Положение о порядке работы с конфиденциальной информацией в учреждении.

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Положение о порядке работы с конфиденциальной информацией в учреждении.». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

• разрабатывает регламент хранения персональных данных;
• определяет, где они будут находиться;
• подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
• назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
• выбирает те или иные виды наказаний за нарушения правил;
• подписывает внутренние распоряжения.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Как утвердить реестр КИ

Оформление подобных внутренних актов в виде инструкции, регламента, положения и т.д. зависит того, как происходит документооборот в данной конкретной конторе. Но приблизительный порядок подготовки, оформления и ввода в действие перечня сведений конфиденциального характера везде схожий:

• определить, что именно требует защиты от посторонних глаз — какие данные, образцы, документы, на какой срок и т.д.;
• разработать порядок доступа, защиты и контроля;
• определить список тех, кому (и в каком порядке) разрешён доступ к КИ;
• прописать инструкции и требования к тем, кто по работе получает допуск к КИ;
• на документации, входящей в реестр, проставить гриф «Конфиденциально» или «Коммерческая тайна» (КТ).

Каков срок охраны коммерческой и служебной тайны?

Срок охраны коммерческой и служебной тайны — важный временной параметр, ограничивающий преждевременное разглашение конфиденциальных сведений. Кем, когда и как он устанавливается — узнайте из нашего материала.

• Срок действия режима конфиденциальности информации: термины и определения
• Что относится к коммерческой и служебной тайне?
• Для чего нужно охранять конфиденциальные сведения?
• Нормативные требования к срокам засекречивания конфиденциальных сведений
• Каким документом может устанавливаться срок охраны секретной информации?
• С какой даты отсчитывается срок охраны сведений ограниченного доступа?
• Где проставляется отметка о начале и окончании режима конфиденциальности?
• Отдельные нюансы установления и прекращения срока защиты конфиденциальных сведений
• Итоги

Обеспечение безопасности персональных данных при их обработке

В 18, 18.1, 19 параграфах ФЗ-152 сообщается, что вся ответственность за безопасность и сохранность частной информации полностью ложится на оператора. При использовании личных сведений физического лица организации должны быть уверены, что проводимая ими работа конфиденциальна, а утечки быть не может.

Помимо этого, операторы должны проводить профилактические действия для обнаружения возможных слабых мест в защитной системе и улучшения своей политики конфиденциальности.

Также органами государственной власти устанавливаются следующие параметры, влияющие на безопасность личных сведений:

• Уровень защищенности — категория ограничения использования частной информации в тех случаях, когда данные могут оказаться под угрозой.
• Требования к безопасности информационных сетей — организация должна быть уверена в защищенности базы с личной информацией в сети.
• Технический уровень носителей информации — категория, которая заставляет операторов пользоваться только максимально безопасными средствами для хранения данных.

Защита персональных данных

Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

К исключениям относятся:

• только ФИО субъектов;
• трудовые отношения;
• договорные отношения;
• общедоступные персональные данные;
• однократные пропуска на территорию;
• когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
• транспортная безопасность.

---

Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

• Положение о персональных данных;
• Приказ об утверждении положения;
• Приказ о назначении ответственного лица;
• Политика в отношении обработки и безопасности персональных данных;
• Пользовательское соглашение в приложении и на сайте;
• Инструкция ответственного за организацию обработки персональных данных;
• Приказ о выделении помещений для обработки персональных данных + правила доступа;
• Журнал учета машинных носителей информации с персональными данными.

Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

Порядок защиты конфиденциальной информации

В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

• определение перечня данных, составляющих коммерческую тайну;
• ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
• учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
• регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
• нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации.

В целях охраны конфиденциальности информации работодатель обязан:

• ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
• ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
• создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет. Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Контроль поддержания режима конфиденциальности

Контроль реализации режима конфиденциальности на предприятии создан для изучения и оценки состояния защищенности конфиденциальных данных, выявление недостатков и выявление нарушений режима. Контроль реализации режима поддерживает заместитель ген. директора безопасности предприятия.

Проверка исполнения режима проводит комиссия (отдельные люди) назначаемые ген. директором предприятия. Комиссия имеет право подключать сторонних специалистов по согласованию с директором. Проверяющие имеют право знакомится со всеми документами, проводить консультации. Подразделение, в котором проводилась проверка, реализует план по устранению выявленных недостатков. План согласовывается с зам. ген. директора по безопасности предприятия.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Как хранить личные сведения: общие требования

Условия хранения и использования персональных данных установлены законодателем. Несоблюдение требований закона сотрудниками отдела кадров влечет нарушение права граждан на конфиденциальность их личных данных, закрепленного в Конституции РФ.

В соответствии с нормами статьи 87 Трудового кодекса России, порядок хранения и обработки персональных данных сотрудников компании разрабатывается и утверждается руководителем. Та же статья Трудового кодекса регламентирует, что внутренний порядок хранения и использования личных данных сотрудников разрабатывается с учетом законодательных норм. То есть хранится личная информация с учетом требований, закрепленных в Конституции, Трудовом кодексе, ФЗ «О персональных данных» и других нормативных актах.

Сроки хранения документации с персональной информацией сотрудников закреплены Приказом Министерства культуры № 558, принятым в 2010 году. В соответствии с нормативно-правовым актом:

• в течение 5 лет хранятся служебные и докладные записки, приказы и выписки из них, командировочные листы, а также справки, не включенные в личные дела;
• 75 лет – расчетные ведомости и листы о начислении и выдаче заработной платы, премий, пособий и материальной помощи, а также доверенности на получение денег или материальных ценностей;
• на протяжении 3 лет должны храниться заявления о приеме на работу или увольнении, анкеты и автобиографии, рекомендательные письма, документация, касающаяся перевода работника на другую должность или новое место службы.

Для обеспечения безопасности хранения и обработки персональных данных разрабатывается специальный акт, именуемый «Соглашением о неразглашении конфиденциальных данных», который подписывают должностные лица, получившие доступ к персональным данным работников компании: как рядовые сотрудники отдела кадров и бухгалтерии, так и руководители отделов и управлений, включая исполнительного и генерального директора компании.

Персональные данные в Федеральном законодательстве

152 Федеральный закон «О защите персональных данных» основывается на Конституции РФ по правам человека, а также внешних договорах РФ с другими государствами. Согласно ему, все персональные данные должны храниться и обрабатываться сертифицированными системами и методами для защиты их сохранности и конфиденциальности. Операторами ПД можно считать любые органы и представительства, физических и юридических лиц, чья деятельность прямо или косвенно связана с обработкой и хранением данных о гражданах.

Правила обработки ПД не распространяются отношения, где информация используется для семейных и личных нужд, архивных и судебных документов, для работы с реестром ИП, или, если информация связана с государственной тайной. Во всех этих случаях хранение и использование данных может проходить в установленном другими нормативными актами порядке.

Согласно ФЗ №152, данные должны предоставляться и обрабатываться в том объеме, который требуется для достижения цели сбора этих данных. Слияние двух информационных баз не возможно, если их обработка осуществляется в не связанных целях. В основном, все вопросы обработки данных касаются автоматизированных систем, но есть пункт закона, регулирующий специфические условия хранения и использования информации без автоматизации, согласно которому данные могут обрабатываться при регулировании специальными нормативными актами.

Федеральный закон предусматривает открытые источники информации, в которых будет размещена персональная информация о человеке, обусловленная целью создания открытого источника (например, справочника). Гражданин имеет право отказаться от распространения любых данных о нем, может не сообщать некоторую часть от общего объема запрашиваемой информации, а также может потребовать исключения из общего перечня своих персональных данных.

Персональные данные по 152 Федеральному закону делятся на 4 категории, согласно которым данные классифицируются по степени открытости в отношении взглядов и частной жизни человека

4 Категория включает в себя обезличенные данные

3 Категория – личные данные, предоставляющие возможность идентификации

2 Категория – личные данные, предоставляющие возможность идентификации с правом получения дополнительной информации, не включенной в первую категорию

1 Категория – личные данные, касающиеся расовой и национальной принадлежности, взглядов, интимной жизни и состояния здоровья

Также выделяют еще один тип информации о человеке – биометрические данные, т.е. информация об особенностях физиологического строения конкретного гражданина. Биометрическими данными пользуются во время следственно-розыскных работ, международных переездов граждан, а также в случаях, предусмотренных УК РФ.

Базы данных также подразделяются на группы по объему данных, обрабатываемых в системе

1 группа – до 1000 человек

2 группа – 1000-100000 человек

3 группа – от 100000 человек

Федеральный закон также регулирует деятельность операторов ПД, права и обязанности граждан в отношении персональных данных, жизненные циклы идентификационной информации, уровни безопасности и конфиденциальности ПД.

Закон РФ 98-ФЗ: полная информация о коммерческой тайне

Федеральный закон о коммерческой тайне 98-ФЗ в последней редакции 2016 года регулирует отношения, которые связаны с прекращением, установлением или изменением режима соблюдения коммерческой тайны.

Федеральный закон о коммерческой тайне 98-ФЗ в последней редакции 2016 года регулирует отношения, которые связаны с прекращением, установлением или изменением режима соблюдения коммерческой тайны. Под действие Закона о коммерческой тайне 98-ФЗ попадает информация, имеющая потенциальную или действительную коммерческую ценность для третьих лиц, не обладающих доступом к данным подобного рода. Нормы закона 98-ФЗ распространяются на любую информацию с коммерческой ценностью, независимо от того на каком носителе она находится. Оборот информации, отнесенной к государственной тайне, регулируется Законом РФ о государственной тайне.

Похожие записи:

• Установление отцовства в добровольном и принудительном порядке
• Развод через ЗАГС без присутствия супруга
• Со скольки лет можно покупать алкоголь