Политика обработки персональных данных. Образец. | HR-elearning
Образец Политики обработки персональных данных для организации. В конце статьи выложен образец в формате MS Word для скачивания.
С примерным перечнем документов по организация защиты персональный данных в организации по ФЗ № 152-ФЗ «О персональных данных» можете ознакомиться в данной статье
УТВЕРЖДАЮ
Директор ООО “________”
___________А. А. Иванов
“____”______________2017г.
ПОЛИТИКА обработки персональных данных ООО “____________”
1. Общие положения.
1.1. Настоящая Политика обработки персональных данных (далее — Политика обработки ПДн) ООО “________” (далее – Оператор), ИНН _________, расположенного по адресу: __________________, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федеральным законом 27 июля 2006 года № 152-ФЗ “О персональных данных”, постановлением Правительства РФ от 01. 11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «_______» вопросы обработки персональных данных работников ООО «______» и других субъектов персональных данных.
2. Цели обработки персональных данных.
Персональные данные обрабатываются Оператором в следующих целях:
1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
– выполнение требований законодательства в сфере труда и налогообложения;
– ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
– выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами ООО «________» (далее – субъекты персональных данных).
2) осуществления прав и законных интересов ООО «_____» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «______», или третьих лиц либо достижения общественно значимых целей;
3) в иных законных целях.
3. Правовое основание обработки персональных данных.
Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27 июля 2006 года № 152-ФЗ “О персональных данных”;
4) Федерального закона “Об информации, информационных технологиях и о защите информации” от 27.07.2006 N 149-ФЗ.
5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
7) приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
8) приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9) приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
10) Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 “Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников”.
11) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4. Перечень действий с персональными данным.
При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Состав обрабатываемых персональных данных.
5.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:
– сотрудники Оператора;
– клиенты Оператора;
– контрагенты Оператора;
– физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом “О порядке рассмотрения обращений граждан Российской Федерации”.
5.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.
5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «_______» не осуществляется.
6. Обработка персональных данных.
6.1. Обработка персональных данных в ООО «__________» осуществляется следующими способами:
• не автоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
7. Обеспечение защиты персональных данных при их обработке Оператором.
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 “О персональных данных”, постановлением Правительства от 15 сентября 2008 года № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, постановлением Правительства от 01 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, приказом ФСТЭК от 18 февраля 2013 года № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”, и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону “О персональных данных” и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных”, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8. Право субъекта персональных данных на доступ к его персональным данным.
8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом “О персональных данных”;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона “О персональных данных” или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Скачать образец Политики обработки персональных данных для организации.
[Перейти в раздел Кадровое делопроизводство]
Конструктор политики конфиденциальности и обработки персональных данных
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2. 2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу httpsː//thismywebsite·com.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта httpsː//thismywebsite·com.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
Документы определяющие политику в отношении обработки персональных данных
Постановление № 332 от 23.04.2013
Об утверждении Правил обработки персональных данных муниципальных служащих и иных работников администрации Ужурского района
Постановление № 333 от 23.04.2013
Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей в администрации Ужурского района
Постановление № 334 от 23.04.2013
Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Ужурского района
Постановление № 335 от 23. 04.2013
Об утверждении Правил работы с обезличенными персональными данными в администрации Ужурского района
Постановление № 336 от 23.04.2013
Об утверждении Перечня персональных данных, обрабатываемых в администрации Ужурского района в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций
Постановление № 337 от 23.04.2013
Об утверждении Перечня должностей муниципальных служащих, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций
Постановление № 338 от 23.04.2013
Об утверждении Типового обязательства муниципального служащего непосредственно осуществляющего обработку персональных данных в администрации Ужурского района, в случае расторжения с ним трудового договора
Постановление № 339 от 23. 04.2013
Об утверждении Типовой формы согласия на обработку персональных данных муниципальных служащих, иных субъектов персональных данных, а также типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в администрацию Ужурского района
Постановление № 340 от 23.04.2013
Об утверждении Порядка доступа муниципальных служащих и других работников администрации Ужурского района в помещения, в которых ведется обработка персональных данных
Постановление № 683 от 08.12.2015
Об обработке и защите персональных данных в администрации района
Роскомнадзор о персональных данных в 2021 году
26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
На семинаре прозвучали доклады:
Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.
Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:
- в банковской сфере;
- в ЖКХ;
- в интернете;
- в связи;
- в торговле.
Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:
Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.
Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.
GDPR и российские компании
GDPR может применяться к российским компаниям в нескольких случаях:
- Российская компания имеет филиалы на территории Европы.
- Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
- Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
- сайт доступен на языках стран ЕС;
- предусмотрены расчеты в евро.
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Будет ли приведено российское законодательство к требованиям GDPR
По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Порядок уничтожения персональных данных
Терминатор – оператор обработки персональных данныхПорядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.
Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т. п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
Передача персональных данных третьим лицам
Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.
Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.
Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.
Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?
Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.
Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?
Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.
Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.
Персональные данные представителей компаний в договоре
Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.
Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.
Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.
Ответственное лицо
Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?
К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
Почитайте пост о Реестре операторов персональных данных.
Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.
Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.
Поделитесь в соцсетях
Согласие на обработку персональных данных Стоматология Дельта
ОБРАЗЕЦ
Согласие на обработку персональных данных
Я, ___________________________________________ года рождения,
Фамилия, Имя, Отчество год рождения
проживающий(ая) по адресу: _______________________________________, паспорт серия ________ № _____________________ выдан ___________________________________, в соответствии с требованиями статьи 9 федерального закона от 27. 07.2006 г., «О персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку моих персональных данных в ООО «Стоматология Дельта» (далее Оператору), включающих фамилию, имя, отчество, пол, дату рождения, адрес места жительства и регистрации, контактный(е) телефон(ы), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, накопление, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение, в том числе с использованием машинных носителей или по каналам связи. Срок хранения персональных данных соответствует сроку хранению первичных медицинских документов (медицинской карты) и составляет двадцать пять лет. Настоящее соглашение действует бессрочно.
Контактный телефон ______________________________
Подпись субъекта персональных данных __________________/_____________________
Подпись (Ф.И.О. полностью)
Дата «____»______________ г.
Детская школа искусств № 3 (художественная) г.Калуги
Версия для слабовидящих
Учредительные и уставные документы
Устав
Коллективный договор
Локальные акты
Правила внутреннего распорядка обучающихся
Правила внутреннего распорядка для учащихся платных дополнительных образовательных услуг
Правила внутреннего трудового распорядка
Положение о приеме в школу
Положение о творческих испытаниях для поступающих
Образец договора
Образец заявления на обработку персональных данных
Положение о творческих испытаниях для поступающих с подготовительных классов
Положение о творческих испытаниях для поступающих в группы подростков старше 12 лет и взрослых
Положение о приеме учащихся в подготовительные классы
Положение о приеме учащихся в группы подростков старше 12 лет и взрослых
Положение о приеме учащихся в студию для взрослых
Положение о приеме учащихся в группы подготовки лиц, имеющих документ об освоении дополнительных предпрофессиональных образовательных программ в области изобразительного искусства, к поступлению в средние и высшие учебные заведения в сфере искусств
Образец договора групп подростков старше 12 лет и взрослых
Образец договора Студия
Образец договора подготовительное отделение
Образец договора групп подготовки лиц, имеющих документ об освоении дополнительных предпрофессиональных образовательных программ в области изобразительного искусства, к поступлению в средние и высшие учебные заведения в сфере искусств
Режим занятий обучающихся
Положение о формах и порядке текущего контроля успеваемости и промежуточной аттестации обучающихся
Положение о порядке оформления, возникновения, изменения и прекращения образовательных отношений, восстановление, переводы
Положение о педагогическом совете школы
Положение о методическом совете школы
Положение о пленэре (летняя учебная практика)
Положение о предоставлении академического отпуска учащимся
Положение об оказании платных дополнительных образовательных услуг
Постановление об утверждении тарифов на платные образовательные услуги оказываемые ДШИ № 3
Положение о поощрениях и взысканиях обучающихся
Положение о формах и порядке проведения итоговой аттестации обучающихся
Положение о порядке выдачи свидетельства об освоении дополнительной предпрофессиональной образовательной программы «Живопись» в области искусств
Образец свидетельства об дополнительной предпрофессиональной образовательной программы
Положение о конфликтной комиссии по вопросам разрешения споров между участниками образовательного процесса
Положение о конфликтной комиссии по вопросам разногласий, противоречий и конфликтных ситуаций
Положение о родительском комитете
Положение о системе нормирования труда
Положение о совете школы
Положение о Совете учащихся
Положение об оплате труда работников
Положение о дистанционной работе
Политика антивирусной защиты информационных систем в учреждении
Отчёты
Положение о проведении самообследования
Отчет о результатах самообследования с 01. 01.2019 г. по 31.12.2019 г.
Отчет о результатах самообследования с 01.01.2020 г. по 31.12.2020 г.
Годовой отчет о работе МБОУДО «ДШИ № 3 (художественная)» г.Калуги за 2019-2020 учебный год
Отчет о расходовании целевых взносов за 2020 год
Отчет о расходовании целевых взносов за 1 полугодие 2021 года
План мероприятий по улучшению качества работы МБОУДО «ДШИ № 3 (художественная)» г.Калуги
Программа развития на 2021- 2025 годы
Проверки
Персональные данные
Уважаемые родители!Все организации, осуществляющие обработку персональных данных, должны соответствовать требованиям Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».
Сейчас в нашей школе собираются, хранятся и обрабатывается персональные данные Ваших детей, поэтому руководителю нашей школы необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных.
Для этого школа должна получить от родителей каждого ученика заявление на согласие на обработку его персональных данных (ПДн). Без такого согласия мы не сможем вести учет Ваших детей в привычном режиме.
Школа и раньше вела обработку ПДн Ваших детей и никто не задумывался о переданных данных и фактически все работали в режиме обработки персональных данных, которые закон определяет сейчас как общедоступные.
Руководство школы гарантирует, в случае получения такого согласия с Вашей стороны, принятие мер по защите ПДн Ваших детей в соответствии с требованиями действующего законодательства и нормативных документов регуляторов в области защиты ПДн.
При этом мы прекрасно понимаем, что понятие «общедоступности» может вызвать у Вас некоторую настороженность. Мы гарантируем, что такое согласие будет храниться в школе, его содержание будет недоступно другим и действие согласия будет распространяться только на Нашу школу. Любой другой оператор ПДн должен будет независимо получать от Вас разрешение на обработку ПДн Ваших детей.
Администрация школы
Список действующих нормативных документов в области защиты ПДн
1. Федеральный закон «О персональных данных» от 27 июля 2006 года №152-ФЗ.
2. Указ Президента Российской Федерации от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера».
3. Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Постановления Правительства Российской Федерации от 6 июля 2008 года №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
5. Постановление Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Документы школы
Форма обратной связи
Документы
Локальные нормативные акты Академии
Правила внутреннего распорядка и Положение о режиме занятий обучающихся
Правила приема в федеральное государственное бюджетное образовательное учреждение высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» на обучение по образовательным программам среднего профессионального образования на 2021/22 учебный год (электронный документ)
Правила приема в федеральное государственное бюджетное образовательное учреждение высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» на обучение по образовательным программам высшего образования – программам бакалавриата, программам специалитета на 2021/22 учебный год (Приложение 1, Приложение 2, Приложение 3, Приложение 4) (Электронные документы)
Правила приема в федеральное государственное бюджетное образовательное учреждение высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» на обучение по образовательным программам высшего образования – программам магистратуры на 2021/22 учебный год (Приложение 1, Приложение 2, Приложение 3, Приложение 4) (Электронные документы)
Правила приема в федеральное государственное бюджетное образовательное учреждение высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» на обучение по образовательным программам высшего образования – программам подготовки научно-педагогических кадров в аспирантуре на 2021/2022 учебный год
Правила приема в федеральное государственное бюджетное образовательное учреждение высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» на обучение по образовательным программам высшего образования – программам подготовки научно-педагогических кадров в аспирантуре на 2020/2021 учебный год
Правила приема в Лицей Академии при Президенте Российской Федерации на обучение по программе среднего общего образования
Соглашение об электронном взаимодействии для обмена информацией в электронной форме в целях подачи документов и зачисления на обучение, заключения, исполнения и прекращения договора об образовании с использованием программно-информационных систем удаленного доступа, электронных документов, подписываемых простой электронной подписью.
Режим занятий обучающихся
Положение об организации и осуществлении в РАНХиГС образовательной деятельности по образовательным программам высшего образования – программам бакалавриата, программам специалитета, программам магистратуры (копии) (электронный документ)
Положение о текущем контроле успеваемости обучающихся и промежуточной аттестации обучающихся по образовательным программам среднего профессионального и высшего образования
Порядок применения к обучающимся и снятия с обучающихся мер дисциплинарного взыскания в РАНХиГС (копии) (электронный документ)
Положение о предоставлении академического отпуска студентам РАНХиГС (электронный документ)
Положение о порядке обучения в РАНХиГС по индивидуальному учебному плану и ускоренном обучении лиц, осваивающих образовательные программы высшего образования — программы бакалавриата, программы специалитета, программы магистратуры (электронный документ)
Положение о приемной комиссии по дополнительным профессиональным программам профессиональной переподготовки РАНХиГС (Приложение Ко 1). Правила приема на обучение по дополнительным профессиональным программам в РАНХиГС (Приложение № 2). Порядок реализации дополнительных профессиональных программ в РАНХиГС (Приложение № 3). Положение об итоговой аттестации слушателей дополнительных профессиональных программ в РАНХиГС (Приложение № 4).
Приказ о внесении изменений в Правила приема на обучение по дополнительным профессиональным программам
Положение о порядке и основаниях перевода студентов (копии) (электронный документ)
Положение о порядке и основаниях отчисления и восстановления обучающихся в РАНХиГС (копии) (электронный документ)
Положение о порядке оформления возникновения, приостановления и прекращения образовательных отношений между РАНХиГС и обучающимися (копии) (электронный документ)
Положение о порядке оказания РАНХиГС платных образовательных услуг (электронный документ)
Положение об основаниях и порядке снижения стоимости платных образовательных услуг для студентов и аспирантов, осваивающих в РАНХиГС основные образовательные программы высшего образования (копии) (электронный документ)
Положения об основаниях и порядке снижения стоимости платных образовательных услуг для студентов, осваивающих а РАНХиГС образовательные программы СПО
Образец договора об оказании платных образовательных услуг (основные профессиональные программы, утвержден приказом от 15. 06.2020 № 02-467, в редакции приказа от 30.04.2021 № 02-450) (копии)
Образец договора об оказании платных образовательных услуг (дополнительные образовательные программы, утвержден приказом № 02-1228 от 23.09.2019) (архив изменений)
Положение о применении в РАНХиГС электронного обучения, дистанционных образовательных технологий при реализации образовательных программ (электронный документ)
Положение об организации и осуществлении в РАНХиГС образовательной деятельности при сетевой форме реализации образовательных программ (копии) (электронный документ)
Положение о зачете в РАНХиГС результатов освоения обучающимися учебных предметов, курсов, дисциплин (модулей), практики, дополнительных образовательных программ (электронный документ)
Положение об организации академической мобильности обучающихся в РАНХиГС (электронный документ)
Положение о языках образования и порядке получения в РАНХиГС образования на иностранном языке (электронный документ)
Положение о прохождении экстерном промежуточной и государственной итоговой аттестации по образовательным программам высшего образования – программам бакалавриата, специалитета, магистратуры (копии) (электронный документ)
Положение о порядке признания в РАНХиГС образования и (или) квалификации, полученных в иностранном государстве (копии) (электронный документ)
Требования РАНХиГС к программам профессиональной переподготовки для приобретения квалификации «Мастер делового администрирования – Master of Business Administration (MBA)»
Положение РАНХиГС о реализации программ среднего профессионального образования
Положение о переходе лиц, обучающихся в РАНХиГС по образовательным программам среднего профессионального и высшего образования, с платного обучения на бесплатное
Положение о порядке проведения проверки на наличие неправомерных заимствований работ, выполняемых в рамках образовательной, научно- исследовательской и экспертно-аналитической деятельности в Федеральном государственном бюджетном образовательным учреждении высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации»
Положение о проведении в РАНХиГС государственной итоговой аттестации по образовательным программам высшего образования — программам бакалавриата, программам специалитета и программам магистратуры ( копии) (электронный документ)
Положение о выпускной квалификационной работе по программам высшего образования (копии) (электронный документ)
Положение о выпускной квалификационной работе по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры, выполняемой в виде стартапа (копии) (электронный документ)
Порядок размещения текстов выпускных квалификационных работ и научных докладов об основных результатах подготовленной научно-квалификационной работы (диссертации) на соискание ученой степени кандидата наук в электронно-библиотечной системе, проверки их на объем заимствования, в том числе содержательного, выявления неправомочных заимствований в федеральном государственном бюджетном образовательном учреждении высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации»
Положение о практической подготовке студентов, осваивающих образовательные программы высшего образования в РАНХиГС (электронный документ)
Положение об организации самостоятельной работы студентов федерального государственного бюджетного образовательного учреждения высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» (копии) (электронный документ)
Порядок освоения в РАНХиГС факультативных и элективных дисциплин (модулей) образовательных программ высшего образования – программ бакалавриата, программ специалитета, программ магистратуры (копии) (электронный документ)
Положение о курсовой работе и курсовом проектировании в РАНХиГС (электронный документ)
Положение об освоении обучающимися наряду с учебными курсами, дисциплинами (модулями) по осваиваемой образовательной программе любых других учебных курсов, дисциплин (модулей), преподаваемых в РАНХиГС, а также одновременном освоении нескольких основных профессиональных образовательных программ (электронный документ)
Порядок проведения в РАНХиГС занятий по физической культуре при различных формах обучения, при сочетании различных форм обучения, а также при освоении образовательной программы инвалидами и лицами с ограниченными возможностями здоровья (копии) (электронный документ)
Положение об участии обучающихся РАНХиГС в формировании содержания своего профессионального образования (электронный документ)
Положение о проведении в РАНХиГС итоговой аттестации по не имеющим государственной аккредитации образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры (копии) (электронный документ)
Положение о порядке проверки на объем заимствования, в том числе содержательного, выявления неправомочных заимствований текстов работ, выполняемых в рамках образовательной, научно-исследовательской и экспертно-аналитической деятельности в РАНХиГС (архив изменений)
Положение о защите обучающихся от информации, причиняющей вред их здоровью и развитию (копии) (электронный документ)
Положение о порядке классификации информационной продукции, находящейся в фондах библиотек РАНХиГС, а также издаваемой структурными подразделениями РАНХиГС, и размещения знака информационной продукции (копия) (электронный документ)
Положение от об условиях присутствия обучающихся на публичном показе, при публичном исполнении, демонстрации посредством зрелищного мероприятия информационной продукции, запрещенной для детей, в случае их организации и (или) проведения в РАНХиГС (копии) (электронный документ)
Порядок посещения обучающимися мероприятий, проводимых в РАНХиГС и не предусмотренных учебным планом (электронный документ)
Положение о порядке учета мнения советов обучающихся, советов родителей, представительных органов обучающихся при принятии федеральным государственным бюджетным образовательным учреждением высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» локальных нормативных актов, затрагивающих права обучающихся (электронный документ)
Политика гарантии качества высшего образования Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (электронный документ)
Приказ о максимальном размере платы за пользование жилым помещением от 31. 08.2015 г.
Локальный нормативный акт, определяющий размер платы за пользование жилым помещением и коммунальные услуги в общежитии для обучающихся
Политика РАНХиГС в отношении обработки персональных данных
Положение об обработке персональных данных работников (Приказ № 02-438 от 06.07.2017 г.)
Положение о порядке внутренней аккредитации и контроле качества образовательных программ федерального государственного бюджетного образовательного учреждения высшего образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» ( копии)
Положение о внутренней системе оценки качества образования в РАНХиГС
Положение о дисциплинарной комиссии РАНХиГС (изменения от 22.05.2018)
Порядок формирования, ведения и хранения личных дел обучающихся
Порядок разработки и утверждения в РАНХиГС образовательных программ высшего образования
О внесении изменений в Порядок разработки и утверждения в РАНХиГС образовательных программ высшего образования
Порядок разработки и утверждения в РАНХиГС образовательных программ СПО и их актуализации
Положение о совете по защите диссертаций на соискание ученой степени кандидата наук, доктора наук в Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации
Положение об академическом отпуске, отпуске по беременности и родам, отпуске по уходу за ребенком, предоставляемом обучающимся в РАНХиГС
Цены на услуги, оказываемые в Спортивном комплексе кафедры физического воспитания и здоровья РАНХиГС
Регламент комиссии по урегулированию споров между участниками образовательных отношений
Образец справки об обучении и порядок заполнения, учета и выдачи справки об обучении в РАНХиГС
Об электронном взаимодействии при оказании в Академии платных образовательных услуг (копии)
Локальные нормативные акты Лицея Академии при Президенте РФ
Правила приема в Лицей
Положение о приемной комиссии Лицея
Изменения в Положение о порядке обучения по индивидуальному учебному плану, в том числе ускоренного обучения, по образовательной программе среднего общего образования
Приказ «Об утверждении локальных нормативных актов, регулирующих деятельность Лицея» № 01-2014 от 21. 04.2016 г.
Положение о Лицее Академии при Президенте Российской Федерации
Положение о педагогическом совете
Положение об индивидуальных исследовательских проектах обучающихся
Положение о порядке обучения на дому лиц, которые по состоянию здоровья не могут посещать учебные занятия
Положение о порядке обучения по индивидуальному учебному плану, в том числе ускоренного обучения
Положение о порядке организации мероприятий, в том числе выездных, которые не предусмотрены учебным планом, порядок посещения обучающимися таких мероприятий, а также участия обучающихся в мероприятиях, проводимых иными организациями
Положение о порядке организации питания обучающихся
Положение о текущем контроле успеваемости обучающихся и промежуточной аттестации обучающихся
Положение об осуществлении перевода лиц, обучающихся по образовательной программе среднего общего образования, в ФГБОУ ВО «РАНХиГС» из других образовательных организаций, из указанного учреждения в другие образовательные организации, а также внутри указанного учреждения
Положение об электронном журнале образовательного процесса
Порядок пользования обучающимися учебниками и учебными пособиями, доступа обучающихся и работников к информационно-телекоммуникационным сетям и базам данных, учебным и методическим материалам, материально-техническим средствам обеспечения образовательной деятельности в Лицее
Порядок разработки и утверждения в РАНХиГС образовательных программ среднего общего образования
Регламент комиссии по проведению повторной промежуточной аттестации обучающихся
Положение об обоснованиях и порядке снижения стоимости платных образовательных услуг для выпускников Лицея РАНХиГС, осваивающих а РАНХиГС основные образовательные программы высшего образования
Положение об обоснованиях и порядке снижения стоимости платных образовательных услуг для обучающихся, осваивающих в Лицее РАНХиГС дополнительные общеобразовательные программы
Академия не реализует программы дошкольного образования
Отчет о самообследовании
2021
Отчет РАНХиГС за 2016 г.
Часть I. Анализ состояния и перспективы развития системы образования Академии
Часть II. Показатели мониторинга системы образования Академии
Положения о филиалах
Среднерусский институт управления
Ставропольский филиал
Тамбовский филиал
Тверской филиал
Тольяттинский филиал
Тульский филиал
Ульяновский филиал
Уральский институт управления
Чебоксарский филиал
Челябинский филиал
Читинский филиал
Южно-
Российский институт управления
ЗУОК «Солнечный»
Раздел «Документы» на сайтах филиалов РАНХиГС
Среднерусский институт управленияСтавропольский филиал
Тамбовский филиал
Тверской филиал
Тольяттинский филиал
Тульский филиал
Ульяновский филиал
Уральский институт управления
Чебоксарский филиал
Челябинский филиал
Читинский филиал
Южно-Российский институт управления
Политика защиты данных в соответствии с GDPR (бесплатный шаблон)
Политика защиты данных — это документация, которая обобщает все юридические аспекты защиты данных в компании. Он включает в себя цели, обязанности и обязательства по документации и является одним из наиболее важных стратегических документов компании.
Хорошая политика защиты данных способствует соблюдению обязательств по подотчетности в соответствии с Европейским общим регламентом защиты данных (GDPR), установленным надзорными органами.Он также служит основой для обязательных аудитов защиты данных, например заказчиком.
Шаблон от activeMind AG поможет вам разработать политику защиты данных, которая обеспечивает оптимальную поддержку для всех сторон, участвующих в обработке данных в компании. В то же время это внешне показывает важность и приверженность компании защите данных.
Кому нужна политика защиты данных?
GDPR включает принцип обязательной отчетности в ст.5 (2). Соответственно, каждое ответственное лицо или офис должны иметь возможность предоставить доказательства наличия общей политики соответствия требованиям защиты данных, которая также должна регулярно пересматриваться и, при необходимости, дорабатываться.
Другими словами, компании, обрабатывающие персональные данные, должны установить процедуру для регулярного анализа, оценки и оценки эффективности мер защиты и безопасности данных. Для этого оптимальной отправной точкой является политика защиты данных.
Каково содержание политики защиты данных?
Политика защиты данных должна быть хорошо структурирована, потому что она должна быть понятной как для внутренних, так и для внешних заинтересованных сторон.
Он также должен отображать индивидуальные условия в компании. Поэтому шаблоны или образцы всегда следует настраивать для конкретного случая. Однако надлежащая политика защиты данных должна содержать как минимум следующее:
- Политика защиты данных и обязанности в компании
- Правовая база в компании
- Документация
- Существующие технические и организационные меры
- Организационные минимальные правила
Образец шаблона политики конфиденциальности GDPR
Одна из важнейших концепций Общего регламента ЕС по защите данных (GDPR) — это прозрачность . Физические лица владеют своими личными данными. Как компания, занимающаяся обработкой этих персональных данных, вы должны раскрыть все , что вы с ними делаете. Вот почему так важно иметь политику конфиденциальности .
Политика конфиденциальности обязательна согласно многим законам о конфиденциальности. Согласно GDPR, это один из важнейших документов вашей компании. Это единственный способ продемонстрировать своим клиентам и властям, что вы серьезно относитесь к защите данных.
Политика конфиденциальности GDPR иногда называется Заявлением о конфиденциальности GDPR или Уведомлением о конфиденциальности GDPR.
Давайте посмотрим, что требует закон, и как вы можете адаптировать свою Политику конфиденциальности к контексту вашего бизнеса.
Почему важна Политика конфиденциальности GDPR?
Персональные данные — это большой бизнес. Такие компании, как Google и Facebook, имеют доходы больше, чем в некоторых странах. Они заработали состояние на обработке личных данных людей.
GDPR устанавливает правила о том, как личные данные должны обрабатываться в ЕС.Он также предоставляет права отдельным лицам в отношении их личных данных. Без таких законов о конфиденциальности, как GDPR, люди потеряли бы контроль над информацией, которую о них собирают предприятия и правительства.
Политика конфиденциальности — это возможность вашей компании показать своим клиентам, что вам можно доверять их личные данные. Это также шанс по-настоящему понять, сколько личных данных контролирует ваша компания, и соответствуют ли ваши методы защиты данных и юридическим требованиям.
Ваша компания, возможно, уже разработала Политику конфиденциальности в соответствии с одним из многих других законов, которые требуют ее, например:
GDPR другой. Его требования более строгие, чем , чем любой из вышеперечисленных законов, и всего, что вы подготовили для их соблюдения, скорее всего, будет недостаточно согласно GDPR.
Важные разделы политики конфиденциальности GDPR
GDPR устанавливает особые требования к информации, которую вы должны предоставить в своей Политике конфиденциальности.В основном они изложены в статьях 13 и 14.
Важно помнить, что это общедоступный документ, и его , а не написаны специально для ваших клиентов. Он должен быть нацелен на всех , чьи персональные данные вы можете обрабатывать, включая потенциальных клиентов и посетителей вашего веб-сайта .
Давайте посмотрим, что вам нужно включить.
Введение
Вы должны начать свою Политику конфиденциальности с краткого объяснения того, кто ваша компания и какова ваша Политика конфиденциальности.
Укажите дату, с которой Политика конфиденциальности вступает в силу (« дата вступления в силу »).
Вот как Visa Global начинает свою Политику конфиденциальности:
Вы должны указать юридическое название и юридический адрес вашей компании.
Вот как это делает MembersFirst:
Если у вас есть сотрудник по защите данных (DPO) и / или представитель в ЕС, вы также должны указать их контактные данные.
Выше вы заметили, что MembersFirst называет себя «контролером данных».«Для целей GDPR ваша компания, вероятно, тоже является« контролером данных »- если она принимает решений, о , как и , почему обрабатываются персональные данные .
Определения
В соответствии со статьей 12 GDPR ваша Политика конфиденциальности должна быть написана на ясном и доступном языке . Поэтому вам следует по возможности избегать использования юридической терминологии.
Однако в некоторых случаях этого можно избежать. Поэтому вам следует включить в свою Политику конфиденциальности раздел, в котором вы дадите определений и ключевых терминов.
Некоторые компании дают свои определения непосредственно из статьи 4 GDPR. Это подход AEG:
На самом деле это не так уж и полезно для читателя. Возможно, определение « субъекта данных » как « идентифицируемое физическое лицо […], которое может быть идентифицировано, прямо или косвенно, в частности, по идентификатору », мало что дает для прояснения того, что этот термин на самом деле означает для непрофессионал.
Вот еще один пример из Edgbaston Park Hotel.Его определения более доступны и понятны .
Здесь вы можете увидеть разницу между написанием легальным языком и написанием обычным голосом, который намного легче понять.
Принципы обработки персональных данных
Статья 5 GDPR содержит шесть принципов, в соответствии с которыми должны обрабатываться все персональные данные.
Это:
- Законность , справедливость , и прозрачность : соблюдать закон; обрабатывать личные данные только так, как люди разумно ожидают; всегда открыто рассказывайте о своих методах защиты данных.
- Ограничение цели : обычно вы должны обрабатывать личные данные только по конкретной причине, по которой вы их собрали, и ничего больше.
- Минимизация данных : не обрабатывайте больше данных, чем вам нужно.
- Точность : убедитесь, что все личные данные, которые вы храните, достоверны и точны.
- Ограничение хранения : не храните личные данные дольше, чем необходимо.
- Целостность и конфиденциальность : всегда безопасно обрабатывать личные данные.
Некоторые компании предпочитают изложить эти принципы в своей Политике конфиденциальности, просто указав в списке и заявив, что они соблюдают их. Это подход, принятый CRG:
Другие используют более персонализированный подход , перечисляя конкретные принципы своей компании и связывая их с принципами GDPR. Вот пример Международного института окружающей среды и развития:
Типы обрабатываемых вами персональных данных
Определение « персональных данных » в GDPR очень широко.Скорее всего, ваша компания обрабатывает много данных.
Поскольку все, от IP-адресов до файлов cookie , представляет собой личные данные, ваш веб-сайт может обрабатывать личные данные людей, которые никогда даже не свяжутся с вашей компанией. В своей Политике конфиденциальности вы должны указать абсолютно ясно, , около , каждый тип личных данных, с которыми вы имеете дело, и почему вам это нужно.
Многие компании разбивают эту часть своей Политики конфиденциальности на подразделы, такие как «данные, которые вы нам предоставляете», «данные, собранные нашим веб-сайтом» и т. Д.
Вот пример из Clearcast:
Затем вы можете разбить эту информацию на более подробных категорий . Вот как это делает Synthorx:
Будьте как можно более подробными и конкретными при раскрытии типов персональных данных, которые вы собираете и обрабатываете. Постарайтесь раскрыть эту информацию так, чтобы ваши пользователи могли ее понять.
Как вы обрабатываете личные данные
В соответствии с принципами « ограничение цели » и « минимизация данных » у вас всегда должна быть уважительная причина для обработки любых личных данных, которыми вы владеете.
Вы должны указать наши цели для обработки персональных данных в своей Политике конфиденциальности.
Вот выдержка из соответствующей части Политики конфиденциальности The Independent:
Это также может быть пункт, в котором описывается, «как» и «почему» используются данные, при условии, что пользователи проинформированы о том, что именно вы делаете с собираемыми вами данными.
Правовая основа
GDPR позволяет обрабатывать личные данные только на одной из шести юридических (или «законных») оснований.Вам не разрешается обрабатывать личные данные, если вы не установили для этого хорошее , юридическое обоснование .
Правовыми основаниями для обработки персональных данных являются:
- Согласие : вы получили их разрешение в соответствии с GDPR
- Договор : вам необходимо обработать свои личные данные для выполнения договора
- Юридическое обязательство : вы нарушите закон, если не обработаете их личные данные
- Жизненно важные интересы : их жизнь (или чья-то жизнь) зависит от того, как вы обрабатываете их личные данные
- Общедоступная задача : вам необходимо обработать их личные данные для выполнения задачи, отвечающей общественным интересам
- Законные интересы : обработка их личных данных отвечает вашим интересам, и вы выполнили оценку законных интересов
Ваша Политика конфиденциальности должна содержать подробную информацию о ваших юридических основаниях для обработки.
Некоторые компании связывают свою правовую базу с типами персональных данных, которые они обрабатывают, и причинами их обработки. Вот как это делает Pint of Science:
Если вы полагаетесь на « законных интересов », вам необходимо указать, каковы ваши законные интересы.
Если вы используете « согласие » в качестве законного основания, вы должны включить ссылку на право ваших пользователей отозвать согласие . Вот как это делает Sharp:
Если ваша правовая основа — « контракт », вам необходимо сообщить людям, что произойдет, если они не предоставят вам личные данные, необходимые для выполнения контракта.Вот как это работает Бюджет:
Убедитесь, что вы знаете, каково ваше правовое основание (или есть), и сообщите об этом.
Хранение личных данных
Принцип « ограничения хранения » требует, чтобы вы не хранили личные данные дольше, чем это необходимо. В вашей Политике конфиденциальности необходимо указать , как долго вы будете хранить различные типы персональных данных, которые вы собираете.
Это не всегда будет конкретный период (т.е. одна неделя, два месяца и т. д.). Это может определяться продолжительностью времени, в течение которого вам нужны данные (например, пока человек не закроет свою учетную запись).
Вот часть соответствующего раздела в Политике конфиденциальности Big Yellow Storage:
Если вы храните разные типы данных в течение разных периодов времени, раскрывайте это как можно более конкретно.
Кому вы предоставляете личные данные
Вам разрешено делиться личными данными в соответствии с GDPR, если вы прозрачны об этом, и у вас есть действующее правовое основание для этого.Подробная информация об этом должна быть указана в вашей Политике конфиденциальности.
Вот часть соответствующего раздела Политики конфиденциальности First Table:
Обратите внимание, что GDPR не требует, чтобы вы указывали имен каждой компании, с которой вы делитесь данными, а только общие типов компаний (например, платежные системы, почтовые перевозчики и т. Д.).
Однако обязательно ознакомьтесь с Условиями использования компаний, с которыми у вас есть Соглашение об обработке данных.Некоторые из них, например Google, требуют, чтобы вы их конкретно называли.
Вот как Discover France выполняет требования Google по раскрытию информации:
В пункте прямо указано, что «данные Google Analytics передаются в Google», что позволяет пользователям Discover France узнать, что третья сторона (Google) получает некоторые из их личных данных.
Международная передача персональных данных
Если вы переносите персональных данных из ЕС в страну, не входящую в ЕС (например, если ваш веб-сервер находится в США или вы используете процессор данных из Австралии), вам необходимо объяснить это в своей Политике конфиденциальности. .
Есть только определенные причины, по которым вы можете передавать личные данные за пределы ЕС. К ним относятся:
- Страна, не входящая в ЕС, в которую вы передаете личные данные, была признана Европейской Комиссией с уровнем защиты данных « адекватный »;
- «Соответствующие» страны включают Канаду и Новую Зеландию. США включены, но только , если компания из США является частью структуры Privacy Shield.
- У вас есть договор с получателем, который содержит стандартные положения о защите данных;
- Вы передаете личные данные в пределах международной компании (или группы компаний, работающих вместе) в соответствии с обязательными корпоративными правилами;
- В крайнем случае и с некоторыми другими условиями, у вас есть согласие человека на передачу его данных .
В этом разделе вашей Политики конфиденциальности необходимо объяснить, какой из этих механизмов вы используете для международных переводов.
VIDA Diagnostics использует стандартные договорные положения для облегчения своих международных переводов. Вот как VIDA объясняет это в своей Политике конфиденциальности:
Belmond использует другой подход, охватывая все аспекты своей Политики конфиденциальности:
Права на данные
GDPR предоставляет физическим лицам восемь прав на их личные данные.При соблюдении определенных условий вы должны обеспечить соблюдение этих прав, когда вас об этом попросят.
Это права:
- Право на получение информации
- Право доступа
- Право на исправление
- Право на стирание (известное как «право на забвение»)
- Право на ограничение обработки
- Право на переносимость данных
- Объект
- Права в отношении автоматизированного принятия решений
Скорее всего, не все права распространяются на вашу компанию, но вы должны быть с ними знакомы в любом случае.
Ваша Политика конфиденциальности должна предоставлять информацию об этих индивидуальных правах, а также предоставлять метод , с помощью которого люди могут их реализовать. Это может быть веб-форма или просто адрес электронной почты.
Вот как Оксфордский университет предоставляет информацию о некоторых из этих прав:
И вот как люди могут связаться с университетом в связи с этими правами:
Кембриджский университет, с другой стороны, облегчает право доступа через онлайн-форму :
Запросы, касающиеся других прав, можно выполнить по электронной почте:
Вы также должны проинформировать своих пользователей об их праве подать жалобу в орган по защите данных, например, в Управление комиссара по информации (ICO) в Великобритании или в Комиссию по защите данных (DPC) в Ирландии.
Вот как это делает благотворительная организация Make-A-Wish:
Изменения в вашей политике конфиденциальности
Вы должны сообщить людям, что вам может потребоваться внести изменения в вашу Политику конфиденциальности, и сообщить им, как вы будете информировать их об этом.
Вот пример из Power to Change:
Рекомендуется сообщить пользователям, что они должны регулярно просматривать вашу Политику конфиденциальности, чтобы быть в курсе любых несущественных изменений и видеть текущие способы обработки их информации.
Часто задаваемые вопросы: Политика конфиденциальности GDPR
Вот список часто задаваемых вопросов, которые могут оказаться полезными.
Если вы подпадаете под юрисдикцию GDPR , у вас должна быть Политика конфиденциальности, соответствующая GDPR.
GDPR применяется к вам, если вы:
- Находятся в ЕС, или
- Предлагать товары и услуги физическим лицам, находящимся в ЕС, или
- Наблюдать за поведением лиц, находящихся в ЕС
Даже если вы не подпадаете под действие GDPR, сделать вашу Политику конфиденциальности соответствующей GDPR — это разумная идея .GDPR в настоящее время является самым строгим законом о конфиденциальности в мире, и другие законы начинают его отражать.
По мере принятия новых законов о конфиденциальности и ужесточения существующих законов вы будете на шаг впереди в соблюдении, если приведете свою Политику конфиденциальности в соответствие с GDPR.
Помимо стандартных положений Политики конфиденциальности, GDPR имеет некоторые особые требования, в том числе следующие:
- Ваша Политика конфиденциальности должна быть написана ясным и легким для понимания языком
- Вы должны указать свое правовое основание для обработки личной информации
- Вы должны раскрыть права пользователя, предоставленные GDPR
- Вы должны сообщить пользователям, как долго вы храните их личную информацию для
- Международные передачи данных должны быть рассмотрены подробно, с перечисленными гарантиями
Типичные обновления Политики конфиденциальности для удовлетворения требований GDPR включают следующее:
- Упрощение языка и форматирования вашей Политики конфиденциальности для облегчения чтения и понимания
- Получение согласия в соответствии с GDPR на вашу Политику конфиденциальности, если вы этого не делали
- Включая дополнительные пункты и информацию, такую как права пользователя GDPR, ваше правовое основание для обработки личной информации, способы защиты любых международных передач данных, которыми вы участвуете, а также контактную информацию вашего сотрудника по защите данных и представителя в ЕС, если применимо
Добавьте ссылку на вашу Политику конфиденциальности GDPR в нижнем колонтитуле вашего веб-сайта .Это соответствует требованию GDPR о том, что ваша Политика конфиденциальности должна быть легко и свободно доступна.
Вам также потребуется добавить ссылку на вашу Политику конфиденциальности GDPR везде, где вы собираете личную информацию . Например:
- Формы регистрации аккаунта
- Формы подписки на рассылку новостей по электронной почте
- Электронная почта
- Контактные формы
- Экраны оплаты / кассы электронной торговли
- Списки мобильных приложений в магазинах приложений
- В мобильных приложениях в меню, например в меню «О программе» или «Юридические сведения».
Заставьте пользователей согласиться с вашей Политикой конфиденциальности GDPR, установив неотмеченный флажок рядом с заявлением, в котором говорится что-то похожее на «». Установив этот флажок, вы подтверждаете, что прочитали и принимаете условия Политики конфиденциальности. «
Когда пользователь щелкает поле и переходит к вашему веб-сайту или мобильному приложению, вы получаете согласие с вашей Политикой конфиденциальности в соответствии с GDPR.
Отображение вашей политики конфиденциальности GDPR
Ваша Политика конфиденциальности не является контрактом . Вы можете выполнять некоторую обработку данных в соответствии с контрактом или с согласия ваших пользователей. Но у них действительно нет выбора, соглашаться ли они с самой Политикой конфиденциальности.
Таким образом, хотя вам может не потребоваться, чтобы ваши клиенты «соглашались» с вашей Политикой конфиденциальности так же, как они могли бы согласиться с вашими Положениями и условиями или Политикой возврата и возмещения средств, вы должны попытаться убедиться, что они ее прочитали. .Вы также можете попросить их подтвердить, что они это сделали.
Итак, ваша Политика конфиденциальности должна быть заметна и доступна всем, кто взаимодействует с вашим бизнесом.
Вот несколько способов сделать так, чтобы его заметили
на вашем сайте
Вам следует разместить ссылку на вашу Политику конфиденциальности в нижнем колонтитуле, который сохраняется на каждой странице вашего веб-сайта. Вы можете разместить его вместе с другими политиками, такими как Условия использования или Политика допустимого использования .
Вот как это делает The Times:
Если вы управляете магазином электронной коммерции , вы должны убедиться, что ваши клиенты могут прочитать вашу Политику конфиденциальности в момент, когда они совершают покупку . Вот пример из Amazon UK:
Всякий раз, когда вы спрашиваете у своих пользователей согласия , вы также должны обратить их внимание на вашу Политику конфиденциальности. Вот как это делает Profile Editions при запросе согласия на прямой маркетинг :
Убедитесь, что ваша Политика конфиденциальности постоянно доступна, чтобы ваши пользователи могли просматривать ее в любое время.Включите его в моменты, когда вы собираете личную информацию (например, адреса электронной почты или платежную информацию), как напоминание, которое ваши пользователи могут проверить, чтобы узнать, как вы будете использовать эту личную информацию.
в вашем мобильном приложении
Если у вашей компании есть мобильное приложение, важно, чтобы ваши пользователи могли получить доступ к вашей Политике конфиденциальности из внутри приложения .
Например, приложение Just Eat предоставляет ссылку на свою Политику конфиденциальности в меню «Справка»:
Меню «Настройки» или «Правовая информация» — это другие области, в которых пользователи должны искать политику конфиденциальности.
Если ваши пользователи могут создать учетную запись в вашем приложении, важно представить вашу Политику конфиденциальности в момент сбора их информации. Вот как это делает Facebook (обратите внимание, что Facebook называет свою Политику конфиденциальности «Политикой данных»):
В ваших сообщениях
Каждый раз, когда вы отправляете автоматическое письмо , вы должны ссылаться на свою Политику конфиденциальности в нижнем колонтитуле. Это особенно важно, когда вы отправляете прямые маркетинговые сообщения.
Вот пример из Waitrose:
Краткое изложение вашей политики конфиденциальности GDPR
Написание Политики конфиденциальности — одно из важнейших юридических обязательств в соответствии с GDPR. Чтобы убедиться, что он соответствует строгим стандартам ЕС, убедитесь, что вы указали:
- Введение , объясняющее назначение документа
- Дата вступления в силу Политики конфиденциальности (или дата ее последнего обновления)
- Название вашей компании и контактные данные
- Имя и контактные данные для важных ролей (DPO, Представитель ЕС и т. Д.)
- Защита ваших данных Принципы
- типов обрабатываемых вами персональных данных
- Как и почему вы обрабатываете личные данные
- Ваша правовая база для каждого акта обработки
- Как долго вы храните личные данные
- Типы третьих лиц , с которыми вы делитесь персональными данными
- Подробная информация о любых переводах в страны, не входящие в ЕС
- Уведомление об изменении Политики конфиденциальности
Скачать шаблон политики конфиденциальности GDPR
Загрузите наш шаблон политики конфиденциальности GDPR в виде файла PDF, DOCX или документа Google.
Этот бесплатный загружаемый шаблон включает следующие разделы:
- Определения
- Принципы обработки персональных данных
- Какие персональные данные мы собираем и обрабатываем
- Как мы используем личные данные
- Правовая основа для сбора и обработки персональных данных
- Хранение личных данных
- Права на защиту данных
Написание уведомления о конфиденциальности в соответствии с GDPR (шаблон включен)
Загрузите PDF-версию этого шаблона здесь.Прозрачность и информирование общественности об использовании их данных — две основные цели GDPR. В этой статье объясняется, что такое уведомление о конфиденциальности, и предлагается шаблон уведомления о конфиденциальности, который поможет вам соблюдать закон.
Общий регламент ЕС по защите данных (GDPR) — это первый шаг к предоставлению гражданам и резидентам ЕС большего контроля над тем, как их данные используются организациями. Если ваша компания обрабатывает личную информацию людей в ЕС, вы должны соблюдать GDPR, где бы вы ни находились.Штрафы за нарушение новых прав людей на конфиденциальность могут составлять до 4 процентов от вашего глобального дохода или 20 миллионов евро, в зависимости от того, что больше.
Уведомление о конфиденциальности GDPR — важный способ помочь вашим клиентам принимать обоснованные решения в отношении данных, которые вы собираете и используете. Мы собрали некоторую информацию из самого закона и руководящих документов ЕС, чтобы помочь вам понять компоненты хорошего уведомления о конфиденциальности. А внизу мы включили шаблон уведомления о конфиденциальности, который вы можете адаптировать к своей организации.
Что такое уведомление о конфиденциальности?
Уведомление о конфиденциальности — это общедоступный документ организации, в котором объясняется, как эта организация обрабатывает личные данные и как она применяет принципы защиты данных. Статьи 12, 13 и 14 GDPR содержат подробные инструкции о том, как создать уведомление о конфиденциальности, с упором на то, чтобы сделать их легкими для понимания и доступными. Если вы собираете данные напрямую от кого-то, вы должны предоставить им уведомление о конфиденциальности в тот момент, когда вы это сделаете.
Обратите внимание, что термины «уведомление о конфиденциальности» и «политика конфиденциальности» фактически не встречаются в тексте GDPR и по сути являются взаимозаменяемыми. Рекомендации, изложенные в этой статье, применимы к любым общедоступным документам, в которых ваша организация описывает свою деятельность по обработке данных для клиентов и общественности.
Согласно GDPR, организации должны предоставить людям уведомление о конфиденциальности, которое имеет следующий вид:
- В краткой, прозрачной, понятной и легко доступной форме
- Написано ясным и понятным языком, особенно для любой информации, адресованной специально для ребенок
- Предоставляется своевременно
- Предоставляется бесплатно
GDPR также определяет, какую информацию организация должна предоставлять в уведомлении о конфиденциальности.Требования могут немного отличаться в зависимости от того, собирает ли организация свои данные напрямую от физического лица или получает их от третьего лица.
Если организация собирает информацию напрямую от физического лица, она должна включить следующую информацию в свое уведомление о конфиденциальности:
- Личность и контактные данные организации, ее представителя и ее сотрудника по защите данных
- Цель для организация для обработки персональных данных физического лица и их правовая основа
- Законные интересы организации (или третьей стороны, если применимо)
- Любой получатель или категории получателей данных физического лица
- Подробные сведения о любой передаче персональных данных третья страна и принятые меры предосторожности
- Срок хранения или критерии, используемые для определения срока хранения данных
- Наличие прав каждого субъекта данных
- Право отозвать согласие в любое время (если применимо)
- Право подать жалобу в надзорный орган
- личных данных является частью законодательного или договорного требования или обязательства и возможных последствий непредоставления личных данных
- Наличие автоматизированной системы принятия решений, включая профилирование, и информацию о том, как эта система была настроена, значение и последствия
Если организация получает ваши данные косвенно (через другую организацию), ее уведомление о конфиденциальности должно содержать ту же информацию, за исключением :
- Является ли предоставление персональных данных частью закона или договорное требование или обязательство и возможные последствия непредоставления персональных данных
И вместо этого необходимо добавить :
- Категории полученных персональных данных
Согласно Статье 14 (3), если вы получаете персональные данные от третьей стороны, вы также должны передать вышеуказанную информацию субъекту данных: не позднее, чем через один месяц. n-е после того, как вы получили данные, при первом общении с субъектом данных или перед передачей данных другой организации.
Обычно уведомление о конфиденциальности предоставляется в письменной форме и, при необходимости, в электронном виде. Каждая организация, поддерживающая веб-сайт, должна опубликовать там свое уведомление о конфиденциальности под заголовком «Политика конфиденциальности», и оно должно быть доступно по прямой ссылке с каждой веб-страницы. Если веб-сайт собирает какие-либо личные данные в Интернете, уведомление о конфиденциальности или ссылка на него должны быть предоставлены на той же странице, где происходит сбор данных. GDPR также гласит, что уведомления о конфиденциальности должны быть доступны в устной форме по запросу, чтобы обеспечить понимание и помочь людям с ослабленным зрением.
Передовые методы уведомления о конфиденциальности GDPR
В уведомлениях о конфиденциальности следует избегать использования таких определителей, как «может», «может», «некоторые», «часто» и т. Д., Поскольку они намеренно расплывчаты. Письмо должно быть в активном времени, а предложения и абзацы должны быть хорошо структурированы, с использованием маркеров для выделения конкретных моментов. Избегайте излишней юридической и технической терминологии.
В соответствии с директивами GDPR Европейской комиссии приведенные ниже фразы недостаточно ясны для целей обработки.(Мы взяли эти примеры непосредственно из документа.)
- «Мы можем использовать ваши персональные данные для разработки новых услуг» (поскольку неясно, что такое «услуги» и как данные будут способствовать их развитию)
- «Мы может использовать ваши персональные данные в исследовательских целях »(так как неясно, к какому« исследованию »это относится)
- « Мы можем использовать ваши персональные данные для предоставления персонализированных услуг »(поскольку неясно, что влечет за собой« персонализация »)
- С другой стороны, такие фразы намного лучше:
«Мы сохраним вашу историю покупок и будем использовать сведения о ранее приобретенных вами продуктах, чтобы предлагать вам другие продукты, которые, как мы полагаем, также будут вам интересны. »(Ясно, какие типы данных будут обрабатываться, что субъект данных будет подвергаться таргетированной рекламе продуктов и что их данные будут использоваться для этого) - « Мы будем сохранять и оценивать информацию о ваших недавних посещениях. к наш веб-сайт и то, как вы перемещаетесь по различным разделам нашего веб-сайта в аналитических целях, чтобы понять, как люди используют наш веб-сайт, чтобы мы могли сделать его более интуитивно понятным »(ясно, какой тип данных будет обрабатываться и тип анализа, который контролер будет выполнять)
- «Мы будем вести учет статей на нашем веб-сайте, на которые вы нажали, и использовать эту информацию для таргетинга рекламы на этом веб-сайте для вас, которая имеет отношение к вашим интересам, которые мы определили на основе статей вы прочитали »(ясно, что влечет за собой персонализация и как были определены интересы, связанные с субъектом данных)
Шаблон уведомления о конфиденциальности GDPR
Здесь мы предоставили образец шаблона уведомления о конфиденциальности для веб-сайта, который собирает личные данные напрямую от частных лиц.Он содержит всю необходимую информацию в чистом, удобном для восприятия формате. Вам следует изменить содержимое в зависимости от того, является ли это политикой конфиденциальности вашего веб-сайта или уведомлением о конфиденциальности в отношении какой-либо другой деятельности по обработке данных.
ОБРАЗЕЦ Политики конфиденциальности нашей компании (СКАЧАТЬ PDF)
Пример: Политика конфиденциальности нашей компании
Наша компания является частью группы «Наша компания», в которую входят «Наша международная компания» и «Наша компания напрямую». Эта политика конфиденциальности объясняет, как наша организация использует личные данные, которые мы собираем от вас, когда вы используете наш веб-сайт.
Темы:
- Какие данные мы собираем?
- Как мы собираем ваши данные?
- Как мы будем использовать ваши данные?
- Как мы храним ваши данные?
- Маркетинг
- Каковы ваши права на защиту данных?
- Что такое файлы cookie?
- Как мы используем файлы cookie?
- Какие типы файлов cookie мы используем?
- Как управлять файлами cookie
- Политики конфиденциальности других веб-сайтов
- Изменения в нашей политике конфиденциальности
- Как с нами связаться
- Как связаться с соответствующими органами
Какие данные мы собираем?
Наша компания собирает следующие данные:
- Личная идентификационная информация (имя, адрес электронной почты, номер телефона и т. Д.))
- [Добавьте любые другие данные, которые собирает ваша компания]
Как мы собираем ваши данные?
Вы напрямую предоставляете нашей компании большую часть собираемых нами данных. Мы собираем и обрабатываем данные, когда вы:
- Регистрируетесь онлайн или размещаете заказ на любой из наших продуктов или услуг.
- Добровольно заполните опрос клиентов или оставьте отзыв на любой из наших досок объявлений или по электронной почте.
- Используйте или просматривайте наш веб-сайт с помощью файлов cookie вашего браузера.
- [Добавьте любые другие способы сбора данных вашей компанией]
Наша компания также может получать ваши данные косвенно из следующих источников:
- [Добавьте любой косвенный источник данных, который есть у вашей компании]
Как мы будем использовать ваши данные?
Наша компания собирает ваши данные, чтобы мы могли:
- Обработать ваш заказ и управлять вашей учетной записью.
- Отправьте вам электронное письмо со специальными предложениями по другим продуктам и услугам, которые, по нашему мнению, могут вам понравиться.
- [Добавьте, как еще ваша компания использует данные]
Если вы согласны, наша компания поделится вашими данными с нашими компаниями-партнерами, чтобы они могли предлагать вам свои продукты и услуги.
- [Список организаций, которые будут получать данные]
Когда Наша Компания обрабатывает ваш заказ, она может отправлять ваши данные в кредитные справочные агентства, а также использовать полученную от них информацию для предотвращения мошеннических покупок.
Как мы храним ваши данные?
Наша компания надежно хранит ваши данные по адресу [введите местоположение и опишите принятые меры безопасности].
Наша компания будет хранить ваши [введите тип данных] в течение [введите период времени]. По истечении этого периода мы удалим ваши данные, указав [укажите способ удаления данных пользователей].
Маркетинг
Наша компания хотела бы отправить вам информацию о наших продуктах и услугах, которые, по нашему мнению, могут вам понравиться, а также о продуктах и услугах наших компаний-партнеров.
- [Список организаций, которые будут получать данные]
Если вы согласились получать маркетинговую информацию, вы всегда можете отказаться от нее позже.
Вы имеете право в любое время запретить нашей компании связываться с вами в маркетинговых целях или передавать ваши данные другим членам нашей группы компаний.
Если вы больше не хотите, чтобы с вами связывались в маркетинговых целях, нажмите здесь.
Каковы ваши права на защиту данных?
Наша компания хотела бы убедиться, что вы полностью осведомлены обо всех своих правах на защиту данных.Каждый пользователь имеет право на следующее:
Право доступа — Вы имеете право запросить у нашей компании копии ваших личных данных. Мы можем взимать небольшую плату за эту услугу.
Право на исправление — Вы имеете право потребовать от нашей компании исправления любой информации, которую вы считаете неточной. Вы также имеете право запросить у нашей компании заполнение информации, которую вы считаете неполной.
Право на удаление — Вы имеете право потребовать, чтобы Наша Компания удалила ваши личные данные при определенных условиях.
Право на ограничение обработки — Вы имеете право потребовать, чтобы Наша Компания ограничила обработку ваших персональных данных при определенных условиях.
Право на возражение против обработки — Вы имеете право возражать против обработки нашей Компанией ваших личных данных при определенных условиях.
Право на переносимость данных — Вы имеете право потребовать от нашей компании передачи собранных нами данных другой организации или непосредственно вам при определенных условиях.
Если вы сделаете запрос, у нас будет один месяц, чтобы ответить вам. Если вы хотите воспользоваться каким-либо из этих прав, свяжитесь с нами по электронной почте:
Позвоните нам по телефону:
Или напишите нам:
Файлы cookie
Файлы cookie — это текстовые файлы, которые размещаются на вашем компьютере для сбора стандартной информации Интернет-журнала. и информация о поведении посетителей. Когда вы посещаете наши веб-сайты, мы можем автоматически собирать информацию от вас с помощью файлов cookie или аналогичных технологий.
Для получения дополнительной информации посетите allaboutcookies.орг.
Как мы используем файлы cookie?
Наша компания использует файлы cookie разными способами, чтобы улучшить ваше взаимодействие с нашим веб-сайтом, в том числе:
- Сохранение вашей учетной записи
- Понимание того, как вы используете наш веб-сайт
- [Добавьте любые варианты использования файлов cookie вашей компанией]
Какие типы файлов cookie мы используем?
Существует несколько различных типов файлов cookie, однако наш веб-сайт использует:
- Функциональность — Наша компания использует эти файлы cookie, чтобы мы могли узнавать вас на нашем веб-сайте и запоминать ваши ранее выбранные предпочтения.Они могут включать, какой язык вы предпочитаете и где находитесь. Используются как собственные, так и сторонние файлы cookie.
- Реклама — Наша компания использует эти файлы cookie для сбора информации о вашем посещении нашего веб-сайта, просмотренном вами контенте, ссылках, по которым вы переходили, и информации о вашем браузере, устройстве и вашем IP-адресе. Наша Компания иногда передает некоторые ограниченные аспекты этих данных третьим лицам в рекламных целях. Мы также можем передавать онлайн-данные, собранные с помощью файлов cookie, нашим рекламным партнерам.Это означает, что когда вы посещаете другой веб-сайт, вам может быть показана реклама на основе ваших шаблонов просмотра на нашем веб-сайте.
- [Добавьте любые другие типы файлов cookie, которые использует ваша компания]
Как управлять файлами cookie
Вы можете настроить свой браузер так, чтобы он не принимал файлы cookie, и указанный выше веб-сайт расскажет вам, как удалить файлы cookie из вашего браузера. Однако в некоторых случаях некоторые функции нашего веб-сайта могут не работать.
Политика конфиденциальности других веб-сайтов
Веб-сайт нашей компании содержит ссылки на другие веб-сайты.Наша политика конфиденциальности применяется только к нашему веб-сайту, поэтому, если вы переходите по ссылке на другой веб-сайт, вам следует ознакомиться с его политикой конфиденциальности.
Изменения в нашей политике конфиденциальности
Наша компания регулярно пересматривает свою политику конфиденциальности и размещает все обновления на этой веб-странице. Эта политика конфиденциальности последний раз обновлялась 9 января 2019 года.
Как с нами связаться
Если у вас есть какие-либо вопросы о политике конфиденциальности нашей компании, данных, которые мы храним о вас, или вы хотели бы воспользоваться одним из своих прав на защиту данных, пожалуйста, не стесняйтесь обращаться к нам.
Напишите нам по электронной почте:
Позвоните нам:
Или напишите нам по телефону:
Как связаться с соответствующим органом власти
Если вы хотите подать жалобу или если вы считаете, что наша компания не решила вашу проблему в удовлетворительным образом, вы можете связаться с Комиссаром по информации.
Электронная почта:
Адрес
Создание политики защиты данных [Шаблон]
По мере того, как организации становятся все более зависимыми от информации потребителей при принятии ключевых бизнес-решений, они вынуждены сталкиваться со сложными проблемами, связанными с конфиденциальностью данных.Потребители не только задают сложные вопросы о том, как их данные хранятся и обрабатываются, но и государственные регулирующие органы начинают более пристально смотреть на то, какие права должны иметь граждане, когда дело касается их данных. С ростом давления многие компании сосредоточились на создании четкой политики защиты данных, которая служила бы руководящим документом для их операций с данными.
Что такое политика защиты данных?
Основная цель политики защиты данных — поддерживать безопасность и целостность всех данных, которыми управляет организация, независимо от того, находятся ли они в состоянии покоя или в движении, независимо от того, где они находятся в любой момент времени.Хорошая политика будет определять объем защиты данных, указывать методы и политики защиты на каждом уровне организации, определять юридические обязательства компании в отношении данных и описывать роли и обязанности людей в организации, которые будут поручено поддерживать безопасность данных.
Большинство компаний в США знакомы с политиками конфиденциальности, но могут иметь меньше опыта с политиками защиты данных. Первые представляют собой общедоступные документы, которые объясняют клиентам, как их данные собираются, управляются и обрабатываются.Однако политика защиты данных — это внутренний документ, который намного ближе к политике информационной безопасности. Он доступен для всех сотрудников, чтобы они знали об их обязательствах в отношении обработки и обработки данных клиентов. Многие организации предпочитают обнародовать свою политику защиты данных в знак прозрачности.
Почему важна политика защиты данных?
Хотя политики защиты данных применялись в различных формах на протяжении многих лет, они приобрели значительно большее значение после принятия и введения в действие Общего регламента ЕС по защите данных (GDPR), который вступил в силу в 2018 году.Этот всеобъемлющий закон о конфиденциальности данных установил строгие правила для организаций, которые собирают и обрабатывают личную информацию граждан ЕС. Акцент на частных лицах означал, что закон GDPR затронул не только компании, базирующиеся в Европе, что многие организации усвоили на собственном опыте в течение 2019 года.
Статья 24 GDPR устанавливает необходимость наличия политики защиты данных:
Принимая во внимание характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц, контролер должен принять соответствующие технические и организационные меры, чтобы гарантировать и иметь возможность чтобы продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом.При необходимости эти меры должны быть пересмотрены и обновлены.
Шаблон политики защиты данных
При создании политики защиты данных существует несколько ключевых областей, о которых организациям следует помнить, если они хотят продемонстрировать соответствие требованиям GDPR.
Шаг 1: Определите область действия
Первый раздел политики защиты данных должен как объяснить, почему она существует, так и охватывать типы данных, которые организация собирает и обрабатывает.В дополнение к обсуждению использования данных в области также следует определить, к кому применяется политика в организации.
Шаг 2: Дайте определения
Терминология защиты данных может сбивать с толку, особенно когда некоторые термины используются взаимозаменяемо или в очень разных контекстах. Предоставляя конкретные определения терминов, используемых в политике (например, «личные данные» или «обработка»), организации могут избежать какой-либо двусмысленности.
Шаг 3. Приведите ссылку на GDPR.
Не каждый, кто читает политику защиты данных, знаком с конкретными требованиями, изложенными в законе GDPR.Изложение этих ожиданий в самой политике поможет прояснить, почему этот документ необходим и как он соответствует этим ожиданиям.
Шаг 4: Обсуждение законности обработки данных
GDPR определяет шесть форм законной обработки данных. Хорошая политика защиты данных должна объяснять, как эти разные подходы взаимодействуют, как они связаны с бизнес-операциями и как сотрудники могут помочь обеспечить правильную обработку всех данных.
Шаг 5: Определите роли и обязанности
В этом разделе должны быть определены конкретные роли в организации и объяснены их обязательства в соответствии с политикой.Некоторые примеры различных ролей могут включать менеджера по соблюдению нормативных требований или членов группы ИТ-операций. Некоторые обязанности также лягут на всех членов организации, особенно в отношении более общих мер безопасности (например, сообщения о предполагаемых нарушениях или информирования об изменениях в документации по безопасности).
Шаг 6: Установите процедуры уведомления о нарушениях
Когда происходит утечка данных, критически важно, чтобы каждый в организации знал, какие шаги необходимо предпринять и в каком порядке.После утечки данных специалисты по расследованию проверят ответ организации и определят, были ли соблюдены надлежащие процедуры. Если они придут к выводу, что были допущены ошибки, они могут привести к значительным штрафам со стороны регулирующих органов.
Шаг 7: Перечислите права на данные субъектов
Руководящие принципы GDPR определяют ряд прав на данные, которыми обладают все граждане ЕС, например право на доступ к своим данным и возражение против их обработки. Хотя эти права могут не быть строго определены законом для граждан других стран, включение прав на данные GDPR в политике защиты данных дает понять, что организация применяет самые высокие стандарты конфиденциальности данных
Шаг 8: Описание процессов безопасности и записи
Каждая организация, которая обрабатывает данные клиентов, должна иметь политику информационной безопасности, которая устанавливает политики безопасности и средства управления, используемые для снижения риска.У них также должны быть правила для документирования изменений политики и отчетов об аудите. Политика защиты данных должна предоставлять обзор обоих и объяснять, где получить доступ к этим более подробным документам, если кому-то нужна более конкретная информация.
Шаг 9: Предоставьте контактную информацию
Политика должна включать всю соответствующую контактную информацию лиц, ответственных за реализацию политик безопасности данных. Это позволяет читателям ответить на любые вопросы, которые могут у них возникнуть после ознакомления с остальной частью политики.
Шаг 10: Включите дополнительные отраслевые статьи
Некоторые отрасли могут иметь особые потребности в безопасности или обрабатывать данные способами, не предусмотренными конкретными руководящими принципами закона GDPR. Эти данные для особых случаев должны быть включены в заключение политики, чтобы на них можно было легко ссылаться.
Имея всеобъемлющий шаблон политики защиты данных, организации должны иметь возможность быстро и легко разработать эффективную политику. Политика защиты данных — это не просто законодательная преграда, которую нужно преодолеть, она чрезвычайно полезна для заинтересованных сторон внутри компании и клиентов, которые хотят знать, как их данные хранятся в безопасности.Политика четко определяет обязанности каждого и объясняет, почему были приняты особые меры защиты данных. Наличие этих знаний, легко доступных для всей организации, значительно снижает риск недосмотра, который может привести к дорогостоящей и разрушительной утечке данных.
Шаблон политики безопасности данных
Наличие задокументированной политики безопасности данных — лучший способ для каждой организации, особенно для тех, которые подпадают под все более строгие законы о конфиденциальности данных, такие как Общий регламент ЕС по защите данных (GDPR).
Часто являясь частью более широкой политики информационной безопасности или политики конфиденциальности, политика безопасности данных затрагивает такие темы, как шифрование данных, защита паролем и контроль доступа. Однако цель не ограничивается описанием мер безопасности; политика безопасности данных также демонстрирует приверженность компании соблюдению нормативных требований. В частности, в политике необходимо описать организационные меры по защите конфиденциальных и важных данных, таких как личная информация.Политика также должна объяснять роли и функции в процессе защиты данных, такие как обязанности сотрудника по защите данных (DPO) за соблюдение GDPR.
Вот шаблон политики данных для управления доступом, который вы можете адаптировать в соответствии с уникальными юридическими требованиями вашей организации.
Политика безопасности данных: контроль доступа
Организации создают политику защиты данных контроля доступа, чтобы гарантировать, что пользователи могут получить доступ только к тем активам, которые им необходимы для выполнения своей работы — другими словами, для применения модели с наименьшими привилегиями.Как правило, эта политика реализуется с помощью комбинации технических средств контроля и обучения для ознакомления пользователей с их обязанностями по защите данных.
Приведенный ниже шаблон политики безопасности данных обеспечивает основу для назначения средств управления доступом к данным. После того, как вы разработали свою политику на основе шаблона, обязательно расширьте ее, чтобы охватить новые активы и операции по мере их добавления в ваш бизнес.
Шаблон политики безопасности данных
Вот ключевые разделы, которые следует включить в политику безопасности данных, и примеры их содержания.
1. Цель
В этом разделе вы объясните причины использования этой политики. Вот пример:
Компания должна ограничить доступ к конфиденциальным и конфиденциальным данным, чтобы защитить их от потери или компрометации, чтобы избежать негативного воздействия на наших клиентов, понесения штрафов за несоблюдение и нанесения ущерба нашей репутации. В то же время мы должны обеспечить пользователям доступ к данным, которые необходимы для их эффективной работы.
Не ожидается, что эта политика сможет устранить все злонамеренные кражи данных.Скорее, его основная цель — повысить осведомленность пользователей и избежать сценариев случайной потери, поэтому в нем изложены требования для предотвращения утечки данных.
2. Область действия
2.1 Область действия
В этом разделе вы перечисляете все области, подпадающие под действие политики, такие как источники данных и типы данных. Например:
Эта политика безопасности данных распространяется на все данные клиентов, личные данные или другие данные компании, определенные как конфиденциальные в соответствии с политикой классификации данных компании .Следовательно, это применимо к каждому серверу, базе данных и ИТ-системе, которая обрабатывает такие данные, включая любое устройство, которое регулярно используется для электронной почты, доступа в Интернет или других задач, связанных с работой. Эта политика также распространяется на всех пользователей, которые взаимодействуют с ИТ-службами компании.
2.2 Вне области действия
Здесь вы определяете, что не подпадает под вашу политику безопасности данных. Например:
Информация, классифицированная как общедоступная, не регулируется этой политикой.Другие данные могут быть исключены из политики руководством компании в зависимости от конкретных бизнес-потребностей, например, если защита данных слишком затратна или слишком сложна.
3. Политика
Это основная часть политики, в которой указываются все требования политики.
3.1 Принципы
Компания должна предоставить всем сотрудникам и нанятым по контракту третьим сторонам доступ к информации, необходимой им для максимально эффективного и действенного выполнения своих обязанностей.
3,2 Общие
a. Каждый пользователь должен быть идентифицирован уникальным идентификатором пользователя, чтобы люди могли нести ответственность за свои действия.
б. Использование общих удостоверений разрешено только там, где они подходят, например учетные записи для обучения или учетные записи служб.
с. Каждый пользователь должен прочитать эту политику безопасности данных и инструкции по входу и выходу из системы, а также подписать заявление о том, что они понимают условия доступа.
г. Записи о доступе пользователей могут использоваться для предоставления доказательств для расследования инцидентов безопасности.
e. Доступ предоставляется на основе принципа наименьших привилегий, что означает, что каждой программе и пользователю будет предоставлено наименьшее количество привилегий, необходимых для выполнения их задач.
3.3 Авторизация контроля доступа
Доступ к ИТ-ресурсам и услугам компании будет предоставляться путем предоставления уникальной учетной записи пользователя и сложного пароля.Счета предоставляются ИТ-отделом на основании записей в отделе кадров.
Управление паролями осуществляется службой ИТ-обслуживания. Требования к длине, сложности и сроку действия пароля указаны в политике паролей компании .
Управление доступом на основе ролей (RBAC) будет использоваться для защиты доступа ко всем файловым ресурсам в доменах Active Directory.
3.4 Доступ к сети
a.Всем сотрудникам и подрядчикам должен быть предоставлен доступ к сети в соответствии с процедурами контроля бизнес-доступа и принципом наименьших привилегий.
б. Все сотрудники и подрядчики, имеющие удаленный доступ к сетям компании, должны пройти аутентификацию только с использованием механизма аутентификации VPN.
с. Разделение сетей должно быть реализовано в соответствии с рекомендациями исследования сетевой безопасности компании. Сетевые администраторы должны группировать вместе информационные службы, пользователей и информационные системы по мере необходимости для достижения требуемого разделения.
г. Для поддержки политики управления доступом должны быть реализованы средства управления сетевой маршрутизацией.
3.5 Обязанности пользователя
a. Все пользователи должны блокировать свои экраны всякий раз, когда они покидают свои рабочие места, чтобы снизить риск несанкционированного доступа.
б. Все пользователи должны держать свое рабочее место в стороне от любой важной или конфиденциальной информации, когда они уходят.
с. Все пользователи должны хранить свои пароли в секрете и не разглашать их.
3.6 Доступ к приложениям и информации
a. Всем сотрудникам компании и подрядчикам должен быть предоставлен доступ к данным и приложениям, необходимым для выполнения их должностных обязанностей.
б. Весь персонал компании и подрядчики имеют доступ к конфиденциальным данным и системам только в том случае, если в этом есть необходимость для бизнеса и они имеют одобрение высшего руководства.
с. Чувствительные системы должны быть физически или логически изолированы, чтобы ограничить доступ только уполномоченному персоналу.
3.7 Доступ к конфиденциальной информации с ограниченным доступом
a. Доступ к данным, классифицированным как «Конфиденциальные» или «Ограниченные», должен быть ограничен уполномоченными лицами, чьи должностные обязанности требуют этого, как это определено Политикой безопасности данных или вышестоящим руководством.
б. Ответственность за реализацию ограничений доступа лежит на отделе ИТ-безопасности.
4. Техническое руководство
Техническое руководство определяет все требования к техническим средствам контроля, используемым для предоставления доступа к данным.Вот пример:
Используемые методы контроля доступа должны включать:
- Аудит попыток входа на любое устройство в сети компании
- Разрешения Windows NTFS для файлов и папок
- Модель доступа на основе ролей
- Права доступа к серверу
- Разрешения межсетевого экрана
- Сетевая зона и ACL VLAN
- Права веб-аутентификации
- Права доступа к базе данных и ACL
- Шифрование в состоянии покоя и в полете
- Разделение сети
Контроль доступа применяется ко всем сетям, серверам, рабочим станциям, ноутбукам, мобильным устройствам, веб-приложениям и веб-сайтам, облачным хранилищам и услугам.
5. Требования к отчетности
В этом разделе описаны требования к отчетности о произошедших инцидентах.
а. Ежедневные отчеты об инцидентах должны составляться и обрабатываться отделом ИТ-безопасности или группой реагирования на инциденты.
б. Еженедельные отчеты с подробным описанием всех инцидентов должны составляться отделом ИТ-безопасности и отправляться ИТ-менеджеру или директору.
с. О первоочередных инцидентах, обнаруженных отделом ИТ-безопасности, следует немедленно сообщать; необходимо как можно скорее связаться с ИТ-менеджером.
г. Отдел ИТ-безопасности также должен выпускать ежемесячный отчет, показывающий количество инцидентов ИТ-безопасности и процент, которые были разрешены.
6. Право собственности и обязанности
Здесь вы должны указать, кто чем владеет и кто несет ответственность за какие действия и контроль.
- Владельцы данных — это сотрудники, которые несут основную ответственность за сохранение информации, которой они владеют, например руководитель, руководитель отдела или руководитель группы.
- Администратор информационной безопасности — это сотрудник, назначенный ИТ-менеджментом, который обеспечивает административную поддержку для внедрения, надзора и координации процедур и систем безопасности в отношении конкретных информационных ресурсов.
- Пользователи включают всех, кто имеет доступ к информационным ресурсам, например сотрудников, доверенных лиц, подрядчиков, консультантов, временных сотрудников и волонтеров.
- Группа реагирования на инциденты должна возглавляться руководителем и включать сотрудников из таких отделов, как ИТ-инфраструктура, безопасность ИТ-приложений, юридические, финансовые услуги и человеческие ресурсы.
7. Обеспечение соблюдения
В этом параграфе должны быть указаны штрафы за нарушения контроля доступа.
Любой пользователь, нарушивший эту политику, подлежит дисциплинарным взысканиям, вплоть до увольнения. Подключение к сети любого стороннего партнера или подрядчика, уличенного в нарушении, может быть прервано.
8. Определения
В этом параграфе определяются все технические термины, используемые в данной политике.
- Список управления доступом (ACL) — Список записей управления доступом (ACE) или правил. Каждый ACE в ACL идентифицирует доверенного лица и определяет права доступа, разрешенные, запрещенные или проверенные для этого доверенного лица.
- База данных — организованный сбор данных, обычно хранящихся и доступных в электронном виде из компьютерной системы.
- Шифрование —Процесс кодирования сообщения или другой информации, чтобы только авторизованные стороны могли получить к нему доступ.
- Межсетевой экран — Технология, используемая для изоляции одной сети от другой. Брандмауэры могут быть автономными системами или могут быть включены в другие устройства, такие как маршрутизаторы или серверы.
- Разделение сети — разделение сети на логические или функциональные блоки, называемые зонами. Например, у вас может быть зона продаж, зона технической поддержки и зона исследований, каждая из которых имеет разные технические потребности.
- Управление доступом на основе ролей (RBAC) — Независимый от политик механизм управления доступом, определенный для ролей и привилегий.
- Сервер — компьютерная программа или устройство, которое обеспечивает функциональность для других программ или устройств, называемых клиентами.
- Виртуальная частная сеть (VPN) — безопасное подключение к частной сети через общедоступную сеть.
- VLAN (виртуальная локальная сеть) — логическая группировка устройств в одном широковещательном домене.
9. Связанные документы
В этом разделе перечислены все документы, связанные с политикой, и даны ссылки на них. Этот список может включать:
10. История изменений
Каждая версия политики должна быть записана в этом разделе.
Версия | Дата ревизии | Автор | Описание изменений |
1.0 | 1214 14 июньСмит, ИТ-менеджер | Исходная версия | |
9150 политика для вашей организации. Помните, что политики безопасности должны быть надежными и осуществимыми, а также доступными, краткими и легкими для понимания. Стремитесь достичь хорошего баланса между защитой данных и производительностью и удобством пользователей. |