Версия для печати

Обеспечение безопасности и обработка персональных данных (программа 72 часа)

Тематика:
Безопасность
Для кого:
Руководитель, Директор школы, Главный бухгалтер
Артикул:
753502

С 01.07.2017 г. — изменения в КоАП! Вводятся новые виды ответственности за ненадлежащую обработку персональных данных. Штрафы составляют до 20 тыс. руб. на должностных лиц, до 75 тыс. руб. — на организацию. При выявлении нескольких нарушений штрафы суммируются!

Задать вопрос

Вы обязательно получите ответ на свой вопрос, даже если не будете участвовать в семинаре.

Готовы ли Вы к проверке соблюдения требований по защите персональных данных?

С 01.07.2017 г. действует новая редакция Закона № 152-ФЗ. Роскомнадзор получил новые полномочия штрафовать без согласования с Прокуратурой. Кроме Роскомнадзора на защиту данных сотрудников обращает внимание Трудовая инспекция, а список необходимых документов не ограничивается Положением об обработке персональных данных и согласиями.

Подготовьтесь уже сейчас и узнайте, что должно быть сделано в каждой организации для прохождения проверки без замечаний, приняв участие в дистанционном курсе повышения квалификации.

Приглашаем Вас принять участие в дистанционном курсе повышения квалификации!

Краткая программа курса

  • Изменения законодательства о персональных данных в 2017 г.
  • Первые шаги по обеспечению защиты персональных данных: с чего начать?
  • Какие документы необходимо подготовить в организации в первую очередь?
  • Организационные и технические меры по защите персональных данных
  • Обработка персональных данных внутри организации
  • Требования по защите персональных данных при их передаче сторонним организациям
  • Оценка возможностей ИСПДн: классификация, составление модели угроз
  • Уведомление об обработке персональных данных.
  • Уровни защищенности и требования к их обеспечении.
  • Обезличивание персональных данных
  • Сбор персональных данных при заключении трудового договора. Перечень документов, предъявляемых работодателю
  • Примеры типичных ошибок операторов персональных данных
  • Проверки контролирующих (надзорных) органов
  • За что и как будут наказывать в сфере персональных данных?
В приложениях — более 60 шаблонов необходимых документов (приказы, инструкции, журналы, договоры, обязательства и т.д.)

Полную программу Вы найдете на вкладке «Программа».

Преимущества обучения:

  • Дистанционная форма — Вы можете подстроить обучение под Ваш личный график и не несете затрат на командировку.
  • Всегда под рукой будет методичка по всем основным вопросам организации работы с персональными данными, к которой можно будет обращаться в спорных случаях.
  • Вам не нужно тратить время на поиск и проверку инструкций — в отличие от интернета в лекциях вся информация собрана, систематизирована и проверена.
  • Курс разработан экспертами с многолетним практическим опытом работы в сфере защиты персональных данных. Учтены последние изменения в законодательстве.
  • Сложные случаи рассмотрены на практических примерах.
  • В приложениях — нормативно-правовая база, готовый пакет документации по защите персональных данных.

Мы приглашаем:

Специалистов кадровых служб, юристов, руководителей государственных и коммерческих организаций.

Порядок обучения

Обучение проходит дистанционно и состоит из лекций в формате PDF. Лекции высылаются на электронный адрес, указанный в заявке. К каждой лекции прилагаются вопросы для самопроверки, ответы на которые слушатели получают со следующей лекцией. По итогам обучения проводится обязательное итоговое тестирование. Без успешного прохождения тестирования получение документа об образовании невозможно.

Во время обучения слушатели имеют возможность задавать эксперту вопросы по материалам лекций и ситуациям из своей практики.

Бланк заявки на обучение, который Вы нам присылаете, является одновременно и заявкой, и гарантийным письмом. Нужно только поставить на нем подпись ответственного лица и печать организации. Прислав такую заявку, Вы сможете пройти обучение еще до оплаты курса. Курс лекций будет отправляться по графику, указанному в бланке.

Предлагаем Вам уникальную возможность получить знания по интересующему Вас курсу без срочной предоплаты.

Учитесь сейчас – платите позже!


ОБРАТИТЕ ВНИМАНИЕ!

В соответствии с требованиями Федерального закона № 273-ФЗ от 29.12.2012 года «Об образовании в Российской Федерации» для зачисления на курсы повышения квалификации ОБЯЗАТЕЛЬНО наличие среднего профессионального, либо высшего образования, подтвержденного соответствующим дипломом.

Мы можем адаптировать курс под индивидуальный запрос организации. Детали здесь>>



Внимание госзаказчикам!

Оформить заказ у нас стало проще! Мы работаем с любым удобным для Вас способом закупок и на всех электронных площадках.
По запросу предоставляются все необходимые документы.
Информация для госзаказчиков


Лекция 1. Первоочередные меры по обработке и защите персональных данных
Первые шаги по обеспечению защиты персональных данных: с чего начать?
Обработка персональных данных внутри организации
Что подразумевается под обработкой персональных данных?
Специфика взаимодействия с третьими сторонами
Письменное согласие субъекта персональных данных
Требования по защите персональных данных при их передаче сторонним организациям

Лекция 2. Законодательство, судебная практика и локальные документы операторов
Как защита персональных данных регулируется законодательством? Изменения законодательства о персональных данных в 2017 г.
«Гражданство» персональных данных и позиция Роскомнадзора. Что такое «база данных» в контексте ФЗ-242?
Судебная практика: примеры типичных ошибок операторов персональных данных
Какие документы необходимо подготовить в организации в первую очередь?
Лицо, ответственное за организацию обработки персональных данных.
Уведомление об обработке персональных данных.
Уровни защищенности и требования к их обеспечении.
Обезличивание персональных данных
Цель и сроки обработки персональных данных
Формирование локальной нормативной правовой базы. Структура и содержание «Положения о защите персональных данных»
Обязанности работодателя в сфере обеспечения защиты персональных данных.
Сбор персональных данных при заключении трудового договора. Перечень документов, предъявляемых работодателю

Лекция 3. Практические вопросы организации обработки персональных данных. Проверки контролирующих (надзорных) органов
Организационные и технические меры по защите персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
Документы, регламентирующие обработку персональных данных с использованием криптосредств (СКЗИ)
Хранение персональных данных
Проверки контролирующих (надзорных) органов
Процедура проведения проверки
Что будет делаться в части защиты информации у госорганов в 2017 г.?
Штрафы утверждены. За что и как будут наказывать в сфере персональных данных?

В приложениях — образцы:
  1. Образец приказа о назначениее ответственных за безопасностьПриказ о создании комиссии по уничтожению ПДн
  2. Образец приказа о назначении ответственного за обработку
  3. Образец приказа о назначении ответственного за работу с ПДн
  4. Образец приказа о проведении работ по защите ПНд
  5. Образец приказа о создании комиссии по определению уровня защищенности персональных данных
  6. Образец приказа о создании комиссии по уничтожению ПДн
  7. Образец приказа о создании постоянно действующей экспертной комиссии по защите информации
  8. Образец приказа об определении границ контролируемой зоны и требований к ее безопасности
  9. Образец приказа об утверждении мест хранения материальных
  10. Образец приказа об утверждении перечня персональных данных
  11. Образец приказа об утверждении списка сотрудников, допущенных к обработке персональных данных
  12. Образец приказа об утверждении формы Журнала учета обращений субъектов
  13. Политика информационной безопасности
  14. Положение о персональных данных
  15. Положение о защите персональных данных
  16. Положение о порядке обработки ПДн , осуществляемой без средств автоматизации.
  17. Положение о разграничении прав доступа
  18. Положение об обработке персональных данных пациентов в государственном бюджетном учреждении здравоохранения
  19. Перечень должностей сотрудников, замещение которых предусматривает обработку ПДн
  20. Перечень информационных систем персональных данных
  21. Перечень помещений, предназначенных для обработки персональных данных
  22. Перечень сотрудников, допущенных к работе с ПДн в ИСПДн
  23. Перечень сотрудников, допущенных к работе с ПДн
  24. Инструкция администратора безопасности информационной системы персональных данных
  25. Инструкция по работе со съемными носителями, содержащими персональные данные
  26. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
  27. Инструкция по организации парольной защиты в ИСПДн
  28. Инструкция о порядке проведения разбирательств по фактам нарушений
  29. Инструкция по обработке ПНд без средств автоматизации
  30. Инструкция пользователя ИСПНд по работе с ПНд
  31. Инструкция по резервированию и восстановлению работоспособности
  32. Порядок доступа сотрудников
  33. Порядок уничтожения носителей персональных данных
  34. Правила обработки ПДн
  35. Правила работы с обезличенными ПДн
  36. Правила рассмотрения запросов субъектов ПДн
  37. Журнал учета передачи персональных данных
  38. Журнал учета антивирусных проверок
  39. Журнал учета логинов
  40. Журнал регистрации и учета обращений субъектов ПДн
  41. Журнал учета СЗИ
  42. Журнал поэкземплярного учета СЗИ
  43. Журнал поэкземплярного учета криптосредств
  44. Журнал учета нештатных ситуаций ИСПДн
  45. Журнал учета выдачи носителей с ключевой информацией
  46. Журнал учета событий информационной безопасности
  47. Журнал проверок электронных журналов
  48. Журнал учета хранилищ (сейфов)
  49. Журнал учета мобильных технических средств
  50. Дополнения в трудовые договоры с работниками
  51. Раздел договора, регулирующий передачу ПДн
  52. Договор о конфиденциальности
  53. Договор поручения на обработку персональных данных
  54. Договор поручения на обработку ПДн и мед. вмешательство
  55. Обязательство о неразглашении информации, содержащей персональные данные
  56. Обязательство о неразглашении ПДн работников
  57. Обязательство о прекращении обработки персональных данных в случае расторжения служебного контракта
  58. Согласие на обработку персональных данных
  59. Отзыв согласия на обработку персональных данных
  60. Согласие на передачу ПНд третьей стороне
  61. Алгоритм построения системы защиты персональных данных
  62. Акт уничтожения персональных данных
  63. Акт определения уровня защищенности

Распечатать

Проблемные вопросы и часто допускаемые ошибки при заполнении уведомлений в Роскомнадзор об обработке персональных данных

Дополнительные разъяснения для практического применения

Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (или информационное письмо) с помощью портала персональных данных Роскомнадзора.

Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

  • «Наименование оператора»;
  • «Сокращенное наименование оператора»;
  • «Адрес оператора» (адрес местонахождения и почтовый адрес);
  • «ИНН»;
  • «ОРГН».

Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация НЕ ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

Ошибка 1. Документ оформлен не на бланке организации

Как правильно?

Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

Ошибка 2. Поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указывается или не полностью указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус — если имеются).

Наименование организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Как правильно?

Почтовый адрес — это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения — это адрес, по которому фактически осуществляется деятельность.

Затруднения в заполнении поля «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Затруднения в заполнении поля «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Как правильно?

Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

  • Устав ООО ____ от ___ №,
  • Положение об ______ от ____ № ____,
  • лицензия на ___ от ____ № _____ и т. д.

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных — это Положение об обработке персональных данных ООО (ИП, физлицо) _____ от _____ № _____, а также приказы, инструкции и др.

Затруднения в заполнении поля «Цель обработки персональных данных»

Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

Другие примеры:

  • «осуществление полномочий органа власти по ….»
  • «выполнение государственных функций по ….»
  • «оказание государственных (муниципальных) услуг по …»
  • «оказание (предоставление) услуг по ….»
  • «выполнение работ по ….»
  • «осуществление … деятельности …»

Ошибка 3. Поле «Категории персональных данных»

Указываются персональные данные конкретных физических лиц — работников, клиентов, абонентов и др.; используются фразы «и др.», «и т. п.», «другая информация», «анкетные данные».

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть документы (паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр.), принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Как правильно?

Указывать конкретно, например: фамилия, имя, отчество, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

Ошибка 4. Поле «Категории субъектов, персональные данные которых обрабатываются»

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т. п.», «другая информация», упоминаются сторонние юридические лица.

Как правильно?

Содержание поля «вытекает» из формулировки «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя). Например:

  • физические лица:
  • заказчики;
  • пассажиры;
  • налогоплательщики;
  • работники образовательного учреждения (колледжа, техникума), учащиеся, их родители;
  • государственные гражданские служащие;
  • обслуживающий персонал;
  • лица, состоящие в трудовых отношениях с учреждением (предприятием);
  • физические лица, обратившиеся в организацию по страхованию имущества;
  • пенсионеры, физические лица, находящиеся на обслуживании банка (клиенты);
  • законные представители физических и юридических лиц;
  • больные, состоящие на диспансерном учете по соответствующим диагнозам, медицинский персонал;
  • граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты;
  • лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях».

Категория «члены семьи работника» указывается, если, например:

  • в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке;
  • в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум:

  • сбор;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • использование;
  • передача;
  • уничтожение.

Ошибка 5. Поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона “О персональных данных”»

Копируется текст, приведенный в примерах для заполнения.

Как правильно?

Проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «Средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «Правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «Использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты.

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении также указать, к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»).

К техническим мерам можно отнести:

  1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учет машинных носителей персональных данных;
  6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Затруднения в заполнении поля «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

  • единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
  • руководитель или начальник, действующий на основании положения;
  • представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Подготовлено по материалам открытых источников Роскомнадзора.

Оставить отзыв

captcha