Персональные данные документы: Документы по персональным данным в 2022 году

Примерный перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными. 

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных.

Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.

1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора

Получить консультацию по персональным данным

Спасибо! Ваше сообщение получено

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям

оператора персональных данных относится, в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.  

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». Ранее он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных.

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.

Помимо Политики у оператора должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений:

например,

• различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), 
• перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), 
• инструкции и регламенты.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

3. Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).

В соответствии со ст.22 Закона № 152-ФЗ, оператор до начала обработки персональных данных обязан подготовить уведомление об обработке персональных данных (и при необходимости, изменения в уведомление об обработке персональных данных) и направить данное уведомление о своем намерении осуществлять обработку персональных данных в уполномоченный орган по защите прав субъектов персональных данных. 


Исключения (когда оператор имеет право обрабатывать персональные данные без уведомления уполномоченного органа), в частности, установлены в отношении персональных данных:

• обрабатываемых в соответствии с трудовым законодательством;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных, используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных субъектом персональных данных общедоступными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.22.1 Закона № 152-ФЗ, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

5. Согласие субъекта персональных данных на обработку его персональных данных.

В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. То есть у оператора также должен быть такой документ, как согласие субъекта персональных данных на обработку его персональных данных.

6. Документы, подтверждающие предоставление субъекту персональных данных информации, в случае если персональные данные получены не от субъекта персональных данных.

Согласно ст.18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных

обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

7. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Согласно ч.1 ст.19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

• Документ о классификации информационных систем;
• Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

В соответствии со ст.ст. 86-88 Трудового кодекса РФ от 30 декабря 2001 года № 197-ФЗ работодатель обязан иметь документ, устанавливающий порядок обработки персональных данных работников, с которым работники и их представители должны быть ознакомлены под роспись.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
• Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

• Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

• Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

• Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных установлены Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Разработка документов по персональным данным в организации в 2022 году

Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных

100%-ное соответствие требованиям законодательства

Документы разрабатываются с учетом действующего законодательства Российской Федерации о персональных данных, в том числе с учетом изменений, вступивших в силу с 1 сентября 2022 года

Разработка пакета внутренних документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.

В целях предотвращения утечки и неправомерного использования личной информации физических лиц власти РФ законодательно закрепили обязанность каждого оператора ПДн выполнять ряд требований, связанных с обеспечением защиты персональных данных. Разработка организационно-распорядительной документации входит в комплекс мероприятий, предусмотренных ФЗ №152 наряду с необходимостью назначения ответственных лиц, корректировки бизнес-процессов и осуществления внутреннего контроля.

Документы должны быть у каждой компании, ИП, физического лица, государственного или муниципального органа и прочих организаций, которые занимаются сбором, обработкой и другими операциями с ПДн. Их тщательно изучают в рамках проверок сотрудники Роскомнадзора и Роструда и при выявлении нарушений накладывают штрафы. Особенно серьезно к данному вопросу следует подойти тем, кто в дальнейшем будет проходить аудит: если не привести политику, журналы, приказы, инструкции и т. д. в соответствие с установленными требованиями, то заключение не выдадут до исправления ошибок.

К сожалению, реалией нашего времени является отсутствие в штате компаний специалиста, хорошо разбирающегося в вопросах обработки и защиты персональных данных, а обучение уже существующего работника предполагает отрыв его от основных обязанностей и налагает серьезные финансовые затраты. Именно поэтому привлечение профессиональных исполнителей на договорной основе является сейчас наиболее выгодным выходом из сложившейся ситуации.

Оказывая полный спектр услуг в сфере обеспечения информационной безопасности, наш Центр предлагает профессиональную помощь в урегулировании любых проблем. С нами разработка документов по защите персональных данных займет минимум времени, не потребует чрезмерных финансовых затрат и выделения сотрудников из штата — наши специалисты подготовят пакет документации на основании предоставленных вами сведений. Сроки и стоимость услуг оговариваются в индивидуальном порядке с учетом объема и сложности работ.

Целесообразность самостоятельной подготовки документации

Обращение к специалистам при необходимости составления организационно-распорядительных документов и приведения их в соответствие с ФЗ-152 — оптимальное решение как для крупной компании, так и для предпринимателя, поскольку:

• весь перечень работ осуществляется в формате аутсорсинга — персонал может продолжать выполнение должностных обязанностей;
• исключена вероятность ошибок, поскольку документы составляют профессионалы, которые разбираются в статьях закона и связанных с ним подзаконных актах;
• от момента заказа услуги до получения документации проходит в среднем 10-20 дней, что позволяет быстро подготовиться к проверкам и аудиторским мероприятиям;
• есть возможность комплексного обслуживания — вы можете поручить сотрудникам центра оценку эффективности ПДн, интеграцию системы защиты персональных данных, аудит и т.д.

Разработка документов по персональным данным в организации согласно действующим правовым нормативам

Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.

Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.

Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

В ходе работ разрабатываются общие документы (концепции, положения, приказы, инструкции, планы, перечни, формы уведомлений и запросов) и индивидуальные для каждой Информационной системы персональных данных документы (модели угроз, описания, акты классификации, технические задания и т.п.)

В зависимости от особенностей деятельности предприятия или ИП, эксперты Центра составляют уведомление в Роскомнадзор о факте обработки персональных данных для включения в реестр, а также разрабатывают индивидуальный пакет документов, который включает:

1. Приказы, определяющие ответственных лиц по вопросам безопасности ПДн, границ зоны контроля, создания режима обеспечения защиты данных и ограничения доступа, организации защитных мероприятий, а также уполномоченных за проведение и анализ результатов внутренних проверок. Также в комплект входят приказы, регулирующие оборот криптографических средств защиты ПДн (если они применяются) и проведение ознакомительных мероприятий для сотрудников.
2. Положения об организации процесса обработки сведений, в том числе без применения средств автоматизации, и обеспечения их безопасности.
3. Списки персональных данных, сотрудников, которые имеют допуск к их обработке, и ИСПДн.
4. Журналы учета сотрудников с правом доступа к СЗПДн (средствам защиты, техническим документам и т.д.), обработке персональных данных, а также проведенным надзорными органами проверок и фиксации обращений субъектов ПДн.
5. Акты, определяющие вероятный вред субъектам персональных данных и оценивающие текущий уровень информационной защищенности.
6. Инструкции по организации работы с персоналом для ознакомления с нормативами законодательства, защиты и правил работы в информационной системе ПДн, внедрения антивирусов и паролей, а также обновления ПО и поведения сотрудников в непредвиденных обстоятельствах.
7. Регламенты осуществления внутреннего контроля на предприятии, реагирования на нарушения и правила обращения с флеш-накопителями и другими машинными носителями ПДн съемного типа.
8. Форма письменного согласия субъекта на обработку личных сведений.

Разрабатываемые документы полностью соответствуют нормам действующего законодательства Российской Федерации о персональных данных.

Этапы взаимодействия с клиентом при заказе услуги

Наш Центр нацелен на предоставление максимально быстрой и квалифицированной помощи, при этом мы в индивидуальном порядке подходим к разработке документации для каждого клиента. Оказание услуги проходит в несколько этапов:

1. Первичная консультация, обсуждение деталей и заключение официального соглашения, где прописаны обязанности и ответственность сторон, сроки и другие важные моменты сотрудничества.
2. Сбор и анализ информации.
3. Подготовка документов по защите персональных данных в течение оговоренного периода. Документация будет адаптирована под вашу деятельность и законодательные нормативы.
4. Передача документации вместе с инструкциями и рекомендациями по интеграции.

Преимущества нашего решения по разработке документов

Вы получите полный комплект документов, регламентирующих вопросы защиты персональных данных для вашей компании, что позволит вам пройти проверки контролирующих органов (Роскомнадзора, Роструда) в области персональных данных.

Комплект документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей организации и состоит более чем из 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

Документы будут разработаны «под ключ» с учетом направления деятельности вашей организации и индивидуальных внутренних бизнес-процессов. Разрабатываемые документы соответствуют нормам действующего законодательства Российской Федерации о персональных данных (учтены изменения, вступившие в силу с 1 сентября 2022 года).

Вы получите шаблоны запросов, уведомлений и писем-ответов, необходимых для взаимодействия с контролирующими органами, субъектами персональных данных и третьими лицами.

Вы получите общее понимание вопросов обработки персональных данных и представление о дальнейших действиях по построению комплексной системы защиты персональных данных.

Приведем обработку персональных данных в вашей компании в соответствие требованиям Федерального закона №152-ФЗ

Заказать подготовку

Документы, регламентирующие обработку персональных данных | Какие документы регламентируют обработку и защиту ПДн в РФ

Документы, регламентирующие обработку персональных данных, принимаются на уровне государства и его органов и на уровне организаций, признаваемых в установленном законом порядке операторами персональных данных. Выполнение содержащихся в них требований проверяется Роскомнадзором и другими уполномоченными органами.

Нормативно-правовые документы

Российское законодательство признает приоритет норм международного права над национальным, в случае если страной ратифицированы международные документы, регламентирующие определенную сферу. Это могут быть соглашения или конвенции. В области обработки персональных данных таких наднациональных норм нет. Внутреннее законодательство может соответствовать международному, тем не менее первенство в выборе способов обработки персональных данных остается за ним.

Основным документом, определяющим правила обработки данных, является Федеральный закон «О персональных данных». Также определенные нормы, содержащие правила обработки данных работников, есть в Трудовом кодексе РФ. Вопросы защиты данных, предоставляемых лицами, получившими услуги медицинских учреждений, частично регламентируются нормами закона «Об охране здоровья граждан». Для государственных служащих актуальными являются нормы Постановления Правительства Российской Федерации № 211.

Нормы технической защиты информационных систем персональных данных и условия их обработки следует искать в Постановлении Правительства № 1119. Оно определяет степень защищенности систем, в которых происходит обработка данных. Больше технических регламентов надо искать в нормативных актах ФСТЭК России и ФСБ РФ. Интересно, что с момента появления в российском правовом поле понятия обработки ПД было принято более 3 000 различных актов, включая письма и разъяснения, регламентирующие эти вопросы. Большая часть из них принимается в отношении региональных исполнительных органов.

 

Документы муниципальных и государственных органов

Исходя из норм Постановления Правительства РФ № 211, государственный или муниципальный орган обязан разработать и утвердить собственный перечень стандартов, регламентирующих правила обработки персональных данных.

Это следующие документы:

• Правила обработки. Они определяют процедуры, направленные на выявление нарушений закона в этой сфере, категории субъектов, правила обработки, хранения и уничтожения данных;
• Правила рассмотрения запросов, направляемых субъектами данных;
• Правила работы с обезличенной информацией;
• Перечень имеющихся в распоряжении государственного или муниципального органа информационных систем;
• Перечень сведений, обработка которых происходит исходя из требований кадрового документооборота и выполнения обязанностей по оказанию государственных услуг;
• Перечень должностей ответственных госслужащих;
• Должностной регламент ответственного лица;
• Типовое обязательство о неразглашении ПД;
• Формы согласия и разъяснения последствий отказа от предоставления сведений для обработки;
• Порядок доступа к информации.

Основные документы обязательно публикуются на сайте органа. Контроль над их существованием, содержанием и выполнением производится и в рамках государственной исполнительной вертикали, и уполномоченными органами.

Документы организации

На уровне компании в рамках реализации норм законодательства, определяющего правила обработки персональных данных, разрабатывается собственный пакет документов. Обычно это Положение об условиях обработки, приказы о назначении лица, ответственного за организацию этой работы, и форма согласия на обработку. Иногда перечень расширяется, если за образец принимается система, действующая для государственных организаций.

Положение

Оно является основополагающим документом, определяющим права и обязанности организации и субъекта персональных данных в области их обработки и защиты информации. Положение определяет все допустимые для компании способы обработки сведений, ее цель, права субъекта на информирование о порядке обработки, право на отзыв согласия и другие нормы. Здесь же могут быть перечислены имеющиеся угрозы безопасности, также освещаемые в модели угроз, являющейся документом, обязательным для технических служб. Утверждение положения происходит на уровне руководства компании.

 

 

Приказ

Приказ является первичным документом, определяющим сотрудника компании, на которого возложена обязанность по обеспечению практики обработки данных нормативных документов. Назначение такого лица является обязательным для разграничения сфер ответственности. Крупные компании, которые иногда создают подразделения, чья деятельность посвящена вопросам обеспечения безопасности персональных данных, готовят также положение о департаменте или управлении.

Согласие

Каждый человек, предоставляющий данные на обработку операторам, подписывает свое согласие на осуществление организацией этой деятельности. В согласии указываются способы и цели обработки. Форма его может быть разработана самостоятельно, можно воспользоваться форматами, рекомендованными для государственных органов или разработанными крупными корпорациями.

Отказ от выполнения требований документов, регламентирующих обработку персональных данных, как госорганами, так и частными компаниями приводит к административным штрафам и другим неблагоприятным последствиям. Непринятие на уровне фирмы собственного положения также станет основанием для вынесения предписания в ходе проверки.

Документы по персональным данным — организация учета и хранения

Рекомендации по подготовке документации в соответствии с 152-ФЗ

Проконсультироваться у эксперта

«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

Одна из обязанностей компании согласно ст. 18.1 Закона о персональных данных №152 — своевременно подготовить документы по персональным данным (локальные акты)а так же проводить систематическую внутреннюю проверку защиты персональных данных. С другой стороны, не менее важно  провести мероприятия по подготовке документов и грамотно организовать учет и хранение персональных данных.

На практике мы часто сталкиваемся с непониманием двух моментов:  какие сведения относить к категории обрабатываемых персональных данных? Какие сведения персональными данными не являются. Давайте разбираться.

Что такое персональные данные в организации?

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:

• во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
• во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.

152-ФЗ «О персональных данных»

К примеру, к персональным данным можно отнести:

• • ФИО.
  • Номер телефона.
  • Паспортные данные.
  • Биометрические данные.
  • Страховой номер (СНИЛС).
  • Личный номер налогоплательщика(ИНН).
  • Пароли для доступа к социальным сетям.
  • Пароли к электронным банковским, социальным и медицинским кабинетам и др.

Дополнительно, хотелось бы коснуться и определения «обработка персональных данных». Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых операций с использованием средств автоматизации или без применения таковых с персональными данными. Например:  сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Как определить обрабатывает ли организация персональные данные?

Каждая организация должна задать себе вопрос: «а являюсь ли я оператором обработки персональных данных»?

Прежде всего, ответ будет утвердительным в случаях, если:

• Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
• Вы собираете данные клиентов для заключения договоров/выполнения заказов.
• На Вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

В случае, если хотя бы один пункт из указанных присутствует в жизни Вашей компании — стоит подготовить документы по персональным данным.

Какие виды документов по персональным данным бывают?

В своей работе организация должна использовать три вида документов по защите персональных данных.  К ним относятся: организационные, технологические и методические.

Следовательно, первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы. Подробнее о форме согласия на обработку персональных данных  мы говорили в цикле статей по данной теме.

Документы по персональным данным

Между тем, технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.

В свою очередь, методические файлы конкретизируют процесс защиты персональных данных работниках, определяют порядок работы с документами, содержащими приватные данные о сотрудниках, в стандартных ситуациях. Таким документом являются правила работы с ПДн.

Сформированные документы по персональным данным утверждает руководитель компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

С чего начать подготовку документов по персональным данным?

В первую очередь стоит обратить внимание на создание политики конфиденциальности.  Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных».

Положение обязательно содержит следующие сведения:

• перечень обрабатываемых ПДн;
• цели их обработки;
• список действий с ПДн;
• перечень действий с ними;
• права и обязанности сотрудников при работе с ПДн;
• порядок обработки ПДн, в том числе хранения, использования и передачи;
• возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Специалисты ПД Мастер готовы помочь и поддержать Вас на каждом этапе разработки документации в соответствии с 152-ФЗ. Поделитесь подробностями о стоящих задачах в области безопасности персональных данных, и наша команда найдет для Вас решение

Какие еще обязательные документы по персональным данным стоит подготовить?

Дополнительно обязательным для организаций документом является приказ о назначении ответственного за обработку персональных данных. В качестве такого лица может выступить любой сотрудник компании. Закон не предъявляет требований к его квалификации.

Кроме того, работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда персональные данные сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Перед началом обработки ПДн оператор обработки персональных данных направляет в Роскомнадзор уведомление об обработке персональных данных. Однако стоит знать: работодатель от такой обязанности освобожден несмотря на то, каким способом им обрабатываются сведения сотрудников. Даже если это происходит в автоматизированном режиме, нормы 152-ФЗ не действуют, но только если Вы не обрабатываете данные иных лиц.

Нередки случаи, когда должностные данные работников передаются третьим лицам — аутсорсинговым компаниям. Поэтому в этой ситуации с третьей стороной заключается договор на оказание услуг, в котором нужно указать:

• перечень делегированных ему действий с ПД;
• его цели обработки персональных данных;
• его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
• требования к защите им ПД.

Ограничение круга лиц, имеющих доступ к персональным данным

Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Как правило, он утверждается дополнительным приказом об обработке персональных данных. Приказ подписывается руководителем. Обычно в такой список попадают сам руководитель организации и его заместители. В некоторых случаях сотрудники отдела кадров и бухгалтерии, юрист и представители службы безопасности.

Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

Подытожим — какие же действия должны быть предприняты организацией по учету и хранению персональных данных в организации:

1. Во-первых, должен быть издан локальный акт, регулирующий порядок хранения и использования персональных данных. Обычно этим документом является «Положение о персональных данных».
2. Во-вторых, должен быть утвержден документ, содержащий перечень персональных данных, которые используются в деятельности организации.
3. В-третьих, отдельным приказом должны быть назначены ответственные за работу с персональными данными. Отдельным приказом назначаются и ответственные за обеспечение безопасности персональных данных.
4. В-четвертых, должны быть подготовлены: заявления о согласии на обработку персональных данных; журналы учета персональных данных, их выдачи, передачи другим лицам; журналы проверок наличия документов содержащих персональные данные.
5. В-пятых, отдельным приказом должны быть установлены места хранения документации, а так же меры, необходимые для обеспечения сохранности персональных данных . Как правило, такими местами являются сейфы, которые запираются на замок или опечатываются.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании. Это целый пакет файлов, требующих время на подготовку и обладание соответствующей квалификацией людей их подготавливающих. Именно такими качествами и обладает команда «ПД Мастера».

Подготовка документации по персональным данным — весьма трудозатратный процесс. Начав с Положения о персональных данных, Вы определите, какие личные сведения придется собирать, как их после этого хранить, обрабатывать и защищать.

В заключение: помните, что процесс касается персональных данных всех категорий граждан. Как работников организации, так и ее клиентов. Раскрытие персональных данных их носителей недопустимо как с законной, так и с этической точки зрения. Поэтому, если Вы не уверены в своих силах в подготовке  документации, такой процесс стоит доверить набившим руку на этом специалистам. Для этого заполните форму записи на консультации ниже.

Здесь можно задавать свои вопросы

«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

Документ, определяющий политику в отношении обработки персональных данных

Документ, определяющий политику в отношении обработки персональных данных — Sterngoff Audit

ООО «Sterngoff Audit» использует cookie (файлы с данными о прошлых посещениях сайта) для персонализации сервисов и удобства пользователей. Мы серьезно относимся к защите персональных данных — ознакомьтесь с условиями и принципами их обработки.

Общие положения

1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые администрация сайта sterngoff.com в лице ООО «Штернгофф Аудит» (далее – Администрация) может получить от субъектов персональных данных.

1.2 Политика распространяется на персональные данные, полученные как до, так и после подписания настоящей Политики.

Состав обрабатываемых

персональных данных

2.1 Сведениями, составляющими персональные данные, в Администрации является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2 Под персональными данными подразумеваются следующие данные полученные от субъектов персональных данных:

• Имя субъекта персональных данных.
• Адрес местонахождения субъекта персональных данных.
• Номер(а) телефонов субъекта персональных данных.
• Иные персональные данные.

Правовые основания

обработки персональных
данных

3.1 Администрация осуществляет обработку персональных данных субъектов руководствуясь: Конституцией Российской Федерации; статьями 86-90 Трудового кодекса Российской Федерации; статьей 6 (пункт 2 части 1) Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Цели обработки

персональных данных

4.1 Администрация обрабатывает персональные данные субъектов персональных данных в следующих целях:

• Выполнение возложенных на Администрацию обязательств по обработке и выполнению заявок, переданных субъектами персональных данных через онлайн-формы сайта sterngoff. com.
• Обеспечение информирования субъекта персональных данных о проводимых мероприятиях в Администрации.

Права

и обязанности

5.1 Права и обязанности Администрации.

5.1.1 Администрация как оператор персональных данных вправе:

• Отстаивать свои интересы в суде.
• Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
• Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
• Использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

5.1.6 Администрация как оператор персональных данных обязан:

• Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

5.2 Права субъекта персональных данных.

5.2.1 Субъект персональных данных имеет право:

• Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• Требовать перечень своих персональных данных, обрабатываемых Администрацией и источник их получения.
• Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.
• Требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
• Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
• На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Принципы

и условия обработки
персональных данных

6.1 Обработка персональных данных Администрацией осуществляется на основе принципов:

• Законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Администрации.
• Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
• Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
• Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.
• Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
• Уничтожения по достижении целей обработки персональных данных и в случае утраты необходимости в их достижении.

6.2 Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

Обеспечение безопасности

персональных данных

7.1 При обработке персональных данных Администрация принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Заключительные

положения

8.1 Настоящая Политика является внутренним документом Администрации, общедоступной и подлежит размещению на официальном сайте Администрации.

8.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.

8.3 Контроль исполнения требований настоящей Политики осуществляется Администрацией.

8.4 Ответственность работников Администрации, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Администрации.

!Файл этого типа запрещен прикреплён

Заявка на услугу аудита

Компания

ИНН

Вид услуги

Название программы

Сумма выручки за период

Требуется ли аудит по МСФО (IFRS, HB II)?

Имя и фамилия

Номер телефона

E-mail

Если вы хотите приложить к сообщению файлы, можете загрузить их тут:

Выберите файл

Нажимая на кнопку, я принимаю Политику конфиденциальности, а также выражаю свое согласие с обработкой данных ООО «Штернгофф Аудит».

Спасибо за заявку!

Ваша заявка успешно принята.

Спасибо за подписку!

Задать вопрос аудитору

Об обработке и защите персональных данных — Хиславичская районная больница

                                                                                                    

 

Приложение № 2     

                                                                                                                

           «СОГЛАСОВАНО»                                                                              «УТВЕРЖДАЮ»

Председатель профсоюзной организации                         Главный врач ОГБУЗ «Хиславичская ЦРБ»

_________________Бурова Г.А.                               ____________________Шевелева Е.Л.

«      »               2020 год.                                            «     »                   2020 год.

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных работников ОГБУЗ «Хиславичская ЦРБ»и пациентов

 Утверждено Приказом ОГБУЗ «Хиславичская ЦРБ» от 05 января 2020 г. N 191

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ОГБУЗ «Хиславичская ЦРБ и пациентов. Под работниками подразумеваются лица, заключившие трудовой договор с ОГБУЗ «Хиславичская ЦРБ, под пациентами лица, обратившиеся за медицинской помощью или находящиеся под медицинским наблюдением.

1.2. Цель настоящего Положения — защита персональных данных работников ОГБУЗ «Хиславичская ЦРБ» и пациентов от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются руководителем организации и вводятся приказом по организации. Все работники организации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. Состав персональных данных работника:

— анкета; автобиография; декларации, подаваемой в налоговую инспекцию; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; копии отчетов, направляемые в органы статистики; копии документов об образовании; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; фотографии и иные сведения, относящиеся к персональным данным работника; рекомендации, характеристики и т. п.

2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 летнего  срока хранения, если иное не определено законом; образование; сведения о трудовом и общем стаже; сведения о предыдущем месте работы; сведения о составе семьи; паспортные данные; сведения о воинском учете; сведения о заработной плате сотрудника; сведения о социальных льготах; специальность; занимаемая должность; размер заработной платы; наличие судимостей; адрес места жительства; домашний телефон; содержание трудового договора; содержание

.

3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. При определении объема и содержания обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

3.1.8. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

4. ОБЯЗАННОСТИ РАБОТНИКА

Работник обязан:

4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.

4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.

5. ПРАВА РАБОТНИКА

Работник имеет право:

5.1. На полную информацию о своих персональных данных и обработке этих данных.

5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.

5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.

5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

5.7. Определять своих представителей для защиты своих персональных данных.

 

6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.5. При поступлении на работу работник заполняет анкету и автобиографию.

6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.

6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.

6.5.3. Автобиография — документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.

6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.

6.5.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.

6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.

6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.

6.5.8. К каждому личному делу прилагаются две цветные фотографии работника размером 3х4 см.

6.5.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.

6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

 

 

 

 

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

 

8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА

8. 1. Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным сотрудника имеют:

— руководитель организации;

— главный бухгалтер;

— специалист отдела кадров;

-специалист по охране труда;

-бухгалтер по заработной плате;

бухгалтер.

— руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия;

— при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;

— сотрудники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;

— сам работник, носитель данных.

8.2. Внешний доступ.

Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:

— налоговые инспекции;

— правоохранительные органы;

— органы статистики;

— страховые организации;

— военкоматы;

— органы социального страхования;

— пенсионные фонды;

— подразделения государственных органов управления.

8.3. Другие организации.

Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.

8.4. Родственники и члены семей.

Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

 

9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.

9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.

9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

 

10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,

СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

  Главный врач________________________________________ Е.Л.Шевелева

  Главный бухгалтер  __________________________________С. А.Василькова

 Специалист отдела кадров ____________________________В.В. Жирнова

 Специалист по охране труда___________________________Д.В.Щербаков

 Бухгалтер по заработной плате_________________________ Т.М.Жучкова

 Бухгалтер ___________________________________________ И.В.Калинина

 

11. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

 ОГБУЗ «Хиславичская ЦРБ»

11.1.Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его.

Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.

Уголовно-правовая защита такого рода сведений реализована в ст. 137 УК РФ. Название нормы позволяет распространить ее на все виды сведений о фактах, обстоятельствах и событиях частной жизни гражданина.

Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:

— данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;

— паспортные данные, СНИЛС, полис ОМС, место работы, место регистрации и фактического пребывания;

— данные о родственниках и иных близких людях;

— сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.). 

Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди).

Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.

В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23–24 Конституции РФ.

12.ПРАВА ПАЦИЕНТА

Перечень информации, которую вправе запросить пациент, чьи данные обрабатываются, установлен в ч.7 ст. 14 Закона №152-ФЗ. В перечень входят:  цели обработки, источники получения данных, сроки их хранения, данные о лице, которому поручена обработка, и т.д. Медорганизация должна предоставить информацию в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152 – ФЗ).

 

                                         

 

13.ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ПАЦИЕНТА

Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным пациента имеют:

— оператор ЭВМ;

-медицинский статистик;

— медрегистратор;

-программист;

— медицинская сестра по приему вызовов.

 

 

 

 

14. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,

СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПАЦИЕНТОВ

ОГБУЗ «Хиславичская ЦРБ»

14.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

 Оператор ЭВМ _____________________________ Л.Ю.Данченкова

 Медицинский статистик  __________________________ Г.А.Петрушенкова

 Медрегистратор _____________________________ М.Н.Зуева

 Медрегистратор _____________________________  Л.Ф.Коваль

 Программист  _______________________________  Д.М.Бобык

Медицинская сестра по приему вызовов _____________________________  Н.И.Зеликова

Медицинская сестра по приему вызовов _____________________________  Г. В.Леванкова

Медицинская сестра по приему вызовов _____________________________  Л.Л.Никифорова

Медицинская сестра по приему вызовов _____________________________  Г.А.Вячистая

Перечень обязательных документов, требуемых GDPR

Документирование деятельности по обработке данных является новым юридическим требованием в соответствии с GDPR ЕС (Общее положение о защите данных).

Документирование ваших действий по обработке также может способствовать эффективному управлению данными и поможет вам продемонстрировать соблюдение других аспектов GDPR.

В этом посте мы перечислили всю документацию, политики и процедуры, которые должны быть у вас, если вы хотите полностью соответствовать GDPR.

---

---

Политика защиты персональных данных (Статья 24)

Политика защиты данных — это заявление, в котором указывается, как ваша организация защищает личные данные.

В нем объясняются требования GDPR к вашим сотрудникам и демонстрируется приверженность вашей организации их соблюдению.

Если вы не уверены, что должна включать ваша политика защиты данных, этот шаблон поможет вам создать ее за считанные минуты.

См. также: Как написать политику защиты данных GDPR – с примерами шаблонов с) принципы обработки данных GDPR.

Являясь неотъемлемой частью соблюдения нормативных требований, он служит двум целям: повышению прозрачности и предоставлению людям большего контроля над тем, как используются их данные.

Наш настраиваемый шаблон поможет вам создать уведомление о конфиденциальности всего за несколько минут.

См. также: Как написать уведомление о конфиденциальности данных GDPR – с примером шаблона

---

Уведомление о конфиденциальности сотрудников (статьи 12, 12, 13 и 14 GDPR) 90 более прозрачно и открыто, чем когда-либо прежде, в отношении обрабатываемых вами данных о сотрудниках.

Основным принципом GDPR для работодателей также является справедливая и прозрачная обработка данных, связанных с персоналом. Уведомление о конфиденциальности сотрудников является важным шагом на пути к соблюдению требований. В нем объясняется, как контролер данных (в данном случае ваша организация) обрабатывает личные данные сотрудника.

---

Политика хранения данных (статьи 5, 13, 17 и 30)

Политика хранения данных (или записей) описывает протокол вашей организации для хранения информации.

Очень важно, чтобы ваша организация хранила данные только до тех пор, пока они необходимы.

Это связано с тем, что хранение данных дольше, чем необходимо, может занять ценное место для хранения и привести к ненужным расходам.

При написании политики хранения данных необходимо учитывать два ключевых фактора:

1) Как вы собираетесь организовать информацию, чтобы к ней можно было получить доступ позже; и

2) Как вы будете избавляться от информации, которая больше не нужна.

См. также: Основные советы по хранению данных в соответствии с GDPR

---

График хранения данных (статья 30)

длинные элементы данных должны быть сохранены.

В нем также содержатся рекомендации по удалению элементов данных.

Вы можете создать график хранения и утилизации в соответствии с GDPR за считанные минуты с помощью наших простых в использовании и настраиваемых шаблонов, разработанных нашими экспертами-практиками GDPR.

---

Форма согласия субъекта данных (статьи 6, 7 и 9)

Согласие является одним из законных оснований для обработки персональных данных, и явное согласие может также узаконить использование данных особой категории.

Если ваша организация обрабатывает персональные данные для определенной цели, вы должны получить разрешение от соответствующих субъектов данных с помощью формы согласия.

Согласие в соответствии с GDPR часто неправильно понимают и используют неправильно.

Ниже мы изложили рекомендации по написанию формы согласия GDPR.

Не знаете, что должны включать ваши процедуры получения согласия?

Наши простые в использовании и настраиваемые шаблоны помогут вам создать процедуру получения согласия в соответствии с GDPR за считанные минуты.

---

Соглашение об обработке данных поставщика (статьи 28, 32 и 82)

Если вы используете другую организацию (т. с этим подпроцессором.

Это называется соглашением об обработке данных с поставщиком.

---

Реестр DPIA (статья 35)

Реестр DPIA используется для документирования анализа воздействия на защиту данных (DPIA) вашей организации.

Чтобы узнать больше о том, как проводить DPIA, посетите нашу информационную страницу: Оценка воздействия на защиту данных в соответствии с GDPR.

Процедура реагирования и уведомления о утечке данных (статьи 4, 33 и 34)

Вы должны создать процедуру, которая применяется в случае утечки персональных данных в соответствии со статьей 33 – «Уведомление надзорного органа о утечке персональных данных». органом» — и статьей 34 GDPR — «Сообщение субъекта данных об утечке персональных данных».

Ниже приведен пример того, как может выглядеть уведомление об утечке данных,  доступный в ведущем на рынке наборе инструментов для документации GDPR ЕС:

Чтобы получить помощь в написании процедуры уведомления об утечке данных, см. : Как написать процедуру уведомления об утечке данных GDPR — с примером шаблона.

---

Реестр утечек данных (Статья 33)

Вы должны вести внутреннюю запись всех утечек личных данных в Реестре утечек данных.

Реестр утечки данных должен содержать подробную информацию о фактах, связанных с утечкой, последствиях утечки и любых предпринятых мерах по исправлению положения.

---

Форма уведомления об утечке данных в надзорный орган (Статья 33)

Если вы столкнулись с утечкой персональных данных, о которой необходимо сообщить в ICO, вам необходимо заполнить соответствующую форму уведомления об утечке данных.

Для получения дополнительной информации о сообщении об утечке данных посетите веб-сайт ICO.

---

Форма уведомления о нарушении данных для субъектов данных (статья 34)

Вам необходимо будет заполнить форму уведомления о нарушении данных для субъектов данных, если вы столкнулись с утечкой персональных данных, которая может привести к «высокому риску права и свободы» человека.

---

Некоторые документы GDPR применимы только при определенных условиях, в том числе:

---

Должностная инструкция сотрудника по защите данных (статьи 37, 38 и 39)

Вам необходимо назначить DPO, если:

0 является государственным органом или органом, за исключением судов, действующих в своем судебном качестве;

Ваша основная деятельность состоит из операций по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

Ваша основная деятельность обрабатывает крупномасштабные специальные категории данных и персональных данных, касающихся уголовных судимостей и правонарушений.

---

Инвентаризация перерабатывающей деятельности (Статья 30)

Этот документ является обязательным, если:

• В вашей организации работает более 250 сотрудников; или
• Осуществляемая вами обработка может привести к риску для прав и свобод субъектов данных; или
• Обработка не разовая; или
• Обработка включает специальные категории данных; или
• Обработка включает персональные данные, касающиеся уголовных судимостей и правонарушений.

---

Стандартные договорные положения о передаче персональных данных контролерам (статья 46)

Этот документ является обязательным, если вы передаете личные данные в государство, не входящее в ЕС, и вы полагаетесь на типовые положения как на законные основания для трансграничной передачи данных.

---

Стандартные договорные положения о передаче персональных данных обработчикам (Статья 46)

Этот документ является обязательным, если вы передаете персональные данные обработчику за пределами Европейской экономической зоны (ЕЭЗ) и полагаетесь на типовые положения в качестве ваши законные основания для трансграничной передачи данных.

---

Быстро выполняйте требования и избегайте дорогостоящих консультаций с помощью ведущего на рынке инструментария GDPR.

Написанный юристами и экспертами-практиками, это наиболее полный набор инструментов на рынке, содержащий все политики и процедуры GDPR, необходимые для демонстрации соответствия при значительном снижении затрат на внедрение.

Более 3000 организаций по всему миру уже используют инструментарий GDPR для упрощения и ускорения своих проектов. Если вам нужна помощь в соблюдении GDPR, этот набор инструментов для вас.

Начало работы

---

Версия этого блога была первоначально опубликована 14 сентября 2017 г.

Создание руководства по конфиденциальности » Национальная комиссия по конфиденциальности

NPC использует стороннюю службу для анализа неидентифицируемых данных веб-трафика для нас. Этот сервис использует файлы cookie. Сгенерированные данные не передаются какой-либо другой стороне. Для получения дополнительной информации ознакомьтесь с нашей Политикой конфиденциальности.

• Фон
• Введение
• Определение терминов
• Область применения и ограничения
• Обработка персональных данных
• Меры безопасности
• Взлом и инциденты безопасности
• Запросы и жалобы
• Эффективность
• Приложения

Общая информация

Республиканский закон № 10173, также известный как Закон о конфиденциальности данных от 2012 г. (DPA), направлен на защиту персональных данных в информационных и коммуникационных системах как в государственном, так и в частном секторе.

Он гарантирует, что субъекты или организации, обрабатывающие персональные данные, разработают политику и реализуют меры и процедуры, которые гарантируют безопасность и безопасность персональных данных, находящихся под их контролем или хранением, тем самым защищая права человека на конфиденциальность данных. Контроллеру личной информации или обработчику личной информации поручено принять разумные и надлежащие меры для защиты личных данных от естественных опасностей, таких как случайная потеря или уничтожение, и человеческих опасностей, таких как незаконный доступ, мошенническое неправомерное использование, незаконное уничтожение, изменение и заражение.

Чтобы проинформировать свой персонал о таких мерах, каждый контролер личной информации или обработчик личной информации должен подготовить Руководство по конфиденциальности. Руководство служит руководством или справочником для обеспечения соблюдения организацией или юридическим лицом DPA, его правил и положений по реализации (IRR) и других соответствующих документов Национальной комиссии по конфиденциальности (NPC). Он также включает в себя протоколы конфиденциальности и защиты данных, которые необходимо соблюдать и выполнять внутри организации при определенных обстоятельствах (например, от сбора до уничтожения), направленные на выполнение и реализацию прав субъектов данных.

Вернуться к началу

Введение

В этом разделе заложена основа руководства. Следовательно, он должен предоставлять обзор DPA, его IRR и других политик, которые относятся к защите данных и которые имеют отношение к отрасли или сектору организации, а также к транзакциям, которые она регулярно выполняет.

Вкратце, следует обсудить, как организация соблюдает принципы конфиденциальности данных и защищает права субъектов данных, оба из которых изложены в DPA.

Важно, чтобы эта часть убедила пользователя или читателя, почему организации необходимо иметь Руководство по конфиденциальности.

Пример:

• Настоящее Руководство по конфиденциальности принимается в соответствии с Республиканским законом № 10173 или Законом о конфиденциальности данных от 2012 г. (DPA), его правилами и положениями о применении и другими соответствующими политиками, включая постановления Национальной комиссии по конфиденциальности. Эта организация уважает и ценит ваши права на конфиденциальность данных и следит за тем, чтобы все личные данные, полученные от вас, наших клиентов и клиентов, обрабатывались в соответствии с общими принципами прозрачности, законной цели и пропорциональности.

  Это руководство информирует вас о наших мерах по защите и безопасности данных и может служить вашим руководством при осуществлении ваших прав в соответствии с DPA.

Вернуться к началу

Определение терминов

Термины, используемые в Руководстве, должны быть определены для согласованности и единообразия в использовании. Эта часть позволит убедиться в этом и позволит пользователям Руководства понять слова, утверждения и понятия, используемые в документе.

Примеры:

• «Субъект данных» — относится к физическому лицу, чья личная, конфиденциальная личная или привилегированная информация обрабатывается организацией. Это может относиться к должностным лицам, сотрудникам, консультантам и клиентам этой организации.
• «Личная информация» — относится к любой информации, независимо от того, записана она в материальной форме или нет, из которой личность человека очевидна или может быть разумно и непосредственно установлена ​​лицом, владеющим информацией, или в сочетании с другой информацией может прямо и определенно идентифицировать личность.
• «Обработка» относится к любой операции или любому набору операций, выполняемых с личной информацией, включая, помимо прочего, сбор, запись, организацию, хранение, обновление или модификацию, извлечение, консультацию, использование, консолидацию, блокирование, стирание или уничтожение. данных.

Вернуться к началу

Область применения и ограничения

В этом разделе определяется охват Руководства. Учитывая, что документ по существу является внутренним изданием и предназначен для использования и применения сотрудниками или персоналом организации, здесь следует подчеркнуть этот факт.

Обратите внимание, что было бы полезно разработать отдельное Руководство по конфиденциальности, предназначенное для внешнего использования или для лиц, имеющих дело с организацией. В этой версии может быть опущена определенная информация, особенно та, которая относится к внутренним политикам или процессам, относящимся только к персоналу организации.

Примеры:

Вернуться к началу

Обработка персональных данных

В этом разделе представлены различные жизненные циклы данных (или системы обработки), существующие в организации — от сбора персональных данных до их фактического использования. , хранение или хранение и уничтожение.

1. Сбор (например, тип собираемых данных, способ сбора, лицо, собирающее информацию и т. д.)

   Пример:

   • Эта компания собирает основную контактную информацию клиентов и клиентов, включая их полное имя, адрес, адрес электронной почты, контактный номер, а также продукты, которые они хотели бы приобрести. Торговый представитель, обслуживающий клиентов, будет собирать такую ​​информацию с помощью заполненных форм заказа.

2. Использовать

   Пример:

3. Хранение, хранение и уничтожение (например, средства хранения, меры безопасности, форма хранимой информации, срок хранения, порядок уничтожения и т. д.)

   Пример:

   • Эта компания обеспечивает защиту персональных данных, находящихся на ее хранении, от любого случайного или незаконного уничтожения, изменения и раскрытия, а также от любой другой незаконной обработки. Компания примет соответствующие меры безопасности при хранении собранной личной информации в зависимости от характера информации. Вся собранная информация не должна храниться в течение периода, превышающего один (1) год. По истечении одного (1) года все печатные и электронные копии личной информации должны быть утилизированы и уничтожены с помощью защищенных средств.

4. Доступ (например, персонал, уполномоченный на доступ к персональным данным, цель доступа, режим доступа, запрос на изменение персональных данных и т. д.)

   Пример:

   • Из-за деликатного и конфиденциального характера личных данных, находящихся на хранении компании, только клиент и уполномоченный представитель компании могут иметь доступ к таким личным данным для любых целей, кроме тех, которые противоречат закону. , государственная политика, общественный порядок или мораль.

5. Раскрытие и обмен (например, лица, которым передаются личные данные, раскрытие политики и процессов, аутсорсинг и субподряд и т. д.)

   Пример:

   • Все сотрудники и персонал компании обязаны сохранять конфиденциальность и секретность всех персональных данных, которые становятся им известны и находятся в их распоряжении, даже после увольнения, расторжения договора или иных договорных отношений. Персональные данные, находящиеся на хранении компании, должны раскрываться только в соответствии с законной целью и уполномоченным получателям таких данных.

Вернуться к началу

Меры безопасности

В качестве контролера или обработчика личной информации организация должна применять разумные и надлежащие физические, технические и организационные меры для защиты личных данных. Меры безопасности направлены на обеспечение доступности, целостности и конфиденциальности персональных данных и их защиту от естественных опасностей, таких как случайная потеря или уничтожение, и человеческих опасностей, таких как незаконный доступ, мошенническое неправомерное использование, незаконное уничтожение, изменение и заражение. В этом разделе вы даете общее описание этих мер.

1. Меры безопасности организации

   Каждый контролер персональных данных и обработчик персональных данных должны также учитывать человеческий аспект защиты данных. Положения настоящего раздела должны включать следующее:

   1. Сотрудник по защите данных (DPO) или Сотрудник по соблюдению конфиденциальности (COP)

      Пример:

   2. Функции DPO, COP и/или любого другого ответственного персонала с аналогичными функциями

      Пример:

      • Сотрудник по защите данных должен контролировать соблюдение организацией DPA, IRR и других соответствующих политик, включая проведение оценки воздействия на конфиденциальность, реализацию мер безопасности, инцидент безопасности и протокол нарушения данных, а также запросы и жалобы. процедура.

   3. Проведение тренингов или семинаров для информирования персонала, особенно сотрудника по защите данных, о последних изменениях в области конфиденциальности и безопасности данных

      Пример:

      • Организация должна спонсировать обязательное обучение по конфиденциальности и безопасности данных не реже одного раза в год. Для персонала, непосредственно вовлеченного в обработку персональных данных, руководство должно обеспечить их посещение и участие в соответствующих тренингах и инструктажах так часто, как это необходимо.

   4. Проведение оценки воздействия на конфиденциальность (PIA)

      Пример:

   5. Запись и документирование действий, проводимых DPO или самой организацией, для обеспечения соблюдения DPA, IRR и других соответствующих политик.

      Пример:

      • Организация должна спонсировать обязательное обучение по конфиденциальности и безопасности данных не реже одного раза в год. Для персонала, непосредственно вовлеченного в обработку персональных данных, руководство должно обеспечить их посещение и участие в соответствующих тренингах и инструктажах так часто, как это необходимо.

   6. Обязанность соблюдать конфиденциальность

      Пример:

   7. Обзор руководства по конфиденциальности

      Пример:

2. Меры физической безопасности

   В этой части должны быть описаны процедуры, предназначенные для контроля и ограничения доступа к объекту, содержащему персональные данные, включая действия на нем. Он должен предусматривать фактический дизайн объекта, физическое расположение оборудования и мебели, допустимые способы передачи, а также график и средства хранения и уничтожения данных, среди прочего. Для обеспечения защиты механического уничтожения, подделки и изменения персональных данных, находящихся на хранении организации, от техногенных катастроф, нарушений электроснабжения, внешнего доступа и других подобных угроз в Руководство должны быть включены положения, подобные следующим:

   1. Формат собираемых данных

      Пример:

   2. Тип и место хранения (например, картотечные шкафы, электронная система хранения, комната личных данных/отдельная комната или часть существующей комнаты)

      Пример:

   3. Процедура доступа персонала агентства

      Пример:

   4. Мониторинг и ограничение доступа в помещение или помещение

      Пример:

      • Весь персонал, которому разрешено входить и получать доступ к комнате данных или объекту, должен заполнить и зарегистрироваться на онлайн-платформе регистрации организации, а также в журнале, размещенном у входа в комнату. В них должны быть указаны дата, время, продолжительность и цель каждого доступа.

   5. Дизайн офисного помещения/рабочего места

      Пример:

   6. Лица, участвующие в обработке, их обязанности и ответственность

      Пример:

   7. Способы передачи персональных данных внутри организации или третьим лицам

      Пример:

   8. Процедура хранения и утилизации

      Пример:

3. Технические меры безопасности

   Каждый контролер персональных данных и каждый обработчик персональных данных должны применять технические меры безопасности, чтобы обеспечить наличие надлежащих и достаточных мер безопасности для защиты обработки персональных данных, в частности, компьютерной сети, включая процессы шифрования и аутентификации, которые контролируют и ограничивают доступ. К ним, в частности, относятся следующие:

   1. Мониторинг нарушений безопасности

      Пример:

   2. Функции безопасности используемого программного обеспечения и приложений

      Пример:

   3. Процесс регулярного тестирования, оценки и оценки эффективности мер безопасности

      Пример:

   4. Шифрование, процесс аутентификации и другие технические меры безопасности, которые контролируют и ограничивают доступ к персональным данным

      Пример:

Вернуться к началу

Утечки и инциденты безопасности

Каждый контролер персональных данных или обработчик персональных данных должен разработать и внедрить политики и процедуры для управления утечками персональных данных, включая инциденты безопасности. В этом разделе должны быть адекватно описаны или изложены такие политики и процедуры, включая следующее:

1. Создание группы реагирования на утечку данных

   Пример:

2. Меры по предотвращению и минимизации нарушений безопасности и инцидентов безопасности

   Пример:

3. Порядок восстановления и восстановления персональных данных

   Пример:

   • Организация должна всегда поддерживать резервный файл для всех личных данных, находящихся под ее контролем. В случае инцидента безопасности или утечки данных он всегда сравнивает резервную копию с затронутым файлом, чтобы определить наличие любых несоответствий или изменений, возникших в результате инцидента или нарушения.

4. Протокол уведомления

   Пример:

5. Процедура документирования и отчетности об инцидентах безопасности или утечке персональных данных

   Пример:

   • Группа реагирования на утечку данных должна подготовить подробную документацию по каждому обнаруженному инциденту или нарушению, а также годовой отчет, который должен быть представлен руководству и NPC в установленный срок.

Вернуться к началу

Запросы и жалобы

Каждый субъект данных имеет право на разумный доступ к своим персональным данным, которые обрабатываются контролером персональных данных или обработчиком персональных данных. Другие доступные права включают: (1) право оспаривать неточность или ошибку в личных данных; (2) право требовать приостановки, изъятия, блокирования, удаления или уничтожения персональных данных; и (3) право подать жалобу и получить возмещение за любой ущерб, понесенный в результате неточного, неполного, устаревшего, ложного, незаконно полученного или несанкционированного использования персональных данных. Соответственно, должна существовать процедура для запросов и жалоб, в которой будут указаны средства, с помощью которых проблемы, документы или формы, представляемые в организацию, должны быть получены и приняты меры. В этом разделе должна быть указана такая процедура.

Пример:

• Субъекты данных могут запрашивать или запрашивать информацию по любому вопросу, касающемуся обработки их личных данных, находящихся под охраной организации, включая политики конфиденциальности и безопасности данных, применяемые для обеспечения защиты их личных данных. Они могут написать в организацию по адресу [email protected] и кратко обсудить запрос, указав свои контактные данные для справки.

  Жалобы должны быть поданы в трех (3) печатных экземплярах или отправлены по адресу [email protected]. Соответствующий отдел или подразделение должно подтвердить у заявителя получение жалобы.

Вернуться к началу

Срок действия

В этом разделе указывается срок действия Наставления, а также любого другого документа, который может издать организация и который имеет силу изменения положений Наставления.

Пример:

• Положения настоящего Руководства вступают в силу с __ дня _______ 2017 г. до тех пор, пока они не будут отозваны или изменены этой компанией на основании решения Совета директоров.

Вернуться к началу

Приложения

В данном разделе указывается срок действия Наставления, а также любого другого документа, который может издать организация и который влечет за собой изменение положений Наставления.

Пример:

1. Форма согласия
2. Сводная форма запроса
3. Форма запроса доступа
4. Уведомление о конфиденциальности
5. Запрос на исправление или удаление

Наверх

Общедоступные данные в соответствии с GDPR: основные соображения

Один из вопросов при применении конкретных положений Общего регламента ЕС по защите данных, включая сами принципы, касающиеся обработки персональных данных и прав субъектов данных, заключается в том, как заставить эти положения работать на практике. когда речь идет об общедоступных личных данных.

Это важно, так как очевидно, что GDPR применяется в полном объеме, независимо от того, являются ли данные общедоступными или нет.

Существуют различные положения GDPR, которые относятся к таким типам данных, но поскольку они охватывают лишь некоторые вопросы, а в связи с отсутствием официальных руководств по конкретным темам необходим более глубокий анализ.

Что говорит GDPR об общедоступных данных?

Прежде всего, из преамбулы GDPR ясно, что необходимо учитывать принцип публичного доступа к официальным документам. Такой доступ к официальным документам может рассматриваться как отвечающий общественным интересам, и личные данные в документах, находящихся в распоряжении государственного органа или государственного органа, должны иметь возможность публично раскрываться этим органом или органом, если раскрытие предусмотрено ЕС или закон государства-члена, которому подчиняется орган государственной власти или государственный орган. Однако такие законы должны увязывать публичный доступ к официальным документам и повторное использование информации государственного сектора с правом на защиту персональных данных.

Это относится только к официальным документам, которые необходимо толковать узко и которые должны в основном относиться к деятельности людей, действующих в официальном качестве от имени таких органов или в составе официальных органов и учреждений. Очевидно, что такие документы и информация подлежат раскрытию и дальнейшей обработке в соответствии с этими целями.

Во-вторых, GDPR, ссылаясь на информацию, которая должна быть предоставлена, если персональные данные не были получены от субъекта данных, который должен включать источник персональных данных, также говорит, что необходимо раскрыть, были ли данные получены от общедоступные источники.

Следовательно, нет сомнений в том, что, когда персональные данные поступают из общедоступных источников, субъекты данных должны быть уведомлены в соответствии со статьей 14. 

Существуют также правила, которые применяются к особым категориям требования к общедоступным данным. То есть, в соответствии со статьей 9, если обработка относится к персональным данным, которые явно обнародованы субъектом данных, без явного согласия или других правовых оснований, перечисленных в статье 9.(в основном конкретные законы и постановления или установление, осуществление или защита правовых требований).

С другой стороны, такие данные должны быть обнародованы субъектом данных, и более того, явно обнародованы, чтобы указать, что они желают и ожидают, что такие данные будут обрабатываться в дальнейшем. Нет необходимости упоминать, что все другие положения, включая принципы и статью 6, по-прежнему применяются, а также персональные данные могут обрабатываться только в том случае, если цель обработки не может быть разумно достигнута другими средствами.

И последнее, но не менее важное: GDPR содержит специальные положения, касающиеся права на забвение и общедоступных данных. Нет сомнений в том, что это право будет применяться в полной мере, и в дополнение к этому контролер, который сделал персональные данные общедоступными, должен принять разумные меры, в том числе технические меры, для информирования других контролеров, обрабатывающих персональные данные, о том, что субъект данных потребовала от таких контролеров удаления любых ссылок, копирования или репликации этих персональных данных.

Какова обычная правовая основа?

Принимая во внимание вышеизложенное, становится ясно, что могут обрабатываться как общедоступные данные, так и положения GDPR, применимые к таким данным. Это также означает, что правовая основа должна быть установлена ​​с самого начала, задокументирована и включена в соответствующие оценки (например, оценки воздействия на защиту данных), а также доведена до сведения субъектов данных.

Может быть множество различных сценариев использования таких данных, и теоретически могут применяться различные типы правовых основ. Можно представить, что субъект данных дает согласие или заключает соглашение, в соответствии с которым некоторые компании (контролеры) будут собирать и компилировать общедоступные данные об этом лице. Это может быть в интересах субъекта данных, когда, например, это лицо широко известно и хотело бы увидеть соответствующие тенденции и оценить их влияние на широкую аудиторию. Могут быть также специальные законы и положения, требующие сбора или анализа некоторых данных, или законы, предусматривающие некоторые исключения, например, для журналистских, академических, художественных или литературных целей.

Однако чаще всего контролеры данных, использующие общедоступную информацию, полагаются на законные интересы.

Насколько важен контекст и что следует включить в балансировочный тест ?

Как указано Рабочей группой по защите данных в соответствии со статьей 29, понятие законного интереса может включать широкий спектр интересов, будь то тривиальные или очень убедительные, простые или более спорные. Затем на втором этапе, когда дело доходит до уравновешивания этих интересов с интересами и основными правами субъектов данных, следует использовать более ограниченный подход и более содержательный анализ. Несмотря на то, что это заключение было опубликовано в соответствии с Европейской директивой о защите данных, эти соображения по-прежнему будут полностью действительными и актуальными. В нем также подчеркивается, что не существует полного разрешения на повторное использование и дальнейшую обработку общедоступных персональных данных.

Одним из конкретных примеров в пользу обнародования данных может быть случай публикации данных в целях прозрачности и подотчетности, когда публичное раскрытие осуществляется в первую очередь не в интересах контролера, который публикует данные, а скорее в интересах других заинтересованных сторон, таких как сотрудники, журналисты или широкая общественность, которым раскрываются данные. В целом, однако, мнение указывает на то, что желательно, чтобы личная информация была раскрыта общественности на основании закона, разрешающего и, когда это уместно, четко определяющего данные, которые должны быть опубликованы, цели публикации и любые необходимые гарантии.

Однако во всех случаях необходимо учитывать характер персональных данных, способ обработки информации, разумные ожидания субъектов данных, а также статус контролера и субъекта данных.

Короче говоря, чем более конфиденциальные данные или чем более безобидные на первый взгляд данные объединяются и связываются вместе для создания подробных профилей, и тем больше аудитория, которой впоследствии будут раскрыты данные (в крайних случаях, широкая общественность, такая как при дальнейшем распространении данных в Интернете), тем меньше вероятность того, что проверка баланса будет в пользу контролера.

Также необходимо учитывать, были ли данные обнародованы субъектом данных или третьими лицами. Даже в первом сценарии субъект данных, опубликовавший данные, может со временем изменить свое мнение, и его ожидания могут состоять в том, что данные больше не будут обрабатываться.  

Рекомендации

Как правило, обработка общедоступных данных должна в максимально возможной степени соответствовать первоначальным целям (например, когда данные являются частью официальных регистров, при необходимости необходимо консультироваться с такими регистрами). «чтобы знать», а не копировать массово на тот случай, если некоторые данные могут оказаться важными). При рассмотрении законных интересов ограниченная аудитория данных, подлежащих дальнейшей обработке, и ограниченный объем данных с большей вероятностью оправдают обработку, чем если бы большие объемы данных были переданы многим получателям. Некоторые соответствующие исключения могут включать журналистские цели. Кроме того, чрезвычайно важными будут ожидания субъектов данных, независимо от того, обнародовали ли они данные сами, а также другие очевидные факторы риска, такие как конфиденциальность данных и уязвимость субъектов данных. Это еще один пример того, что качество и источник данных важнее количества.

 

Photo by Thomas Lefebvre on Unsplash 1. Политика конфиденциальности

ОТ

БЕСПЛАТНО

2

ДОКУМЕНТЫ В ЭТОМ СЕМЕЙСТВЕ

Эти политики конфиденциальности разработаны, чтобы помочь вам соблюдать законы Великобритании и ЕС о защите данных. и шаблоны политики использования файлов cookie. Хотя файлы cookie не упоминаются в названиях этих документов, раскрытие информации, связанной с файлами cookie, включено, хотя и в краткой форме.

2. Заявление об отказе от ответственности по электронной почте

ОТ

4,80 фунта стерлингов

ИЛИ

4

КРЕДИТЫ

Это шаблон юридического уведомления, отображаемого в сообщениях электронной почты. Хотя правоприменимость заявлений об отказе от ответственности по электронной почте может быть поставлена ​​под сомнение, многие компании, тем не менее, включают отказ от ответственности в нижний колонтитул всех сообщений электронной почты. Однако не существует «стандартного» заявления об отказе от ответственности, поскольку разные предприятия сталкиваются с различными обязательствами по соблюдению требований и юридическими рисками. Этот шаблон может быть использован для создания документа, охватывающего некоторые …

3. Политики конфиденциальности и файлов cookie

от

£ 19,20

или

16

Кредиты

4

Документы в этом семействе

Практически на каждом коммерческом веб -сайте собирают некоторые личные данные и несколько веб -сайтов полностью избегают использования куилей. и подобные технологии. Чтобы соответствовать GDPR и другим законам Великобритании и ЕС о защите данных, издатели веб-сайтов должны раскрывать пользователям информацию о личных данных, которые они собирают; и для соблюдения законов об электронной конфиденциальности издатели веб-сайтов должны раскрывать пользователям информацию об используемых ими файлах cookie. Эти шаблоны политики конфиденциальности и использования файлов cookie помогут вам соблюдать эти законы.

4. Политика реагирования на инциденты кибербезопасности

ОТ

24 фунта стерлингов

ИЛИ

20

КРЕДИТЫ

Эта политика предоставляет организациям предварительно структурированный способ описания своей политики в случае инцидента кибербезопасности. Пользователями политики может быть небольшая группа внутри организации, или эта политика может быть предоставлена ​​всему персоналу в качестве руководства на случай инцидента. В отличие от политики кибербезопасности сотрудника, подрядчика или B2B, это не должно быть юридическим …

5. Политика уведомления об утечке персональных данных

ОТ

36 фунтов стерлингов

ИЛИ

30

КРЕДИТЫ

Это политика уведомления об утечке персональных данных, в которой изложены процедуры, которым должна следовать компания в случае данные, хранящиеся или обрабатываемые компанией, могут быть взломаны. Политика была разработана с учетом потребностей малого и среднего бизнеса. Политика предназначена для обеспечения соблюдения Общего регламента по защите данных или Общего регламента по защите данных и учитывает …

6. Информация о защите данных Уведомления о

от

£ 36

или

30

Кредиты

3

Документы в этом семействе

Общее регулирование защиты данных (GDPR) и национальные законы о защите данных требуют, чтобы контролеры требовались персональные данные раскрывают информацию об обработке ими этих персональных данных субъектам данных. Эти информационные уведомления о защите данных помогут организации, которая собирает персональные данные, касающиеся ее внештатных сотрудников, персонала поставщика и персонала заказчика, соблюдать применимые требования к раскрытию информации. Эти документы аналогичны нашему шаблону политики конфиденциальности, но предназначены для использования в автономном режиме, а не в Интернете.

7. Дополнение обработки данных

Из

£ 36

или

30

Кредиты

2

Документы в этом семействе

Эти дополнения должны использоваться для дополнения существующего контракта и вынести его на линию с общим. Регламент о защите данных (GDPR). GDPR относительно предписывает положения, которые необходимо включать в договоры между контролерами и обработчиками, а также в договоры между обработчиками и субобработчиками. Составление этих документов строго соответствует требованиям GDPR.

8. Политики в области кибербезопасности цепочки поставок

от

£ 36

или

30

Кредиты

2

Документы в этом семействе

Эти политики в области кибербезопас договорные обязательства поставщика в отношении кибербезопасности. Политики могут быть адаптированы для сосредоточения внимания на конкретных рисках или для применения общих стандартов. Эти политики были созданы и поддерживаются Эммой Осборн из OCSRC.

9. Соглашения о обработке данных

от

£ 48

или

40

Кредиты

2

Документы в этом семействе

Соглашения о обработке данных между контроллерами персональных данных и их процессорами, а также между процессами и подразделением. процессоров, уже давно является требованием законов ЕС и Великобритании о защите данных. С появлением Общего регламента по защите данных (GDPR) они стали гораздо более распространенными. Соглашения об обработке данных в соответствии с GDPR, как правило, длиннее и сложнее, чем соглашения до GDPR. Эти типовые соглашения об обработке данных предназначены для того, чтобы помочь вам подготовить соответствующий документ с минимальными усилиями. Они внимательно отслеживают конкретные требования GDPR, дополняя эти требования в нескольких важных областях.

10. Политика хранения данных

ОТ

48 фунтов стерлингов

ИЛИ

40

КРЕДИТЫ

Эта политика хранения данных на уровне руководства должна использоваться для систематизации политик и процедур организации в отношении архивирования и удаления данные. Движущей силой принятия многих политик хранения является Общий регламент по защите данных (GDPR), но предложенная в этом документе редакция распространяется как на персональные, так и на неличные данные. Чтобы эффективно использовать это …

Передовой опыт анализа конфиденциальных данных

Хотя безопасные носители защищают данные, когда они не анализируются, также важно следовать рекомендациям по обеспечению безопасности данных во время их анализа. Безопасное хранение важно, но это лишь один из аспектов более широкого набора поведений и привычек, которые важны при работе с исследовательскими данными, которые должны сохраняться в тайне. В конечном счете, исследователь несет ответственность за надлежащее использование и хранение своих исследовательских данных.

1. БЕЗОПАСНОЕ ХРАНЕНИЕ БУМАЖНЫХ ФОРМ: Как и электронные данные, бумажные документы, такие как формы согласия, распечатки или листы отслеживания дел, содержащие личную информацию (PII), должны надежно храниться в запертых картотеках, когда они не используются, и с ними нужно обращаться. только обученными сотрудниками при активном использовании во время исследования. В частности, в отношении форм согласия важно помнить, что физического отделения формы от данных субъекта недостаточно. Гарантия исследователя на конфиденциальность распространяется на форму согласия, которая документирует участие в исследовании, и должна рассматриваться как конфиденциальный документ.
    
2. ИСПОЛЬЗУЙТЕ БЕЗОПАСНОЕ ХРАНЕНИЕ ДЛЯ СЪЕМНЫХ НОСИТЕЛЕЙ: Конфиденциальные данные, хранящиеся на переносных носителях, таких как компакт-диски, DVD-диски, устройства флэш-памяти или портативные внешние накопители, должны надежно храниться в безопасном или запираемом картотечном шкафу и обрабатываться только уполномоченными сотрудниками.
    
3. ЗАЩИТА ПАРОЛЕЙ: Безопасность хранения данных зависит от создания и использования паролей, необходимых для получения доступа к записям данных. Лучшие технологии хранения и шифрования могут быть легко уничтожены неправильным использованием паролей. Пароли должны быть трудными для определения и защищаться так же тщательно, как и конфиденциальные данные. Ни в коем случае нельзя делиться ими или оставлять на листах бумаги на рабочих местах или столах. OIT Принстонского университета — отличный источник информации о создании паролей и управлении ими.
    
4. ОБУЧЕНИЕ И МОНИТОРИНГ ПОМОЩНИКОВ ИССЛЕДОВАНИЙ:  Ассистенты-исследователи, работающие с конфиденциальными данными, должны понимать и соблюдать все основные методы обеспечения безопасности данных, изложенные в этом разделе. Это начинается с обучения исследованию человека, которое можно пройти онлайн по адресу: Human Research/training. Ассистенты-исследователи и другие сотрудники проекта должны быть ознакомлены с процедурами и практиками, описанными в данном руководстве. Главные исследователи несут прямую ответственность за обучение и мониторинг персонала проекта, а также исследователей, работающих с конфиденциальными данными. Исследователям рекомендуется обращаться в Управление честности и достоверности исследований, если у них есть вопросы об обучении.
    
5. ОГРАНИЧЕННОЕ ИСПОЛЬЗОВАНИЕ ОБЩИХ АККАУНТОВ ИЛИ ГРУППОВЫХ ИДЕНТИФИКАТОРОВ ДЛЯ ВХОДА :  Любой, кто работает с конфиденциальными электронными данными, должен идентифицировать себя при входе в ПК или портативный компьютер, который дает им доступ к данным. Использование идентификаторов входа в группу нарушает этот принцип. Руководители проектов должны убедиться, что все, кто работает с конфиденциальными данными, имеют уникальный пароль, который идентифицирует их лично, прежде чем они смогут получить доступ к данным. Для любого студента или сотрудника, работающего на компьютере в Принстоне, это будет идентификатор входа в систему LDAP и пароль, которые были назначены человеку при поступлении в университет или при приеме на работу. Для получения информации о запросе идентификаторов входа в систему LDAP и паролей для временных сотрудников или консультантов щелкните здесь.
    
6. ПОДДЕРЖИВАЙТЕ АКТУАЛЬНЫЕ СПИСКИ ГРУПП ПОЛЬЗОВАТЕЛЕЙ. Группы пользователей — это удобный способ предоставить доступ к файлам проекта, хранящимся на удаленном сервере. Использование групп пользователей упрощает предоставление и отзыв доступа к электронным ресурсам данных исследовательского проекта. Предоставляя привилегии доступа к каждой из электронных папок исследовательского проекта группе в целом, новые уполномоченные члены команды проекта могут получить доступ ко всем связанным ресурсам электронных данных, просто будучи добавленными в группу. Когда человек больше не является частью команды проекта, удаление его или ее идентификатора аннулирует доступ ко всем ресурсам. Но помните, что члены группы могут получить доступ к ресурсам на любом компьютере в Принстоне, к которому у группы есть доступ, а не только на компьютерах, используемых в вашей рабочей зоне. Списки членства в группах следует регулярно пересматривать, и, когда сотрудники проекта завершают свою работу или покидают проект, администратор группы пользователей должен обновлять список групп пользователей, чтобы лица, которые больше не работают над проектом, не могли получить доступ к каким-либо общим ресурсам.
    
7. ИЗБЕГАЙТЕ ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРОВ ИЛИ НОУТБУКОВ НЕ-DESC ДЛЯ СБОРА ИЛИ ХРАНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ИССЛЕДОВАТЕЛЬСКИХ ДАННЫХ: Совет по настольным системам (DeSC) контролирует использование и обслуживание компьютеров, участвующих в управляемых средах, составляющих программу DeSC. В сферу деятельности Совета входит консультирование университета по стандартам управляемых вычислительных платформ для компьютеров, принадлежащих учреждениям. На компьютерах, не входящих в систему DESC, могут отсутствовать адекватные брандмауэры, защита от вирусов и шифрование, помогающие защитить конфиденциальные исследовательские данные от кражи. Компьютеры, входящие в университетскую систему DeSC, поддерживают современные системы, предназначенные для надежной защиты ПК, ноутбуков и их содержимого от кражи или несанкционированного использования.
    
8.   АКТИВАЦИЯ ФУНКЦИЙ БЛОКИРОВКИ ЭКРАННЫХ ЗАСТАВОК:  Компьютеры, используемые для анализа данных, должны быть настроены на «блокировку» после 20 минут бездействия. Это снижает риск кражи или несанкционированного использования данных в ситуациях, когда пользователь, работающий с конфиденциальными данными, покидает свое рабочее место и забывает выйти из ПК. OIT предоставляет инструкции по настройке функции автоматической блокировки для ПК с Windows.
    
9. ИСПОЛЬЗУЙТЕ БЕЗОПАСНЫЕ МЕТОДЫ ПЕРЕДАЧИ ФАЙЛОВ: Передача файлов с конфиденциальными данными между пользователями или между учреждениями может привести к непреднамеренному раскрытию информации. Передача файлов часто является самой слабой частью любого плана обеспечения безопасности исследовательских данных. Метод, используемый для передачи файлов, должен отражать уровень конфиденциальности данных. Файлы исследований с PII или другой конфиденциальной информацией всегда должны быть сжаты и зашифрованы, прежде чем они будут переданы из одного места в другое. Это особенно важно при передаче файлов в виде вложений к электронной почте или в виде файлов на физических носителях, таких как компакт-диски или флэш-накопители. Сжатие файлов сводит к минимуму вероятность сбоя при передаче файла из-за слишком большого размера файла. Шифрование гарантирует, что ваш сжатый файл не сможет быть прочитан кем-либо, у кого нет пароля, созданного при сжатии и шифровании файла. Другие безопасные и удобные способы передачи файлов включают SharePoint и поддерживаемый университетом Google Диск 9.0959  
10. ИСПОЛЬЗУЙТЕ ЭФФЕКТИВНЫЕ МЕТОДЫ УНИЧТОЖЕНИЯ ДАННЫХ:  Запрашивая IRB о пересмотре запланированных исследований, исследователи должны разработать план окончательного удаления своих исследовательских данных. В этом плане указывается, что будет сделано с данными после достижения целей проекта. Во многих случаях исследователи готовят различные типы отчетов или статей для публикации, а также файл обезличенных данных для использования другими исследователями или широкой общественностью. Если ваш план исследования требует уничтожения документов или электронных файлов после завершения проекта, все бумажные файлы или компакт-диски с PII должны быть уничтожены, а любые электронные файлы на накопителях, ПК, ноутбуках и файловых серверах должны быть безвозвратно удалены. Как правило, правила требуют, чтобы все необработанные данные хранились как минимум в течение 3 лет после завершения исследования. Если план исследования предусматривает долгосрочное хранение PII (в бумажной или электронной форме), то все файлы данных должны надежно храниться в сейфе или запираемых картотеках в охраняемом здании. Студенты бакалавриата обычно должны хранить свои исследовательские данные в офисе своего научного руководителя.

Обработка персональных данных — Агентство общественного здравоохранения Швеции

Что такое персональные данные?

Персональные данные – это любая информация, которая может быть прямо или косвенно связана с живым физическим лицом. Примерами личных данных являются имя, номер социального страхования, почтовый адрес и адрес электронной почты.

Подробнее о значении персональных данных (imy.se) на шведском языке

Что такое обработка персональных данных?

Под обработкой персональных данных понимается любая обработка персональных данных, независимо от того, осуществляется она в электронном виде или нет. Это может включать, например, сбор, регистрацию, хранение, взаимодействие или печать данных.

Контроллер данных

Агентство общественного здравоохранения Швеции является контролером данных для обработки персональных данных, для которых агентство определяет цели и средства.

Принцип публичного доступа к официальным документам

Агентство общественного здравоохранения Швеции является государственным учреждением, и это означает, что сообщения, отправленные в агентство, как правило, становятся общедоступными документами, которые регистрируются, регистрируются и по запросу быть раскрыты, если информация не является конфиденциальной. Другими словами, персональные данные могут быть раскрыты в соответствии с принципом публичного доступа к официальным документам.

Категории обрабатываемых персональных данных

Категории обрабатываемых персональных данных – это имена и контактные данные лиц, обратившихся в агентство. Если дело в основном касается какой-либо организации и для этой организации назначено контактное лицо, обрабатываются имя и контактные данные контактного лица. Дела, которые зарегистрированы, получают ссылочный номер.
В документах и ​​сообщениях, представляемых в Агентство общественного здравоохранения Швеции, часто фигурируют другие типы персональных данных. Эти детали обрабатываются только документом, добавляемым к рассматриваемому делу. Данные специально не регистрируются, и информация в полученном документе не доступна для поиска.

Как мы обрабатываем персональные данные

Электронная почта

Агентство общественного здравоохранения Швеции сотрудничает со многими субъектами и обрабатывает данные, связанные с этим, чаще всего по электронной почте. Он включает имя, контактные данные и информацию, связанную с профессией человека.

Правовой основой для этого в GDPR является так называемый общественный интерес. Национальную правовую основу можно найти в нашем постановлении или в конкретных правительственных поручениях.

При необходимости данные могут быть переданы другим субъектам и поставщикам, если это необходимо для сотрудничества.

Запросы

Агентство общественного здравоохранения Швеции обрабатывает данные для связи с лицом, подающим запрос, и обработки дела. Правовой основой для обработки являются данные, представляющие общественный интерес.

Контроль

Агентство общественного здравоохранения Швеции обрабатывает данные о назначенном контактном лице для контролируемого объекта. Данные используются для связи с контролируемым объектом и расследования дела. Обработка является неотъемлемой частью осуществления Агентством общественного здравоохранения Швеции официальных полномочий.

Обработка заявлений на получение разрешения

Агентство общественного здравоохранения Швеции обрабатывает персональные данные о контактном лице лица, подающего заявление на получение разрешения, а также персональные данные о лицах, чей опыт и суждения должны быть проверены, и направляет к этому лицу . Данные обрабатываются для рассмотрения дела и информирования общественности о существующих владельцах разрешений. Обработка является неотъемлемой частью осуществления Агентством общественного здравоохранения Швеции официальных полномочий.

Сотрудничество

Агентство общественного здравоохранения Швеции обрабатывает контактную информацию лица, которое является контактным лицом по делу о сотрудничестве. Правовой основой для обработки являются данные, представляющие общественный интерес.

Заказ информационных материалов

Агентство общественного здравоохранения Швеции обрабатывает персональные данные в связи с заказом продуктов через службу заказов агентства. Обработка осуществляется для управления заказом, а правовым основанием является выполнение соглашения, заключенного в связи с заказом.

Регистрация на курсы, учебные программы, конференции и другие мероприятия, организованные властями

Когда вы регистрируетесь на организованные нами мероприятия, такие как конференции, сетевые встречи, встречи, тренинги и т. д., ваши данные, такие как; имя, должность, организация и адрес электронной почты добавляются в список участников. Список распространяется среди участников мероприятия, на которое вы зарегистрировались, в письменном и/или цифровом виде. Список участников также добавляется в наше приложение для конференций в тех случаях, когда приложение используется для мероприятия. Список участников также может быть зарегистрирован. Предоставленная вами информация, например, об аллергии, потребности в специальных вспомогательных средствах, специальной диете и т. д., обрабатывается только внутри компании и напрямую с теми, кого мы нанимаем для мероприятия, чтобы удовлетворить ваши потребности, и данные не сохраняются дольше чем необходимо.

Правовой основой для администрирования регистрации на курс является выполнение соглашения, заключенного в связи с регистрацией. Правовой основой для обработки, которая происходит в связи с последующими действиями, является выполнение задачи, представляющей общественный интерес.

Электронное обучение

Для администрирования электронного обучения мы обрабатываем имя и адрес электронной почты личных данных. Данные хранятся до тех пор, пока вы зарегистрированы. Правовой основой является выполнение договора, заключенного в связи с вашей регистрацией в соответствии со статьей 6(1)(b) Общего регламента по защите данных.

Подписка на пресс-релизы и информационные бюллетени

Агентство общественного здравоохранения Швеции обрабатывает персональные данные в связи с вашей регистрацией для подписки на пресс-релизы и информационные бюллетени агентства. Обработка осуществляется для того, чтобы Агентство общественного здравоохранения Швеции могло администрировать подписку и рассылать информацию. Правовой основой является выполнение соглашения, заключенного в связи с вашей регистрацией в качестве подписчика.

Заявление о приеме на работу

Агентство общественного здравоохранения Швеции обрабатывает персональные данные в связи с заявлением о приеме на работу; услуги или консультационные задания представляются Агентству общественного здравоохранения Швеции. Персональные данные обрабатываются для того, чтобы Агентство общественного здравоохранения Швеции могло администрировать заявки и заполнять вакансию или консультировать. Обработка для назначения на должность осуществляется в рамках осуществления Агентством общественного здравоохранения Швеции государственных полномочий и другой обработки для выполнения задачи, представляющей общественный интерес.

Обработка конфиденциальных персональных данных, отправляемых властям

Иногда конфиденциальные персональные данные отправляются властям. Эти данные обрабатываются для администрирования дела, однако данные администрируются только путем ввода документа в рассматриваемое дело. Данные специально не регистрируются, и данные в представленном документе не доступны для поиска. Правовой основой для обработки конфиденциальных персональных данных является существенный общественный интерес.

Подробнее о конфиденциальных персональных данных (datainspektionen.se) на шведском языке

Исследования и опросы

В рамках своего задания Агентство общественного здравоохранения Швеции проводит исследовательские проекты и опросы. Это может означать, что Агентство общественного здравоохранения Швеции собирает информацию от здравоохранения, которая включает личные данные, из других реестров или непосредственно от отдельных людей посредством опросов, иногда в комбинации. Основанием для обработки является возможность выполнения задач, представляющих общественный интерес.

Те, у кого есть доступ к данным

В качестве отправной точки личные данные обрабатываются только Агентством общественного здравоохранения Швеции. Сотрудники Агентства общественного здравоохранения Швеции, которые будут иметь доступ к данным, нуждаются в данных для выполнения своих рабочих обязанностей.

В дополнение к раскрытию персональных данных, которое Агентство общественного здравоохранения Швеции должно осуществлять в соответствии с принципом публичного доступа к официальным документам (см. выше в разделе «Принцип публичного доступа к официальным документам»), Агентство Швеции в некоторых случаях использует процессоры персональных данных. Привлеченные обработчики персональных данных могут обрабатывать персональные данные только в соответствии с целями и инструкциями, предоставленными Агентством общественного здравоохранения Швеции для обработки. Кроме того, обработчик и лица, действующие под руководством обработчика, могут никогда не иметь доступа к большему количеству данных, чем требуется для выполнения услуги, предусмотренной соглашением с Агентством общественного здравоохранения Швеции. Когда персональные данные должны обрабатываться обработчиком персональных данных, составляется так называемый договор об обработке данных.

Подробнее об обработчиках данных (datainspektionen.se) на шведском языке

Период, в течение которого будут храниться персональные данные

Основным принципом законодательства об архивном деле как государственного учреждения является то, что орган должен сохранять официальные документы. Агентство общественного здравоохранения Швеции следует этим правилам сохранения и удаляет общедоступные документы в соответствии с действующими правилами и решениями об удалении данных. Персональные данные, не включенные в общедоступный документ, сохраняются только до тех пор, пока это необходимо для целей, для которых они обрабатываются.

Ваши права как субъекта данных

Как субъект данных у вас есть несколько прав. Если вы как субъект данных в Агентстве общественного здравоохранения Швеции хотите воспользоваться своими правами или у вас есть вопросы относительно обработки вашими персональными данными агентством, вы можете связаться с сотрудником по защите данных органа по электронной почте [email protected].

Право доступа

Вы можете запросить уведомление о том, обрабатывает ли Агентство общественного здравоохранения Швеции персональные данные, касающиеся вас, и, если да, получить копию этих данных – так называемую выписку из регистра – вместе с определенной подробной информацией . Вы можете запросить информацию только о своих личных данных, и эта информация будет отправлена ​​на ваш зарегистрированный адрес. Если информация является конфиденциальной, может потребоваться ее отправка заказным письмом. Заявление должно быть подписанным оригиналом. Невозможно дать доверенность другому лицу на запрос информации о вас.

Подробнее о праве субъектов данных на информацию (datainspektionen.se) на шведском языке

Право на исправление

Если вы считаете, что личные данные, касающиеся вас, неверны или неполны, вы можете потребовать, чтобы данные были исправлены или дополнены.

Подробнее о праве субъекта данных на исправление (datainspektionen.se) на шведском языке

Право на возражение

Когда Агентство общественного здравоохранения Швеции обрабатывает персональные данные в рамках осуществления своих государственных полномочий или для выполнения других задач представляющих общественный интерес, вы имеете право возразить против обработки в любое время. Если Агентство общественного здравоохранения Швеции не может доказать наличие веских законных причин для продолжения обработки данных, Агентство общественного здравоохранения Швеции должно прекратить обработку.

Подробнее о праве на возражение (datainspektionen.se) на шведском языке

Право на ограничение обработки

В некоторых случаях, например, если вы возражали против обработки, у вас есть возможность потребовать ограничения обработки ваших личные данные.

Подробнее о праве на ограничение обработки (datainspektionen.se)

Право на удаление («право на забвение»)

В некоторых случаях ваши личные данные могут быть удалены. Когда ваши личные данные необходимы Агентству общественного здравоохранения Швеции для выполнения своей задачи или для публикации в общедоступном документе, Агентство общественного здравоохранения Швеции не имеет возможности удалить данные.

Подробнее о праве на удаление данных (datainspektionen.se) на шведском языке

Право на переносимость данных

Если Агентство общественного здравоохранения Швеции обрабатывает ваши персональные данные для выполнения соглашения, у вас иногда есть возможность получить персональные данные.

No related posts.