Существует ли перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении?

ВОПРОС

Какой полный перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении?

В учреждении имеется 4 автоматизированные системы обработки конфиденциальной информации (персональных данных). Организация работы по защите персональных данных касается только их обработки в вышеуказанных информационных системах или на бумажном носителе тоже?

ОТВЕТ

В настоящее время законодатель полный перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении не определяет. Документы по защите персональных данных хранятся в информационных системах, требования к организации защиты персональных данных на бумажных носителях не указаны в законе, но рекомендуем хранить персональные данные на бумажных носителях.         

ОБОСНОВАНИЕ

Согласно ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных", операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.

Для защиты персональных данных работников создайте комплект следующих основных документов:

  • приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника организации, например, специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения сотрудников положения законодательства о персональных данных, а также локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);

  • положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
  • приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.

  • Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.
  • Должностные инструкции.
  • Технологическая группа документов, которая содержит сведения, определяющие порядок и способы реализации процедуры защиты персональных данных. К ней могут быть отнесены инструкции по обработке и защите персональных данных.

Вы можете включить в этот комплект и другие необходимые документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.

Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе.

Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона - вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Автор ответа:

Е.С. Соболева,

консультант Аскон по юридическим вопросам

Возможно, вам будут интересны эти темы:

Вправе ли работодатель увольнять работника, не прошедшего аттестацию?

40
19.08.2019

ТК содержит нормы относительно аттестации работников в части закрепления права работодателя расторгнуть трудовой договор с работником, если...

Новая информация для проверки контрагентов

13207.08.2019

Выбирая нового контрагента, нужно убедиться, что контрагент является добросовестной организацией.

-
Приказ Россвязи от 23.07.2019 N 148 "Об утверждении перечня должностей федеральной государственной гражданской службы в Федеральном агентстве связи и...

Утверждены: - перечень должностей федеральной государственной гражданской службы в Федеральном агентстве связи, по которым лицам, их замещающим, запрещено открывать и иметь счета ...
ИБ РоссийскоеЗаконодательство
-
Приказ Россвязи от 23.07.2019 N 146 "Об утверждении перечня должностей федеральной государственной гражданской службы в Федеральном агентстве связи, ...

Утвержден перечень должностей федеральной государственной гражданской службы в Федеральном агентстве связи, исполнение должностных обязанностей по которым связано с использованием ...
ИБ РоссийскоеЗаконодательство
наверх
Обратная связь.