Обязанности ответственного за защиту персональных данных

Полезная информация на тему: "Обязанности ответственного за защиту персональных данных", собранная из сети и предоставленная в удобном для чтения виде. По всем вопросам - обращайтесь к дежурному юристу.

МАДОУ МО г.Краснодар «Детский сад № 138»

«Горячая линия» по вопросам незаконных сборов денежных средств

тел.: 8-918-233-98-99, 8(861)237-33-00.

[3]

Должностная инструкция лица, ответственного за организацию обработки персональных данных

Должностная инструкция лица, ответственного за организацию обработки персональных данных в муниципальном бюджетном дошкольном образовательном учреждении муниципального образования город Краснодар «Детский сад комбинированного вида № 138»

1. Общие положения

Должностная инструкция лица, ответственного за организацию обработки персональных данных в организации (далее — Инструкция), разработана в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Настоящая Инструкция закрепляет обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных в организации.

Лицо, ответственное за организацию обработки персональных данных, в своей работе руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами, настоящей Инструкцией, а также иными локальными нормативными актами организации, регламентирующими вопросы обработки персональных данных.

2. Обязанности лица, ответственного за организацию обработки персональных данных

2.1. Лицо, ответственное за организацию обработки персональных данных в организации обязано:

— осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

— доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой указанных обращений и запросов.

3. Права лица, ответственного за организацию обработки персональных данных

3.1. Лицо, ответственное за организацию обработки персональных данных, имеет право:

— принимать решения в пределах совей компетенции;

-требовать от работников организации соблюдения действующего законодательства, локальных нормативных актов организации о персональных данных;

-контролировать осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

— взаимодействовать с администрации организации по вопросам обработки персональных данных.

4. Ответственность лица, ответственного за организацию обработки персональных данных

4.1. За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о персональных данных лицо, ответственное за организацию обработки персональных данных в организации, несет предусмотренную законодательством Российской Федерации ответственность.

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Читайте так же:  Увольнение за невыполнение плана продаж судебная практика

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
  2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Занимающие какие должности работники могут быть назначены ответственными за хранение персональных данных?

Закон не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Напомним, что под «обработкой персональных данных» понимается любое действие или операция с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных).

Согласно ч. 1 ст. 22.1 Закона о персональных данных компания должна назначить лицо, ответственное за организацию обработки персональных данных (сотрудников, клиентов и других граждан). Причем этот сотрудник согласно ч. 2 ст. 22.1 Закона о персональных данных получает указания непосредственно от руководителя организации и подотчетен ему.

Как мы отметили выше, в законе нет требований к должности или квалификации такого работника. На практике ответственным лицом чаще всего назначают сотрудника отдела кадров, поскольку он и так по работе имеет доступ к персональным данным работников. Причем им может быть как руководитель отдела кадров, так и нижестоящий сотрудник. Некоторые специалисты рекомендуют назначать ответственными за организацию обработки персональных данных сотрудников на руководящих позициях, чтобы не было нарушений субординации. Ведь по Закону о персональных данных ответственные лица подчиняются непосредственно руководителю компании. А в случае, если это рядовой сотрудник, то он, с одной стороны, по основной работе подчиняется своему непосредственному начальнику, а, с другой стороны, в связи с работой с персональными данными – руководителю организации. На наш взгляд, никаких сложностей на практике здесь не возникнет. Кстати, по выбору руководства ответственным лицом может быть назначен и любой другой специалист в любой иной должности. Например, секретарь или бухгалтер. Причем если такого сотрудника найти не удастся среди подчиненных работников, то возложить ответственность за организацию обработки персональных данных руководитель должен на себя.

Чтобы понять, справится работник или нет с возложенным на него участком работы, изучите конкретные обязанности ответственного за работу с персональными данными. Он должен (ч. 4 ст. 22.1 Закона о персональных данных):

1) осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства РФ о персональных данных, в том числе требований к их защите;

2) доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов работников и клиентов, осуществлять контроль за приемом и обработкой таких обращений и запросов.

Естественно, этим его обязанности не ограничиваются. А значит, перед выбором определенного лица необходимо учитывать его нагрузку по основной работе.

Назначение лица, ответственного за работу с персональными данными, производится приказом (см. Пример).

Приказ о назначении лица, ответственного за обработку персональных данных

Не забудьте заблаговременно прописать соответствующую обязанность в трудовом договоре или должностной инструкции работника / инструкции по профессии (при наличии). Более широкие права и обязанности ответственного за обработку персональных данных лица можно указать в локальном нормативном документе (называться он может по-разному, например, Положение о защите персональных данных работников, Положение об обработке персональных данных работников и пр.). Напомним, что согласно ст. 87 ТК РФ работодатель обязан принять подобный ЛНА, который будет регулировать порядок хранения и использования персональных данных сотрудников.

Должностная инструкция ответственного за организацию обработки персональных данных

____________ (фамилия и инициалы)

«___» ______________ 201_ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ № ____

ответственного за организацию обработки персональных данных

  1. Общие положения

1.1. Настоящая должностная инструкция (далее – Инструкция) определяет ответственность, права и обязанности ответственного за организацию обработки персональных данных (далее – Ответственного) в _______________________________________________________________ (далее – __________________).

1.2. Настоящая инструкция разработана в соответствии со статьями 18.1, 22, 22.1 и 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и с пунктом 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.

1.3. Ответственный назначается на должность из числа штатных сотрудников __________________ приказом ____________.

1.4. По вопросам обработки и защиты персональных данных Ответственный подчиняется непосредственно _____________ __________________.

1.5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

1.6. Ответственный в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности, Политикой информационной безопасности, другими регламентирующими документами __________________, руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.

  1. Должностные обязанности

2.1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

2.2. Доводить до сведения сотрудников __________________ положения законодательства Российской Федерации о персональных данных, Правил обработки персональных данных и других нормативных документов __________________ по вопросам обработки и требований к защите персональных данных.

2.3. Проводить инструктажи и занятия по изучению правовой базы по защите персональных данных с сотрудниками __________________, имеющими доступ к персональным данным, и вести Журнал проведения инструктажей по информационной безопасности.

[2]

2.4. Оказывать консультационную помощь сотрудникам по применению средств защиты персональных данных.

Читайте так же:  Санпин для детских лагерей с круглосуточным пребыванием

2.5. Осуществлять контроль соблюдения в __________________ законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, и Правил обработки персональных данных согласно Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

2.6. Проводить регулярные внутренние проверки, согласно Плану внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2.7. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений Правил обработки персональных данных.

2.8. Составлять и предлагать на утверждение директору __________________ перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным.

2.9. Не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами.

2.10. Осуществлять регистрацию обращений и запросов субъектов персональных данных или их представителей в Журнале учёта обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных о выполнении их законных прав.

2.11. Осуществлять методическое руководство работой администраторов безопасности и администраторов информационных систем персональных данных в области защиты персональных данных.

2.12. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.

Ответственный имеет право.

3.1. Требовать от сотрудников __________________ соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

3.2. Запрещать сотрудникам __________________ доступ к персональным данным с целью предотвращения несанкционированного доступа к охраняемой информации.

3.3. Проводить расследование по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.

3.4. Вносить предложения по применению дисциплинарных взысканий к сотрудникам __________________, нарушившим требования Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

3.5. Знакомиться с проектными решениями руководства, касающимися его деятельности.

3.6. Вносить предложения по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.

3.7. В пределах своей компетенции сообщать директору __________________ о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.

3.8. Требовать от директора __________________ оказания содействия в исполнении своих должностных обязанностей и прав.

3.9. Привлекать с разрешения директора __________________ сотрудников всех структурных подразделений к решению задач, возложенных на него.

3.10. Запрашивать лично или через директора __________________ информацию и документы, необходимые для выполнения своих должностных обязанностей.

  1. Ответственность

Ответственный за организацию обработки персональных данных несет ответственность:

4.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.

4.2. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

4.3. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

  1. Порядок пересмотра должностной инструкции

5.1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет.

5.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники __________________, на которых распространяется действие этой инструкции.

Обязанности ответственного за защиту персональных данных

Автор: Колосков Дмитрий · 10.09.2019 2019-09-10

Должная инструкция – это локальный нормативный акт, определяющий и контролирующий производственные обязанности, и полномочия сотрудника на предприятии. Фактически, должностная инструкция – это действенный и необходимый документ, разрешающий регулировать трудовые отношения работника и работодателя.

Должностная инструкция не является обязательной, ее отсутствие не будет нарушением трудового кодекса. Об этом говорит письмо Федеральной службы по труду и занятости от 9 августа 2007 г. № 3042-6-0.

Назначая ответственное лицо за обработку персональных данных, предприятию стоит позаботиться о наличии такого документа. Корректно составленная должностная инструкция может послужить весомым фактором для разрешения спора или последствия каких-либо действий, как со стороны работника, так и со стороны работодателя.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кто разрабатывает?

Документ разрабатывается, руководителями подразделений, после чего утверждается у директора предприятия. Должностная инструкция (далее – ДИ) составляется в соответствии с положением о подразделении.

Содержание

Нормативный акт должен иметь структуру, определяющую его наполнение:
  • Общие положения.
  • Функции.
  • Должностные обязанности.
  • Права.
  • Ответственность.

Документ оформляется на стандартном бланке предприятия, с указанием всех реквизитов в углу.

К реквизитам организации относятся:

  1. наименование предприятия;
  2. название вида документа (должностная инструкция);
  3. дата подписи документа начальником;
  4. регистрационный номер;
  5. место составления акта.

Пошаговая инструкция по составлению ДИ

При составлении ДИ следует соблюдать общепринятую структуру и некоторые положения документа.

Для администратора безопасности

Составление документа начинается с углового заполнения реквизитов:

  1. в левом углу нужно указать название предприятия;
  2. ниже наименование подразделения;
  3. в правом углу указывается слово «УТВЕРЖДАЮ»;
  4. под этим словом указывается должность и личная подпись руководителя;
  5. ниже расшифровка подписи и дата.

Название документа пишется ниже, под ним регистрационный номер и место, где он был создан. Далее детально прописывается содержание инструкции, согласно вышеуказанной структуре.

Общие положения

Раздел должен содержать описание должности – администратора по безопасности обработки данных, основные требования к сотруднику – стаж работы, квалификация, наличие специального образования.

Общие положения регулируют порядок замещения сотрудника. Обязательно в инструкции указывать нормативно-правовые документы, которыми должен руководствоваться администратор безопасности в своей профессиональной деятельности. ДИ должна быть составлена согласно этим документам. К ним относятся: трудовой кодекс РФ, Федеральный закон «О персональных данных» №152-Ф от 27.07.2006, распоряжения предприятия, приказы и т.д.).

В этом разделе формулируется участок работы и основная задача администратора безопасности согласно должности. Функциональные обязанности этой должности включают в себя:

  • работу с учетными записями сотрудников, их своевременную корректировку;
  • контроль за выполнением актуальных нормативных документов по защите персональных данных;
  • сопровождение подсистемы по обеспечению целостности информации (контроль за отсутствием остаточной информации по окончанию работы сотрудника на персональном компьютере (далее ПК), контроль работы антивирусных программ и т.д.);
  • контроль за целостностью пломб, наклеек на системных блоках ПК;
  • контроль за осуществлением ремонтных работ ПК, недопущение посторонних лиц для осуществления вскрытия;
  • информации во время ремонта, во избежание нарушения хранения персональных данных;
  • разработка информационных программ для защиты данных;
  • информирование руководства о случаях несанкционированного доступа к сети, попытках повредить или скопировать персональные данные.
Читайте так же:  Обязательно ли заключение договора между юридическими лицами

Обязанности

Раздел о должностных обязанностях регулирует условия, которые данный сотрудник должен выполнять при осуществлении своих функций, например: соблюдать правила трудового распорядка предприятия; соблюдать установленные сроки подготовки документации.

Обязанности ответственного за защиту персональных данных

Видео (кликните для воспроизведения).

1.1. Настоящая инструкция разработана на основании постановления Правительства Российской Федерации от 21 марта 2012г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», «Положением об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных и других нормативно-правовых актов регулирующих обработку персональных данных в автоматизированных системах.

1.2. Инструкция определяет функции, права и обязанности ответственного за обеспечение безопасности персональных данных ОГБУЗ «Инфекционная больница» (далее — больница) по вопросам обеспечения информационной безопасности при обработке персональных данных.

1.3. Ответственный за обеспечение безопасности персональных данных назначается из числа сотрудников больницы и обеспечивает правильность использования и нормальное функционирование установленных средств защиты информации (далее – СЗИ).

1.4. К СЗИ относятся средства защиты от несанкционированного доступа (далее – НСД), средства межсетевого экранирования, а также антивирусные средства.

1.5. К выполнению обязанностей в области организации разграничения доступа, настройке локальной вычислительной сети ответственный за обеспечение безопасности персональных данных может привлекать к работам сторонних сотрудников. Все работы должны согласовываться с гл. врачом больницы и проводиться только в присутствии ответственного за обеспечение безопасности персональных данных при этом не должны затрагиваться средства защиты информации от несанкционированного доступа и обрабатываемые персональные данные.

1.6. К выполнению обязанностей в области сопровождения средств защиты информации от НСД и их настройки ответственный за обеспечение безопасности персональных данных выполняет только по согласованию с органом, проводившим аттестационные мероприятия.

1.7. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения защиты персональных данных, и не исключает обязательного выполнения их требований.

2. Основные задачи и функции ответственного за обеспечение безопасности персональных данных.

2.1. Основными задачами ответственного за обеспечение безопасности персональных данных является:

2.1.1. Сопровождение средств защиты информации от несанкционированного доступа (далее – СЗИ от НСД) и основных технических средств и систем (далее – ОТСС);

2.1.2. Организация разграничения доступа;

2.1.3. Контроль эффективности защиты информации.

2.2. Для выполнения поставленных задач, на ответственного за обеспечение безопасности персональных данных возлагаются следующие функции:

2.2.1. Контроль за выполнением требований действующих нормативных документов по вопросам обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

2.2.2. Настройка и организация сопровождения в процессе эксплуатации подсистемы управления доступом на рабочих станциях (далее – РС):
— опыт реализации полномочий доступа (чтение, запись, модификация, создание, удаление) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтерам);
— опыт ввода описаний пользователей ИСПДн в информационную базу, установленную на РС СЗИ от НСД;
— организация своевременного удаления описаний пользователей из базы данных СЗИ при изменении списка допущенных к работе на РС лиц.

2.2.3. Контроль доступа лиц в помещения, где расположены технические средства ИСПДн, в соответствии со списком сотрудников, допущенных к работе в ИСПДн.

2.2.4. Контроль проведения смены паролей для доступа к ИСПДн пользователями ИСПДн. Периодичность смены паролей – 90дней.

2.2.5. Настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе в ИСПДн:
— введение в базу данных, установленную на РС СЗИ от НСД описания событий, подлежащих регистрации в системном журнале;
— регулярное проведение анализа системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам.

2.2.6. Сопровождение подсистемы обеспечения целостности информации в ИСПДн:
— организация периодического тестирования функций установленной на РС СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
— организация восстановления программной среды, программных средств и настроек СЗИ при сбоях;
— организация поддержания установленного порядка и правил антивирусной защиты информации на ПЭВМ;
— контроль за периодическим обновлением антивирусных средств (баз данных), установленных на РС, контроль соблюдения пользователями порядка и правил антивирусной защиты.

2.2.7. Контроль соблюдения требований по размещению и использованию ИСПДн, указанных в Техническом паспорте.

3. Права и обязанности администратора безопасности

3.1. Для реализации поставленных задач и возложенных функций, ответственный за обеспечение безопасности персональных данных ОБЯЗАН:

3.1.3. Контролировать эффективность защиты информации:
а) проводить работу по выявлению возможности вмешательства в процесс функционирования ИСПДн и осуществления НСД к информации и техническим средствам PC.
б) докладывать гл. врачу больницы о выявленных угрозах безопасности информации, обрабатываемой в ИСПДн, об имевших место попытках НСД к информации и техническим средствам PC.
в) проводить занятия с пользователями ИСПДн по правилам работы на PC, оснащенных СЗИ от НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации с разбором недостатков, выявленных при контроле эффективности зашиты информации.
г) участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в АС.

3.2. Ответственному за обеспечение безопасности персональных данных запрещается:

3.2.1. Используя служебное положение, создавать ложные информационные сообщения и учетные записи пользователей в ИСПДн, получать доступ к персональным данным и предоставлять доступ другим лицам с целью ознакомления, модификации, копирования, уничтожения, блокирования доступа к информации;

3.2.2. Использовать ставшие доступными в ходе исполнения служебных обязанностей идентификационные данные пользователей (имя, пароль, ключи и т.п.) для маскирования своих действий;

3.2.4. Использовать в своих и в чьих-либо личных интересах ресурсы ИСПДн, а также предоставлять такую возможность другим лицам;

3.2.5. Выключать СЗИ от НСД, установленные в ИСПДн, без санкции гл. врача больницы;

3.2.6. Передавать третьим лицам тем или иным способом сетевые адреса, имена, пароли, информацию о привилегиях пользователей ИСПДн, конфигурационные настройки ИСПДн;

3.2.7. Производить в рабочее время действия, приводящие к сбою, остановке, замедлению работы ИСПДн, блокированию доступа, потере информации без санкции гл. врача больницы и предупреждения пользователей ИСПДн;

Читайте так же:  Средняя зарплата при сокращении работника как рассчитать

3.2.8. Нарушать правила эксплуатации оборудования ИСПДн;

3.2.9. Корректировать, удалять, подменять журналы аудита событий в ИСПДн.

4. Права и ответственность ответственного за обеспечение безопасности персональных данных

4.1. Ответственный за обеспечение безопасности персональных данных имеет право:

4.1.1. Получать доступ к программным и аппаратным средствам ИСПДн, средствам их защиты, а также просмотру прав доступа к ресурсам на серверах ИСПДн и PC пользователей;

4.1.2. Требовать от пользователей ИСПДн выполнения требований нормативно-методических документов в больнице по обеспечению безопасности и защите персональных данных.

4.1.3. Участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения безопасности персональных данных, НСД, утраты, порчи защищаемой информации, содержащей персональные данные и технических компонентов ИСПДн;

4.1.4. Осуществлять оперативное вмешательство в работу пользователя ИСПДн при явной угрозе безопасности персональным данным в результате несоблюдения установленной технологии обработки персональных данных и невыполнения требований по безопасности с последующим докладом ответственному за обеспечение безопасности персональных данных.

4.1.5. Производить анализ защищенности ИСПДн путем применения специального программного обеспечения, осуществления попыток взлома системы защиты ИСПДн. Такие работы должны проводиться в часы наименьшей информационной нагрузки с обязательным уведомлением гл. врача больницы.

4.1.6. Вносить свои предложения по совершенствованию мер защиты в ИСПДн.

4.2. Ответственный за обеспечение безопасности защиты персональных данных несет ответственность за:

4.2.1. Реализацию принятых в ИСПДн мероприятий по защите персональных данных;

4.2.2. Программно — технические средства защиты информации, технические средства вычислительной техники ИСПДн, закрепленные за ним, а также за качество проводимых им работ по обеспечению защиты персональных данных в соответствии с функциональными обязанностями.

4.2.3. За несоблюдение требований по защите персональных данных ответственный за обеспечение безопасности персональных данных несет ответственность в соответствии с законодательством Российской Федерации.

Обязанности ответственного за защиту персональных данных

от «17» декабря 2012 г . № 419

ответственного за организацию обработки и защиты персональных данных в
Управлении Федерального казначейства по Республике Дагестан

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Инструкция ответственного за организацию обработки и защиты персональных данных в Управлении Федерального казначейства по Республике Дагестан (далее — Инструкция) разработана на основании Перечня мер по обеспечению выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённого постановлением Правительства Российской Федерации от 21.03.2012 № 211.

1.2. Инструкция определяет задачи, обязанности, права и ответственность ответственного за организацию обработки и защиты персональных данных персональных данных (далее — Ответственный за ПДн), обрабатываемой в информационных системах персональных данных (далее — ИСПДн) и на материальных носителях в Управлении Федерального казначейства по Республике Дагестан (далее — Управление).

1.3. Ответственный за ПДн назначается приказом Управления из числа сотрудников Управления.

1.4. Ответственный за ПДн отвечает за поддержание установленного уровня безопасности персональных данных (далее — ПДн) при их обработке и хранении в Управлении, в том числе в ИСПДн.

1.5. Ответственный за ПДн осуществляет методическое руководство деятельностью сотрудников Управления, имею щ их доступ к ПДн, в вопросах обеспечения безопасности информации.

1.6. Требования ответственного за ПДн, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми сотрудниками Управления, имеющими доступ к ПДн.

1.7. Ответственный за ПДн несет персональную ответственность за качество проводимых им работ по контролю действий сотрудников Управления, имеющих доступ к ПДн.

II. ЗАДАЧИ И ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ПДН

2.1. Основными задачами ответственного за ПДн являются:

2.1.1. обеспечение необходимого уровня защищённости ПДн при их обработке в ИСПДн Управления;

2.1.2. обеспечение необходимого уровня защиты ПДн на бумажных носителях;

2.1.3. оперативное реагирование на нарушения требований по защите ПДн, обрабатываемых в Управлении, организация принятия мер по их устранению.

2.2. Ответственный за ПДн обязан:

2.2.1. знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок обработки и защиты ПДн в Управлении;

2.2.2. организовывать доведение до сотрудников Управления положения законодательства Российской Федерации, нормативно-правовых актов органов государственной власти, локальных актов Федерального казначейства и Управления, касающихся организации обработки и защиты ПДн;

2.2.3. организовывать уведомление уполномоченного органа по защите прав субъектов ПДн об обработке (намерении осуществлять обработку) ПДн;

2.2.4. осуществлять периодический контроль условий обработки ПДн;

2.2.5. докладывать о результатах проведенных проверок и мерах, необходимых для устранения выявленных нарушений, руководителю Управления.

III. ПРАВА И ОТВЕТСТВЕННОСТЬ ОТВЕТСТВЕННОГО ЗА ПДН

3.1. Ответственный за ПДн имеет право:

3.1.1. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения безопасности ПДн;

3.1.2. Вносить на рассмотрение руководителю Управления предложения по модернизации и оптимизации системы защиты ПДн, обрабатываемых в Управлении;

3.1.3. Осуществлять взаимодействие с сотрудниками Управления по вопросам обеспечения безопасности ПДн.

3.2. Ответственный за ПДн несет ответственность за:

3.2.1. Организацию защиты информационных ресурсов, технических средств и материальных носителей Управления, содержащих ПДн;

3.2.2. Поддержание необходимого уровня защиты ПДн при их обработке в ИСПДн Управления;

3.2.3. Разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему в связи с выполнением обязанностей.

Регулируем трудовые отношения: должностная инструкция ответственного за организацию обработки персональных данных

Должная инструкция – это локальный нормативный акт, определяющий и контролирующий производственные обязанности, и полномочия сотрудника на предприятии. Фактически, должностная инструкция – это действенный и необходимый документ, разрешающий регулировать трудовые отношения работника и работодателя.

Должностная инструкция не является обязательной, ее отсутствие не будет нарушением трудового кодекса. Об этом говорит письмо Федеральной службы по труду и занятости от 9 августа 2007 г. № 3042-6-0.

Назначая ответственное лицо за обработку персональных данных, предприятию стоит позаботиться о наличии такого документа. Корректно составленная должностная инструкция может послужить весомым фактором для разрешения спора или последствия каких-либо действий, как со стороны работника, так и со стороны работодателя.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кто разрабатывает?

Документ разрабатывается, руководителями подразделений, после чего утверждается у директора предприятия. Должностная инструкция (далее – ДИ) составляется в соответствии с положением о подразделении.

Содержание

Нормативный акт должен иметь структуру, определяющую его наполнение:
  • Общие положения.
  • Функции.
  • Должностные обязанности.
  • Права.
  • Ответственность.

Документ оформляется на стандартном бланке предприятия, с указанием всех реквизитов в углу.

К реквизитам организации относятся:

  1. наименование предприятия;
  2. название вида документа (должностная инструкция);
  3. дата подписи документа начальником;
  4. регистрационный номер;
  5. место составления акта.
Читайте так же:  Сколько платить за капитальный ремонт многоквартирного дома

Пошаговая инструкция по составлению ДИ

При составлении ДИ следует соблюдать общепринятую структуру и некоторые положения документа.

Для администратора безопасности

Составление документа начинается с углового заполнения реквизитов:

  1. в левом углу нужно указать название предприятия;
  2. ниже наименование подразделения;
  3. в правом углу указывается слово «УТВЕРЖДАЮ»;
  4. под этим словом указывается должность и личная подпись руководителя;
  5. ниже расшифровка подписи и дата.

Название документа пишется ниже, под ним регистрационный номер и место, где он был создан. Далее детально прописывается содержание инструкции, согласно вышеуказанной структуре.

Общие положения

Раздел должен содержать описание должности – администратора по безопасности обработки данных, основные требования к сотруднику – стаж работы, квалификация, наличие специального образования.

Общие положения регулируют порядок замещения сотрудника. Обязательно в инструкции указывать нормативно-правовые документы, которыми должен руководствоваться администратор безопасности в своей профессиональной деятельности. ДИ должна быть составлена согласно этим документам. К ним относятся: трудовой кодекс РФ, Федеральный закон «О персональных данных» №152-Ф от 27.07.2006, распоряжения предприятия, приказы и т.д.).

В этом разделе формулируется участок работы и основная задача администратора безопасности согласно должности. Функциональные обязанности этой должности включают в себя:

  • работу с учетными записями сотрудников, их своевременную корректировку;
  • контроль за выполнением актуальных нормативных документов по защите персональных данных;
  • сопровождение подсистемы по обеспечению целостности информации (контроль за отсутствием остаточной информации по окончанию работы сотрудника на персональном компьютере (далее ПК), контроль работы антивирусных программ и т.д.);
  • контроль за целостностью пломб, наклеек на системных блоках ПК;
  • контроль за осуществлением ремонтных работ ПК, недопущение посторонних лиц для осуществления вскрытия;
  • информации во время ремонта, во избежание нарушения хранения персональных данных;
  • разработка информационных программ для защиты данных;
  • информирование руководства о случаях несанкционированного доступа к сети, попытках повредить или скопировать персональные данные.

Обязанности

Раздел о должностных обязанностях регулирует условия, которые данный сотрудник должен выполнять при осуществлении своих функций, например: соблюдать правила трудового распорядка предприятия; соблюдать установленные сроки подготовки документации.

Раздел закрепляет за сотрудником ряд прав, которые он может использовать при выполнении своих обязанностей. Здесь учитываются как общие права, например – обеспечение сотрудника рабочим местом, так и те, которые необходимы для осуществления конфиденциального хранения персональных данных (насколько безопасно хранятся личные сведения?).

Например: право участвовать в разрешении конфликтных ситуаций, связанных с нарушением информационной безопасности.

Ответственность

Эта часть ДИ разъясняет уровень ответственности за невыполнение своих функций и обязанностей, ссылаясь на Кодекс об административных правонарушениях, в частности ст. 13.11 «Нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» (с установленными Правительством требованиями к их обработке и защите ПДн можно ознакомиться здесь).

В конце документа оставляют поля для указания фамилии имени и отчества, даты ознакомления с актом и подписи сотрудника.

Для менеджера

Структура должностной инструкции одинакова для любой должности. Ее составление начинается с указания реквизитов в левом и правом углу документа.

Общие положения

Раздел описывает должность менеджера обработки персональных данных (далее менеджер обработки), основные требования и квалификационные характеристики сотрудника. Общие положения содержат информацию о лице, которое уполномочено назначать и освобождать сотрудника от должности менеджера по обработке.

Раздел устанавливает субординацию работника и порядок его замещения. Также в этой части указываются все документы, которые должен принимать во внимание при осуществлении своей деятельности менеджер по обработке.

Раздел определяет функциональные обязанности сотрудника на занимаемой должности. К функциям менеджера по обработке обязательно относятся:

  • внутренний контроль за соблюдением предприятием Закона РФ о персональных данных;
  • осуществление консультации для пользователей по вопросам автоматизированного и неавтоматизированного;
  • использования информационной системы обработки персональных данных;
  • взаимодействие с другими органами по вопросам защиты персональных данных и координация сотрудников предприятия во время проведения плановых проверок регулирующими органами.

Обязанности

Этот раздел для менеджера по обработке должен состоять из информации об условиях, которых сотрудник должен придерживаться во время своей деятельности. Обычно это соблюдение этических норм поведения внутри коллектива, сроков подготовки текущей документации, конфиденциальности служебной информации.

[1]

Инструкция определяет права, которыми располагает менеджер обработки во время осуществления рабочей деятельности. Менеджер по обработке персональных данных имеет право: запрашивать информацию и необходимые документы у сотрудников, обеспечивающих безопасность персональных данных.

Ответственность

Раздел указывает на категорию ответственности, которую несет менеджер по обработке в случае нарушения законодательства. Также, эта часть инструкции закрепляет право предприятия прибегать к дисциплинарным взысканиям (в рамках Трудового кодекса), в случае нарушения менеджером по обработке своих обязанностей. В конце акта, сотрудник вписывает свою фамилию, имя и отчество, ставит дату и подпись, что является подтверждением его ознакомления с документом.

Когда нужно ознакомить работника с документом?

При приеме на работу, сотрудник должен быть ознакомлен с должностной инструкцией. В качестве подтверждения действия, ДИ визируется работником в конце. Некоторые предприятия дублируют факт ознакомления в специальном журнале.

Работодатель самостоятельно утверждает структуру должностной инструкции для лиц ответственных за организацию обработки персональных данных. Она может содержать один раздел, где будут указаны общие положения и все функциональные обязанности сотрудника. Главное, при оформлении внутреннего документа избегать перегруженности, дублирования текста, основываться на простых понятиях.

Правильно составленный нормативный документ, хоть и является внутренним, может помочь разрешить различные споры, связанные с нарушением обработки персональных данных.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

Видео (кликните для воспроизведения).

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источники


  1. Краткий курс по теории государства и права. — Москва: СПб. [и др.] : Питер, 2015. — 140 c.

  2. Карсетская, Е. В. Проверка трудовой инспекции. Практические рекомендации для работадателя / Е.В. Карсетская. — М.: АйСи Групп, 2016. — 168 c.

  3. Гуреев, В. А. Комментарий к Федеральному Закону «О судебных приставах» / В.А. Гуреев. — М.: Wolters Kluwer, 2017. — 208 c.
Обязанности ответственного за защиту персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here