических лиц - от 15 000 до 30 000 рублей).

Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных (влечет предупреждение или наложение штрафа на граждан в размере от 1 000 до 2 000 рублей, на должностных лиц - от 4 000 до 6 000 рублей, на юридических лиц - от 20 000 до 40 000 рублей).

Теперь, составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

Как было раньше

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 до 500 рублей, на должностных лиц - от 500 до 1000 рублей, на юридических лиц - от 5000 до 10000 рублей.

Федеральный закон № 13-Ф3 вступил в силу с 01.07.2017 г.

Что делать?

Поэтому необходимо обеспечить с целью недопущения нарушений в сфере обработки персональных данных:

  1. принятие мер, направленных на обеспечение выполнения обязанностей, а также мер по обеспечению безопасности персональных данных при их обработке, предусмотренных соответственно статьями 18.1 и 19 Закона о персональных данных;
  2. рассмотрение обращений субъектов персональных данных при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных в порядке и сроках, определенных статьей 20 Закона о персональных данных;
  3. соблюдение обязанностей по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных в порядке и сроках, определенных статьей 21 Закона о персональных данных;
  4. уведомление Роскомнадзора в соответствии со статьей 22 Закона о персональных данных в случае изменения сведений, указанных в Реестре операторов, осуществляющих обработку персональных данных (https://rkn.gov.ru/personal-data/register/), в течение десяти рабочих дней от даты возникновения таких изменений или от даты прекращения обработки персональных данных;
  5. исполнение Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Внимание!!! Непредставление уведомления в адрес Роскомнадзора, а также нарушение сроков представления информации влекут за собой ответственность, предусмотренную ст. 19.7 Кодекса Российской Федерации об административных , правонарушениях (предупреждение или штраф на граждан от 100 до 300 рублей, на должностных лиц - от 300 до 500 рублей, на юридических лиц - от 3000 до 5000 рублей).

При разработке документов, необходимых для реализации статьи 18.1 Закона о персональных данных, рекомендуется опираться на Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный Постановлением Правительства Российской Федерации от 21.03.2012 №211.

Исходные документы

  1. Федеральный закон от 01.02.2017 № 13-Ф3 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
  2. Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
  3. Постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
  4. Сводная таблица сроков обработки запросов субъектов персональных данных, их представителей или уполномоченного органа по защите прав субъектов персональных данных, поступивших в учреждение.

Образцы-примеры приказов и шаблоны документов, пояснения к ним будет нашей дальнейшей рассматриваемой темы, весь материал структурирован. Пример возьмем организации социального обслуживания.

Образец-пример приказа, шаблоны документов 2017 года

1: Политика в отношении обработки и защиты персональных данных

Первый приказ в учреждении утверждает Политику оператора в отношении обработки и защиты персональных данных.

Она раскрывает основные категории персональных данных, обрабатываемых в организации, цели, способы и принципы обработки персональных данных, свои права и обязанности при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых учреждением в целях обеспечения безопасности персональных данных при их обработке.

Данная Политика является общедоступным документом, декларирующим концептуальные основы деятельности организации (как оператора) при обработке персональных данных.

2: Меры, направленные на обеспечение выполнения обязанностей

Второй приказ в организации направлен на утверждение мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Образец приказа 2017 года можно скачать здесь: Приказ о мерах выполнения обязанностей Федерального закона 152-ФЗ О персональных данных.

Он утверждает следующие важные документы в организации, учреждении или на предприятии:


  1. Правила обработки персональных данных в организации согласно Приложению 1 (на 8 стр.).
  2. Правила обработки персональных данных работников учреждения согласно Приложению 2 (на 7 стр.).
  3. Правила рассмотрения запросов субъектов персональных данных или их представителей на предприятии согласно Приложению 3 (на 1 стр.).
  4. Правила осуществления внутреннего контроля выполнения требований по защите персональных данных в организации согласно Приложению 4 (на 4 стр.).
  5. Правила работы с обезличенными данными в учреждении согласно Приложению 5 (на 1 стр.).
  6. Перечень информационных систем персональных данных на предприятии согласно Приложению 6 (на 1 стр.).
  7. Перечень персональных данных работников, обрабатываемых в организации в связи с реализацией служебных или трудовых отношений согласно Приложению 7 (на 1 стр.).
  8. Перечень персональных данных, обрабатываемых в учреждении в связи с оказанием государственных услуг и осуществлением государственных функций согласно Приложению 8 (на 1 стр.).
  9. Перечень должностей работников предприятия, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных согласно Приложению 9 (на 1 стр.).
  10. Перечень должностей работников организации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным согласно Приложению 10 (на 1 стр.).
  11. Должностные обязанности ответственного за организацию обработки персональных данных в учреждении согласно Приложению 11 (на 4 стр.).
  12. Типовое обязательство работников организации о неразглашении персональных данных согласно Приложению 12 (на 1 стр.).
  13. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в учреждении согласно Приложению 13 (на 1 стр.).
  14. Порядок доступа работников на предприятии в помещения, в которых ведется обработка персональных данных согласно Приложению 14 (на 3 стр.).

3: Согласие на обработку персональных данных работников организации

Третьим приказом по учреждению утверждается типовая форма согласия на обработку персональных данных работников организации (на 2-х стр.).

Данный документ можно проводить и в составе второго приказа - вышеназванного. Либо отдельно. Образец приказа скачиваем здесь: 3.Приказ о согласии на обработку персональных данных для работников.

4: Согласие субъекта персональных данных или их представителей на обработку персональных данных в организацию

Четвертым приказом по учреждению утверждается типовая форма согласия субъекта персональных данных или их представителей на обработку персональных данных в организацию (на 1 стр.).

Этот документ, равно как и предыдущий можно проводить в составе второго приказа. Поскольку речь идет о мерах по обеспечению обязанностей накладываемых Законом 152-ФЗ «О персональных данных». Бланк-пример приказа скачивать здесь: 4.Приказ о согласии на обработку персональных данных для клиентов.

5: Ответственность за обработку и защиту персональных данных в организации

Пятый приказ «Об ответственности за обработку и защиту персональных данных в учреждении» издается в целях обеспечения режима конфиденциальности персональных данных, разграничения прав доступа к информационной системе персональных данных (ИСПДн), распределения ответственности за техническое обслуживание объектов информатизации учреждения.

В него входят два приложения, в которых:

  1. Распределяет ответственность за обработку и защиту персональных данных в соответствии с перечнем лиц, указываемых в Приложение № 1.
  2. Организовывает доступ к персональным данным, обрабатываемым в информационных системах персональных данных, в соответствии с перечнем лиц, указываемых в Приложение № 2.

6: Назначение ответственного за организацию обработки персональных данных организации

Шестой приказ назначает ответственным за организацию обработки персональных данных в учреждении какого-либо специально выбранного работника одного из структурных подразделений, напрямую участвующего в обработке персональной информации.

Обязательно укажите еще одного работника, назначаемого в период отсутствия основного (ежегодный отпуск, лист нетрудоспособности), чтобы процесс обработки персональной информации не прерывался либо не выходил из законного поля деятельности.

7: Допуск сотрудников в помещения и назначение администратора

Полное название седьмого приказа следующее: «О допуске сотрудников в помещения, где расположены технические средства информационной системы персональных данных и к обработке персональных данных, назначении ответственного за эксплуатацию и администратора безопасности информации информационной системы персональных данных в учреждении».

Ссылка на образец приказа: 7.Приказ о допуске сотрудников в помещения 2017.

Приказ утверждает 2 приложения и два важных пункта:

  1. Допустить в помещения, где расположены технические средства информационной системы персональных данных (ИСПДн) "Регистр получателей социальных услуг", лиц, перечисленных в "Списке сотрудников, имеющих право самостоятельного доступа в помещения, где расположены технические средства информационной системы персональных данных" (Приложение № 1).
  2. Допустить к обработке персональных данных в ИСПДн "Регистр получателей социальных услуг" лиц, перечисленных в "Списке сотрудников, допущенных к обработке персональных данных в информационной системы персональных данных" (Приложение № 2).
  3. Назначить ответственным за эксплуатацию ИСПДн "Регистр получателей социальных услуг" специалиста (такого-то отделения, структурного подразделения, фамилия, имя и отчество). А в случае ее отсутствия, назначить ответственным за эксплуатацию ИСПДн "Регистр получателей социальных услуг" специалиста (аналогичные данные заполняете на другого человека).
  4. Назначить администратором безопасности ИСПДн "Регистр получателей социальных услуг" инженера отделения приема граждан, социального сопровождения и организационно-технической работы Фамилия Имя Отчество.

8: Осуществление внутреннего контроля выполнения требований по защите персональных данных в организации

Восьмой пункт не менее важный, через приказ по основной деятельности по учреждению «Об утверждении Программы осуществления внутреннего контроля выполнения требований по защите персональных данных в ОРГАНИЗАЦИИ на 2017 год» Вы обозначаете исполнение контроля за деятельностью сотрудников.

Образец приказа: 8.Приказ об утверждении Программы контроля за обработкой и защитой персональных данных на 2017.

Приложение к нему: Программа внутреннего контроля ПДн на 2017.

В прилагаемой Программе Вы указываете:

  1. Сроки проведения проверки.
  2. Наименование проверяемого подразделения/отделения Учреждения.
  3. Цель плановой проверки.
  4. Руководителя аудиторской группы и ее состав.
  5. Ответственного за организацию и проведение внутреннего аудита.
  6. Отметку о проведении внутреннего аудита.

И последнее, обязательно ознакомьте своих сотрудников с вышеназванными приказами под роспись. Хотя это только начало.

На дальнейших страницах я буду последовательно излагать заготовки документов на примере организации социального обслуживания населения.