Персональные данные

Нашими специалистами в соответствии с требованиями Федерального закона №152-ФЗ  от 27.07.2006 г. "О персональных данных" составлены шаблоны документов:

А. Основные документы по персональным данным: 

  1. Политика в отношении обработки персональных данных.
  2. Положение об обработке персональных данных.
  3. Пользовательское соглашение.
  4. Политика конфиденциальности.
  5. Приказ о назначении ответственных лиц.
  6. Инструкция ответственного за организацию обработки персональных данных.
  7. Инструкция ответственного обеспечение безопасности персональных данных.

        Б. Документы по обработке персональных данных без использования средств автоматизации: 

        1. Положение об обработке данных без использования средств автоматизации

        В. Документы по персональным данным работников: 

        1. Положение о ведении личных дел работников.
        2. Соглашение о неразглашении информации
        3. Согласие на обработку персональных данных

        Г. Документы для оформления процедур обработки персональных данных: 

        1. Приказ о допуске к обработке данных
        2. Приказ об утверждении перечня данных
        3. Приказ об утверждении перечня информационных систем
        4. Акт определения уровня защищенности данных
        5. Акт оценки потенциального вреда субъектам
        6. Журнал регистрации нарушения и восстановления
        7. Журнал учета проверок государственными органами
        8. Журнал учета средств защиты
        9. Журнал учета передачи персональных данных
        10. Журнал регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн
        11. Журнал учета съемных носителей персональных данных
        12. Журнал учета прав доступа
        13. Инструкция по антивирусной защите
        14. Инструкция по резервному копированию и восстановлению
        15. Инструкция по учету и хранению съемных носителей
        16. Инструкция по учету лиц, допущенных к обработке
        17. Инструкция пользователя информационной системы
        18. Инструкция пользователя при нештатной ситуации
        19. Приказ об утверждении перечня помещений
        20. Положение о порядке доступа в помещения
        21. Приказ об определении границ контролируемой зоны

        Д. Документы для оформления уничтожения и обезличивания информации, содержащей персональные данные: 

        1. Инструкция по порядку уничтожения и обезличивания персональных данных
        2. Приказ о создании комиссии по уничтожению персональных данных
        3. Акт об уничтожении персональных данных

        Е. Документы по обучению сотрудников: 

        1. Инструкция по проведению инструктажа
        2. Журнал учета прохождения первичного инструктажа работниками допущенными к работе с ПДн в ИСПДн

        Ж. Документы по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных: 

        1. Инструкция по проведению внутреннего контроля
        2. Акт контроля соответствия обработки персональных данных
        3. План проведения периодического внутреннего контроля условий обработки персональных данных в ИСПДн

        З. Документы по обработке поступающих обращений субъектов персональных данных: 

        1. Инструкция по рассмотрению запросов субъектов персональных данных
        2. Журнал учета обращений субъектов персональных данных и их законных представителей
        3. Сводная таблица действий Оператора в ответ на обращения субъектов персональных данных, их представителей и запросы Уполномоченного органа по защите прав субъектов персональных данных
        4. Форма уведомления органа по защите прав субъектов персональных данных
        5. Форма уведомления субъекта об отказе внесения изменений в персональные данные субъекта
        6. Форма уведомления субъекта об устранении неправомерных действий с его персональными данными
        7. Форма запроса субъекта персональных данных с  отзывом согласия на обработку персональных данных
        8. Форма запроса субъекта персональных данных а блокирование персональных данных
        9. Форма запроса субъекта персональных данных на уничтожение персональных данных
        10. Форма запроса субъекта персональных данных на уточнение персональных данных
        11. Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
        12. Форма отзыва согласия на обработку персональных данных 

        Кроме документов в стоимость услуги также входит подготовка уведомления о постановке на учет в Реестр операторов, осуществляющих обработку персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

        Обратите внимание, что вышеперечисленный комплект документов представляет собой типовые формы документов, которые Вам нужно будет заполнить самостоятельно. Помощь наших специалистов в составлении указанных документов с учетом Вашей организационной структуры, используемых компьютерных программ, информационных систем, съемных носителей оплачивается отдельно. Стоимость определяется на основании анкетирования Заказчика и устного опроса.

        Стоимость подготовки документов Вы можете узнать обратившись к нашим специалистам по следующим телефонам 8(843)209-05-31, 8(843)265-52-32 или на электронную почту info@law115.ru 

        Обработка и защита персональных данных в некредитной финансовой организации

        Каждая финансовая организация (далее - НФО) оказывает услуги определенной группе клиентов. Например, для микрофинансовых организаций (МФО) клиентами являются заемщики, для страховых организаций - страхователи, для кредитных потребительских кооперативов - пайщики и так далее. Как правило, среди клиентов финансовой организации всегда есть клиенты - физические лица, которые при заключении договора передают финансовой организации определенные данные о себе  Обработка этих данных в силу Федерального закона о персональных данных подлежит специальному документальному оформлению.

        Также не следует забывать о том, что в каждая финансовая организация, будь то КПК, МФО, ломбард или управляющая компания ПИФами, является работодателем и соответственно собирает и обрабатыает персональные данные своих работников в рамках заключенного трудового договора.

        Чтобы правильно организовать первичный сбор и дальнейшую обработку персональных данных своих клиентов и работников наши специалисты разработали комплекта необходимых документов.

        Банк России определил угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных некредитных финансовых организаций в Указании Банка России от 10 декабря 2015 г. №3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

        Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

        Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются:

        1. угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
        2. угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
        3. угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
        4. угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
        5. угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
        6. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
        7. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
        8. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
        9. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
        10. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

        В любом бизнесе, при создании новой компании или формировании бизнес-проекта, когда предполагается предоставление услуг физическим лицам, часто возникают вопросы в работе с персональными данными клиентов, в том числе потенциальных. Какие сведения будут считаться персональными данными и что является достаточным подтверждением согласия клиента на обработку его данных для последующего оказания услуги? Можно ли хранить персональные данные за пределами России, и допускается ли передача обработки этих данных на аутсорсинг? На эти и другие актуальные для практики вопросы ответят наши специалисты.

        В силу ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» о персональных данных лица, виновные в нарушении требований данного Закона, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом, а также требований к защите персональных данных, установленных в соответствии с ним, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

        Существует административная ответственность за нарушение установленных требований. Напрямую к нарушениям в сфере обработки персональных данных относится ст. 13.11 КоАП РФ. Прочие виды административных правонарушений предусмотрены следующими статьями КоАП РФ: отказ в предоставлении информации (ст. 5.39); нарушение правил защиты информации (ст. 13.12); незаконная деятельность в области защиты информации (ст. 13.13); разглашение информации с ограниченным доступом (ст. 13.14).

        Предусмотрены и уголовно-правовые санкции за совершение преступлений в этой сфере. Так, статьей 137 УК РФ к уголовно наказуемому деянию относится нарушение неприкосновенности частной жизни, а именно незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. В ст. 140 УК РФ установлена ответственность за отказ в предоставлении гражданину информации, а в ст. 272 УК РФ - ответственность за неправомерный доступ к компьютерной информации.

        Персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

        Оператором персональных данных является юридическое или физическое лицо, организующие и (или) осуществляющие обработку таких данных, а также определяющие цели и содержание обработки.

        Понятие «обработка персональных данных» включает в себя весь спектр действий (операций) с такими данными, в том числе их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение. Таким образом, как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту.

        До начала обработки персональных данных оператор обязан представить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) уведомление о намерении осуществлять такую обработку. Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (то есть уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

        Роскомнадзор и его территориальные органы проводят в отношении операторов персональных данных документарные и выездные плановые и внеплановые проверки деятельности. Отношения в области организации и осуществления государственного контроля (надзора) регулируются Федеральным законом от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

        Плановые проверки деятельности юридических лиц и индивидуальных предпринимателей проводятся не чаще чем один раз в три года органами Роскомнадзора на основании приказа Роскомнадзора или его территориального органа в соответствии с ежегодным сводным планом проведения плановых проверок, утвержденным Генеральной прокуратурой России.

        В соответствии с ч. 7 ст. 9 Федерального закона от 26.12.2008 №294-ФЗ ежегодный сводный план проведения плановых проверок размещается на сайте Генпрокуратуры России в срок до 31 декабря года, предшествующего проведению проверок.

        Внеплановые проверки деятельности юридических лиц и индивидуальных предпринимателей проводятся органами Роскомнадзора на основании приказа Роскомнадзора или его территориального органа, изданного в соответствии с поручениями Президента РФ, Правительства РФ и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

        Конкретные сроки и последовательность действий (административных процедур) Роскомнадзора и его территориальных органов при организации и проведении мероприятий по контролю установлены Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Минкомсвязи России от 14.11.2011 №312.

        Роскомнадзор вправе направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

        Если в ходе проверки сотрудники Роскомнадзора выявят признаки преступления, они передадут соответствующие материалы в правоохранительные органы. При этом подследственность уголовных дел определяется статьей 151 УПК РФ.

        Меры ответственности за нарушение законодательства о защите персональных данных установлены различными отраслям законодательства. Например, в Уголовном кодексе РФ отсутствуют специальные составы преступлений, предусматривающие ответственность за нарушения в сфере персональных данных. Вместе с тем отдельные статьи УК РФ предусматривают ответственность за противоправные деяния с использованием персональных данных, либо объект посягательства которых тесно связан с персональными данными. К таким преступлениям можно отнести следующие составы.

        Статья 137 УК РФ предусматривает ответственность за нарушение неприкосновенности частной жизни. Несмотря на то, что частная жизнь и персональные данные не являются тождественными понятиями, персональные данные могут выступать неотъемлемой частью сведений о частной жизни, личной или семейной тайне. В связи с этим незаконная обработка персональных данных, выраженная в противоправном сборе, распространении или ином использовании персональных данных, может нарушить частную жизнь, личную и семейную тайну.

        Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к компьютерной информации. Так, в случае если персональные данные являются компьютерной информаций, ставшей предметом преступления, то данное нарушение будет являться уголовно наказуемым деянием.

        Согласно части 2 статьи 173.2 УК РФ преступлением является использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в единый государственный реестр юридических лиц сведений о подставном лице.