Общий порядок действий оператора по выполнению требований Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» - презентация

1 Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»

2 Согласно ст ФЗ ОПЕРАТОР ПДн ОБЯЗАН: 1) Назначить ответственного за организацию обработки персональных данных; 2) Издать документы, определяющие политику в отношении обработки персональных данных, разработать локальные акты по вопросам обработки персональных данных 3) Обеспечить применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; 4) Организовать внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, локальным актам оператора; 5) Провести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона 152-ФЗ; 6) Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, и обучить указанных работников.

3 Общий порядок действия оператора по выполнению требований Федерального закона от ФЗ «О персональных данных» (Часть 1): ШАГ 1 Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн. (п. 1 части 1 ст ФЗ) ШАГ 2 Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн. (ст ФЗ) ШАГ 3 Получить согласие субъекта на обработку его ПДн, в том числе в ПИСЬМЕННОЙ форме либо обосновать возможность обработки ПДн без согласия (ст ФЗ)

4 Общий порядок действия оператора по выполнению требований Федерального закона от ФЗ «О персональных данных» (Часть 2): ШАГ 4 Определить порядок реагирования на запросы со стороны СУБЪЕКТОВ персональных данных. (ст. 14, ФЗ) ШАГ 5 Определить необходимость УВЕДОМЛЕНИЯ уполномоченного органа по защите ПДн о начале обработки Пдн. (ст ФЗ) Составить и отправить (скорректировать) уведомление. ШАГ 6 Определить перечень правовых и организационных мер по защите ПДн (п. 3 части 1 ст ФЗ)

5 Общий порядок действия оператора по выполнению требований Федерального закона от ФЗ «О персональных данных» (Часть 3): ШАГ 7 Принять технические меры по защите ПДн (п. 3 части 1 ст ФЗ), в т. ч. Выделить и классифицировать ИСПДн. ШАГ 8 Разработать модель угроз для ИСПДн. ШАГ 9 Спроектировать и реализовать систему защиты персональных данных. ШАГ 10 Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие.

6 Общий порядок действия оператора по выполнению требований Федерального закона от ФЗ «О персональных данных» (Часть 4): ШАГ 11 Издать и обнародовать Документ, определяющий ПОЛИТИКУ оператора в отношении обработки ПДн и сведения о применяемом стандарте безопасности в отношении ПДн (п.2 части 1, часть 2 ст. 18.1) ШАГ 12 Обучить сотрудников, непосредственно занимающихся обработкой ПДн. NEW! (п. 6 части 1 ст ФЗ). ШАГ 13 Определить порядок поддержания локальных актов оператора по вопросам обработки ПДн в состоянии удовлетворяющем требованиям законодательства РФ (часть 1 ст ФЗ).

7 Общий порядок действия оператора по выполнению требований Федерального закона от ФЗ «О персональных данных» (Часть 5): ШАГ 14 Обеспечить постоянный контроль защищённости ПДн (п. 4 части 1 ст ФЗ)

8 Минимальный перечень локальных актов оператора (орг. меры) часть 1. «Положение об обработке персональных данных»; «Политика оператора в отношении обработки персональных данных» с приложением документов, подтверждающих обнародование оператором ПДн данного локального акта; «Уведомление об обработке персональных данных»; «Список лиц, допущенных к обработке ПДн»; «Обязательство о неразглашении персональных данных»; «Перечень обрабатываемых персональных данных»; «Перечень субъектов ПДн, персональные данные которых обрабатываются оператором»; «Согласие субъекта ПДн на обработку его персональных данных»; «Регламент взаимодействия оператора ПДн с субъектами ПДн»; «Уведомление субъекта ПДн о начале обработки его персональных данных, полученных от третьего лица»;

9 Минимальный перечень локальных актов оператора (орг. меры) часть 2. «Регламент взаимодействия оператора ПДн с третьими лицами по обмену персонифицированной информацией»; «Договор о конфиденциальности»; План обучения и проверки знаний сотрудников организации-оператора ПДн, непосредственно осуществляющих обработку персональных данных. План осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства РФ; РЯД ДОПОЛНИТЕЛЬНЫХ ДОКУМЕНТОВ: Журнал учёта машинных носителей ПДн; Перечень помещений, в которых осуществляется обработка персональных данных; Перечень типовых форм, полей для заполнения ИСПДН, материальных носителей и т.п. содержащих персональные данные.