Обеспечение сохранности данных

Обеспечение сохранности данных

Для этого Минкомсвязь России предлагает дополнить ст. 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) новой нормой, предусматривающей обязанность операторов персональных данных при уничтожении таких данных учитывать требования, которые утвердит Роскомнадзор.

Разработчики соответствующего законопроекта1, вынесенного на общественное обсуждение (оно продлится до 15 августа), отмечают, что отсутствие регулирования в части конкретных требований к уничтожению персональных данных создает для операторов персональных данных проблемы. Последние связаны с анализом достаточности принимаемых ими мер по уничтожению персональных данных, а также с возможностью различной трактовки понимания таких действий.

Напомним, уничтожение персональных данных предполагает осуществление действий, в результате которых исключается возможность восстановления содержания персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители таких данных (п. 8 ст. 3 Закона № 152-ФЗ). По общему правилу, персональные данные подлежат уничтожению в случаях: выявления неправомерной обработки персональных данных при невозможности обеспечить правомерность обработки; достижения цели обработки персональных данных; отзыва субъектом персональных данных согласия на их обработку. При этом, если оператор не может в установленные сроки (10 дней – для случаев неправомерной обработки и по 30 дней – в остальных случаях) уничтожить персональные данные, то он должен осуществить их блокирование, а затем – в течение полугода обеспечить уничтожение (ст. 21 Закона № 152-ФЗ).

Допускается ли объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой? Узнайте из «Энциклопедии решений. Персональные данные» в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Ожидается, что установление единых требований к порядку уничтожения персональных данных устранит имеющиеся законодательные коллизии и позволит исключить разностороннюю трактовку понимания действий оператора, подтверждающих факт уничтожения персональных данных.

В случае одобрения поправок они вступят в силу со дня официального опубликования соответствующего закона.
_____________________________

1 С текстом законопроекта «О внесении изменения в Федеральный закон «О персональных данных» в части уточнения требований к уничтожению персональных данных» и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID: 01/05/08-19/00093621).

Секция «Информационные системы и технологии»

руется при использовании прозрачного шифрования для повышения защищенности базы данных от атак злоумышленников .

Существенной проблемой является также и обеспечение безопасности операционной системы, а, следовательно, и данных, хранящихся в ней. Основными механизмами защиты в операционных системах являются:

• идентификация и аутентификация пользователя при входе в систему;

• разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру операционной системы, к принтерам и др.);

• аудит (регистрация событий) .

Таким образом, проанализированы способы и методы обеспечения безопасности данных, используемые современными СУБД. Несмотря на существую-

щие методы, проблема обеспечения безопасности далека от своего окончательного решения, поэтому требуется дальнейшее развитие средств защиты данных на алгоритмическом, организационном, аппаратном и программном уровнях.

Библиографические ссылки

1. Безопасность базы данных. URL: http://http://aU4study.ru.

2. Шифрование данных в СУБД. URL: http:// compsmir.ru.

3. Безбогов А. А. Безопасность операционных систем : учеб. пособие. М. : Машиностроение-!, 2007. 220 с.

© Абдугалимова Е. Г., Степурко К. В., 2012

УДК 004.056.53

У. А. Александрова Научный руководитель — В. В. Кукарцев Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск

ОБЕСПЕЧЕНИЕ СОХРАННОСТИ ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Освещены угрозы при использовании мобильных приложений и предложены пути по увеличению уровня сохранности данных.

Сейчас банками предлагается установка на телефон специальных приложений, которые в чем-то повторяют функции интернет-банкинга, но приспособлены для работы на платформах и малых экранах смартфонов, коммуникаторов, а также планшетных компьютеров. Однако в связи с внедрением мобильного банкинга возникли значительные проблемы с информационной безопасностью.

После внедрения мобильных сервисов, банки столкнулись с новыми рисками, которые существенно отличались от привычных, вроде кредитов на чужой паспорт или скиммеров на банкоматах. С другой стороны, из-за реальной угрозы оттока клиентов ввиду финансового кризиса банкам пришлось активнее работать над удобством предоставления своих услуг .

Главная угроза безопасности мобильного банкинга заключается не в ИТ-инфраструктуре самого банка и не в каналах передачи данных. Наименее надежная часть системы — это сам клиент и его мобильное устройство. Причем банк не может контролировать клиента и указывать ему правила безопасного поведения при работе со счетом. Он может лишь обратить его внимание на это.

Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам. Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК.

Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства. Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу.

Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли .

Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе.

Актуальные проблемы авиации и космонавтики. Информационные технологии

Борьба за безопасность мобильного банкинга сегодня ведется как в области совершенствования банковских систем, так и в сфере пропаганды основ безопасности среди клиентов. Согласно требованиям Стандарта ЦБ, они должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций, включая информацию о возможных рисках. Эти инструкции содержатся на вебсайтах банков и в буклетах по банковским услугам.

Отсутствие обязательного стандарта по обеспечению безопасности при проведении мобильных операций привели к разнообразию форм защиты данных. Одни банки требуют личного присутствия клиента в офисе при регистрации мобильного банка на его имя. Другие упрощают эту процедуру и подключают к системе через интернет-клиент, банкомат (терминал) или по звонку в контакт-центр с вводом пин-кода с клавиатуры телефона.

Приложение для телефона или планшета обычно скачивается с сайта банка. Но есть и своеобразные решения. МБРР заключил соглашение с МТС, и при регистрации «мобильного банка» обменивает сим-карту клиента на аналогичную, с тем же номером и балансом, но с уже установленным на ней банковским приложением .

Как правило, сами приложения защищены паролем. Поскольку, как уже говорилось, многие люди хранят персональные данные непосредственно в телефоне, широко используются другие средства аутентификации: одноразовые пин-коды подтверждения транзакций, часто действительные лишь несколько минут; скретч-карты, ЭЦП и аналоги собственноручной подписи.

Пути снижения угрозы заражения смартфона вредоносным ПО полностью аналогичны таким же рекомендациям для интернет-банкинга. Т. е. не загружать программы, игры, коллекции фото и видео из сомнительных источников, не давать свой смартфон с установленным банковским приложением другим членам семьи (особенно подросткам), а также не сдавать его в ремонт, на перепрошивку и т. п., предварительно не стерев банковское приложение.

В идеале, для мобильного банкинга хорошо бы иметь отдельный смартфон, на котором нет никаких иных программ, кроме операционной системы и банковского приложения. Аналогия — во многих организациях с серьезным подходом к ИБ есть специально выделенный компьютер только для операций «банк-клиент». Этот ПК или ноутбук находится под неусыпным контролем системного администратора с точки зрения ПО и физически контролируется службой безопасности организации.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Что касается угрозы ИБ, ассоциированной со взломом украденного или утерянного смартфона, то в настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору. Это намного более защищенный вход, чем по пользовательскому паролю, поскольку пароль некоторые пользователи умудряются записать и сохранить среди файлов смартфона, а 8-разрядный код PIN-калькулятора, имеющий срок жизни всего 30сек, подобрать практически невозможно.

В силу того, что пользователи обычно пренебрегают рекомендациями банков по использованию дистанционного управления счетом, мобильный банкинг обладает репутацией небезопасной услуги. Но что касается перспектив повышения безопасности, то стоит отметить что уже в скором времени, как прогнозируют многие эксперты, ожидается введение таких современных методов обеспечения безопасного доступа к личным данным клиента банка, как авторизация по его фотографии или отпечатку пальца.

Библиографические ссылки

1. Официальный сайт Альфа-Банка. URL: www.alfabank.ru.

2. Официальный сайт Сбербанка России. URL: www.sbrf.ru.

3. Официальный сайт Московского Банка Реконструкции и Развития. URL: www.mbrd.ru.

© Александрова У. А., 2012

УДК 004.457

С. А. Антипова Научный руководитель — А. Н. Горошкин Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск

МОДУЛЬ ОРЕ^ЯР ДЛЯ УПРАВЛЕНИЯ ПРОЕКТНОЙ ДОКУМЕНТАЦИЕЙ

Описываются особенности создания модуля базы данных (БД) в OpenERP для управления проектной документацией и шаблонов документов, входящих в проектную документацию на основании ГОСТ 19.102-77, в OpenOffice.org.

Программный продукт (ПП) «Система управления проектной документацией» представляет собой модуль OpenERP для совместной разработки проектной документации.

ERP и CRM система OpenERP состоит из 3 главных компонентов: сервер БД PostgreSQL, который обслуживает все БД, каждая из которых содержит все

данные и элементы настройки системы ОрепЕЯР; сервер приложений ОрепЕИР, который содержит всю логику и обеспечивает оптимальную работу ОрепЕИР; web-сервер, отдельное приложение, которое дает возможность соединения с ОрепЕИР при помощи стандартного web-браузера.

Логическая модель БД «Система управления про-

Получение персональных данных >>>

Обработка персональных данных >>>

Хранение и использование персональных данных >>>

Передача персональных данных >>>

Ответственность за нарушение норм, регулирующих защиту персональных данных >>>

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

1. Понятие персональных данных >>>

2. Документы, содержащие персональные данные >>>

3. Право работников на защиту своих персональных данных >>>

1. Понятие персональных данных

Персональные данные могут содержать следующую информацию:

Фамилия, имя, отчество;

Пол, возраст;

Физиологические особенности человека;

Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

Состояние здоровья и сексуальная ориентация;

Принадлежность лица к конкретной нации, этнической группе, расе;

Место жительства;

Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

Семейное положение, наличие детей, родственные связи;

Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

Деловые и иные личные качества, которые носят оценочный характер;

Прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.

Ситуация из практики. Относится ли фотография работника к персональным данным?

В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия.

Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. Как следует из смысла Закона , под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.

2. Получение персональных данных работника от третьих лиц. Согласие работника на предоставление таких данных третьим лицам >>>

1. Получение персональных данных от работника

2. Условия обработки персональных данных >>>

3. Обработка персональных данных без использования средств автоматизации >>>

4. Обработка персональных данных с использованием средств автоматизации >>>

1. Требования к обработке персональных данных

1.1. Оформление журналов учета персональных данных >>>

1.2. Требования к помещению, где хранятся персональные данные >>>

1.3. Защита персональных данных >>>

1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя >>>

2. Организация доступа работников к персональным данным других работников >>>

3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным >>>

4. Положение о персональных данных >>>

4.1. Оформление Положения о персональных данных >>>

4.2. Введение в действие Положения о персональных данных >>>

4.3. Ознакомление с Положением о персональных данных >>>

4.4. Изменение и дополнение персональных данных >>>

4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.) >>>

4.5. Срок хранения персональных данных >>>

1. Организация учета и хранения персональных данных

Ситуация из практики. Возможно ли применение к организации каких-либо санкций, если на момент приема работников отсутствовало Положение о персональных данных?

Если на момент проверки организации государственной инспекцией труда Положение о персональных данных было принято и работники ознакомлены с ним под роспись, то оснований для применения санкций нет.

Поскольку исходя из содержания ст. 87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно ст. 5.27 КоАП РФ. Однако если на момент проверки такое Положение в организации имеется и работники с ним ознакомлены, оснований для применения штрафных санкций к работодателю нет. Тот факт, что на момент приема работников в организацию Положения о персональных данных не было, не будет иметь значения, если работодателем не были допущены нарушения правил хранения, использования и обработки персональных данных.

4.3. Ознакомление с Положением о персональных данных

1.1. Лица и органы, которым могут передаваться персональные данные без согласия работников >>>

2. Оформление согласия работника на передачу его персональных данных >>>

3. Последствия передачи персональных данных работника без его согласия в случае, когда такое согласие обязательно >>>

1. Ситуации, когда необходима передача персональных данных

Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ). В соответствии со ст. 9 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» работодатель обязан представить указанные данные в Пенсионный фонд РФ в следующих случаях:

При начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;

При приеме на работу не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования граждан или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;

При ликвидации, реорганизации юридического лица, прекращении физическим лицом деятельности в качестве индивидуального предпринимателя, снятии с регистрационного учета в качестве страхователя-работодателя адвоката, нотариуса, занимающегося частной практикой;

При утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;

При изменении передаваемых сведений о работающих у него застрахованных лицах.

2. Ответственность работника, имеющего доступ к персональным данным других работников >>>

2.1. Административная ответственность работника, имеющего доступ к персональным данным других работников >>>

2.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников >>>

2.3. Уголовная ответственность работника, имеющего доступ к персональным данным других работников >>>

2.4. Материальная ответственность работника, имеющего доступ к персональным данным других работников >>>

2.5. Гражданско-правовая ответственность работника, имеющего доступ к персональным данным других работников >>>

1. Ответственность работодателя

Дисциплинарные взыскания. Замечание, выговор, увольнение «.

Подробнее об этом см. «Путеводитель по кадровым вопросам. Расторжение трудового договора «.

2.3. Уголовная ответственность работника, имеющего доступ к персональным данным других работников

Подписано в печать

Главное назначение журнала — фиксировать операции по обработке и передаче ответственным за них сотрудникам, тем самым способствовать сохранности информации. Целесообразность ведения таких записей определяется спецификой, размерами и структурой организации. Как правило, чем больше численность штата, тем шире перечень сотрудников, которым требуется доступ к конфиденциальным сведениям для выполнения служебных обязанностей. Например, при возникновении спорных ситуаций штатный юрист может запросить в отделе персонала трудовой договор с тем или иным работником. При принятии решения о кадровых перестановках или продвижении работника по службе личное дело работника может быть запрошено руководителем подразделения. Нередко кадровые документы, содержащие конфиденциальную информацию, требуются для проверки выполнения условий коллективного договора.

Форма журнала

Обязанность ведения книги движения персональных данных не предусмотрена на законодательном уровне, а значит, не существует четких требований к ее оформлению. Однако есть рекомендации, которых следует придерживаться, чтобы решить поставленную задачу по предотвращению утечки информации. Итак, в книгу учета передачи данных рекомендуется включить следующие графы:

  • ФИО и должность лица или наименование органа, запрашивающего личные данные;
  • цель выдачи документа;
  • дата выдачи документа;
  • дата возврата документа;
  • перечень наименований запрашиваемых документов.

Если работодатель принимает решение о необходимости фиксации движения личных данных, то образец журнала учета персональных данных вносится в пакет типовых документов по защите конфиденциальной информации, и его форма утверждается приказом. Также издается приказ о назначении лица, ответственного за заполнение журнала.

Образец журнала учета передачи персональных данных

Так как журнал учета персональных данных не является обязательным документом, работодатель на свое усмотрение определяет порядок манипуляций с ним. Целесообразно разработать соответствующий внутренний регламент, в котором прописано место хранения книги учета передачи данных, а также инструкцию по ее ведению.

Что касается сроков хранения журнала, то они также устанавливаются руководителем организации. При их определении рекомендуется ориентироваться на ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ » «, в соответствии с которым личные дела работников . Логично, что документ, фиксирующий движение конфиденциальных данных сотрудников, следует хранить в течение этого же срока. Каким бы ни был определен срок хранения журнала, его уничтожение должно сопровождаться составлением соответствующего .

При трудоустройстве любой сотрудник сталкивается с заполнением анкет и других документов, где указывает свои личные данные. В статье рассказывается о том, какая именно информация относится к персональным данным, кто несет ответственность за их сохранность, и как правильно вести журнал учета передачи персональных данных.

Из этой статьи вы узнаете:

  • что считается персональными данными сотрудника;
  • процесс передачи персональных данных;
  • кто несет ответственность за сохранность персональных данных;
  • как вести журнал учета передачи персональных данных.

Как правильно оформить журнал учета персональных данных

При устройстве на работу, будущий сотрудник заполняет множество документов, в большинстве из которых указывая ту или иную информацию о себе личного характера. В таких случаях очень важно, чтобы персональные данные были использованы строго в рамках назначенных целей. Важно, чтобы информация не поступила к третьим лицам, не имеющим к обработке данных никакого отношения. Стоит отметить, что без письменного разрешения будущего сотрудника обработка его личных данных невозможна и противозаконна.

Что относится к персональным данным

Персональные данные — это необходимая для работодателя информация о сотруднике, регулирующая трудовые отношения между ними.

К персональным данным относится следующая информация:

  • паспортные данные;
  • семейное положение;
  • информация об образовании будущего сотрудника;
  • информация по свидетельству обязательного пенсионного страхования;
  • стаж работы и информация о предыдущих местах работы и т. д.

Вся эта информация необходима работодателю, чтобы составить трудовой договор и его личное дело на производстве, а также оценить его способности, чтобы использовать их в дальнейшей работе.

Важно понимать, что работодатель не может просить от работника большей информации, чем того требует цель сбора данных — заключение договора и оформление личного дела. И как мы уже говорили, личные данные возможно получить только непосредственно у сотрудника и только с его письменного разрешения. Если даже возникает ситуация, когда сделать это проблематично, то получение из третьих рук информации о сотруднике должно быть санкционировано самим сотрудником, подкрепленным его письменным разрешением об этом.

Учет передачи персональных данных

Все взаимодействия с документами, содержащими личные данные сотрудников, должны регулироваться Положением о защите персональных данных. Это обязательный внутренний локальный документ, разработанный кадровиками. Законодательно не установлена строгая форма его оформления, но он должен соответствовать информации, указанной в ТК РФ. Утверждается руководителем.

Согласно ТК РФ, руководитель обязан обеспечить защиту предоставленных персональных данных о работниках.

Каждый работник, имеющий доступ к личным данным сотрудников в силу своих должностных обязанностей, должен подписать документы о неразглашении конфиденциальной информации. Как правило, список должностей, имеющих доступ к данным, указывается дополнительным приложением к Положению. Как правило, к ним относятся:

  • сотрудники кадровой службы;
  • руководители подразделений, например, главный бухгалтер. Они могут запрашивать информацию только в рамках своей деятельности.

Как мы уже говорили ранее, работодатель должен очень бережно относиться к персональным данным работника и обеспечивать их сохранность на протяжении всей его работы и в процессе последующего архивного хранения.

Для того, чтобы посторонние лица не имели доступа к конфиденциальной информации сотрудников, на предприятии ведутся специальные журналы учета внутреннего доступа к персональным данным.

В самом журнале указываются следующие данные:

  • дата выдачи и возврата личных дел сотрудников работникам организации;
  • цель выдачи того или иного дела;
  • наименование выданного документами;
  • срок пользование выданными документами.

В случае, если выдано было много документов, то необходимо в момент выдачи произвести опись. Очень важно помнить, что сотрудники, получившие доступ к документам или личным делам сотрудника не имеют права делать в них заметки, исправлять, вносить новые записи или извлекать существующие документы.

Согласно ТК РФ, работодатель должен сам обеспечить безопасность и сохранность сбора и хранения данных. Несмотря на то, что нет точных рекомендаций по хранению данных, важно помнить, что это важная, конфиденциальная информация, которую надо оберегать от несанкционированного доступа, поэтому стоит продумать максимальные меры безопасности для ее хранения.

Обязанность ведения журналов, связанных с ПДн, устанавливается локальными правовыми актами самой организации, правовыми актами органов субъектов РФ либо нормативными актами федеральных органов исполнительной власти.

Поэтому единой формы для того или иного журнала законодателем не предусмотрено.

На различных предприятиях ведутся следующие журналы, связанные с персональными данными:

Также на предприятиях могут вестись журналы:

  1. Регистрации попыток несанкционированного доступа к информации.
  2. Учета паролей пользователей информационной системы ПДн и т.п.

Кто должен вести подобную документацию?

Порядок хранения, использования и учета личной информации работников в организации устанавливается работодателем с соблюдением требований Трудового Кодекса.

Как правило, обязанности ведения документации, связанной с личными данными, возлагается на работников, которые осуществляют обязанности по ведению кадрового делопроизводства.

Регламентация передачи ПД

Если руководитель принимает решение о необходимости регламентации движения персональных данных, то образец заполнения журнала учета передачи ПДн вносится в пакет типовых документов по защите конфиденциальной информации. Его форма в этом случае должна утверждаться приказом. Также издается приказ о назначении лица, ответственного за заполнение такого акта.

Оформление: общие требования

Титульная страница

Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой :

«УТВЕРЖДАЮ

Генеральный директор название предприятия
ФИО___
» «____20__г.»

«Журнал начат «__» __ 20__ г.» , рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».

В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:

«ОТВЕТСТВЕННЫЙ за ведение журнала
ФИО и должность сотрудника
«___» ___20__г.».

Сам документ содержит следующие графы :

  1. Порядковый номер внесенной записи.
  2. ФИО и должность лица или наименование органа, запрашивающего ПДн, например ООО «ИнфоК2» .
  3. Состав запрашиваемых данных, например Сведения о заработной плате работника за период 01.01. 20_ – 01.12. 20_ гг.
  4. Цель выдачи документа, содержащего личные сведения, например Контроль за соблюдением коллективного договора ООО «ИнфоК2» .
  5. Дата выдачи бумаг, содержащих личные сведения.
  6. Дата возврата бумаг, содержащих личные сведения.
  7. Подпись запрашиваемого лица.
  8. Подпись ответственного сотрудника.

Обращения субъектов

Образец заполнения журнала обращений субъектов персональных данных содержит :

Документ также может содержать раздел «Порядок заполнения». В данном разделе указываются правила заполнения граф, исправления ошибок и т.д.

Ознакомления с положением о защите

В самом акте может быть продублировано Положение о защите ПДн сотрудников . Разделы:

  1. Номер, № п/п.
  2. Фамилия, имя, отчество лица, ознакомленного с инструкцией.
  3. Должность.
  4. Дата ознакомления.
  5. Подпись.

Электронных и машинных носителей, содержащих ПД

Образец заполнения журнала учета электронных и машинных носителей информации, содержащих персональные данные включает:

  1. Порядковый номер, № п/п.
  2. Регистрационный (учетный) номер носителя, указывается инвентарный номер.
  3. Тип и ёмкость носителя, например ПК, жесткий диск, флешка.
  4. Дата поступления на учет.
  5. Отметка о постановке на учет, ФИО, подпись дата.
  6. Отметка о снятии с учета, ФИО, подпись дата.
  7. Место хранения, здесь указывается № кабинета или шкаф, стойка, сервер и др.
  8. Сведения об уничтожении носителя.

Мероприятий по контролю обеспечения сохранности

В журнале отмечаются мероприятия, проводимые периодически в соответствие с планом мероприятий по обеспечению сохранности ПДн.

В графы вносится :

Регистрации нарушения и восстановления

  1. Порядковый номер, № п/п.
  2. Число, месяц, год нарушения.
  3. Наименование подразделения, работниками которого нарушены требования.
  4. Ф.И.О. работника допустившего нарушение.
  5. Характер нарушения, напр. несанкционированное удаление персонал. сведений работника .
  6. Принятые меры (должность, Ф.И.О. виновных, наложенное взыскание, дата и N приказа).

Регистрации согласий на обработку

Образец журнала регистрации согласий на обработку персональных данных включает в себя следующую информацию :

  1. Номер, № п/п.
  2. Дата, № согласия.
  3. Субъект ПДн, указывается ФИО сотрудника.
  4. Перечень ПДн, на обработку которых дается согласите сотрудника.
  5. Цель обработки ПДн, например осуществление трудовых взаимоотношений с работниками… или осуществление видов деятельности в соответствии с Уставом.
  6. Срок, в течение которого действует согласие.
  7. Подпись лица, получившего согласие.

Фиксирования средств защиты информации

Документ содержит разделы :

  1. Номер вносимой записи, № п/п.
  2. Наименование средства защиты информации, эксплуатационной и технической документации к нему.
  3. Регистрационный номер средства защиты информации, эксплуатационной и технической документации к нему.
  4. Отметка о получении (От кого получены, Дата и номер сопроводительного письма).
  5. Отметка о выдаче (Ф.И.О. пользователя, Дата и расписка в получении).

Стоит помнить, что журналы не имеют законодательной регламентации . Окончательная форма утверждается предприятием или организацией, которые производят учет. Поэтому следует уточнять необходимость ведения того или иного журнала у работодателя, а также осведомляться о формах ведения журналов учета, связанных с персональными данными.

Интересные статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *