Приказ о назначении ответственного за организацию обработки персональных данных – Приказ о назначении ответственного за обработку персональных данных: образец
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа
1. Приказ о назначении ответственного за организацию обработки персональных данных
ПРОЕКТ ПРИКАЗА
О назначении ответственн(ых)ого за
организацию обработки персональных данных
_________________________________
В соответствии с пунктом 1 постановления Правительства РФ от 21.03.2012 № 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами”, приказываю:
1. Назначить ______________________________ответственн(ых)ого за организацию обработки персональных данных в _____________________________.
2. Утвердить инструкцию лица(м), ответственн(ым)ого за организацию обработки персональных данных (Приложение 1).
3. Контроль за исполнением настоящего Приказа оставляю за собой.
Руководитель _________________
2. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Обработка персональных данных в_________________ должна осуществляться на законной основе.
2. Обработка персональных данных в ______________________ должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Ответственный за осуществление обработки персональных данных в ______________________, должен принимать необходимые меры по удалению или уточнению неполных или неточных персональных данных.
7. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством, являются:
1) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Федеральный закон) и принятым в соответствии с ним нормативным правовым актам;
2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых _______________мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
3) ознакомление служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и(или) обучение служащих.
8. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) проведением в установленном порядке процедуры оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их недопущению;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9. Целью обработки персональных данных в ______________________ является обеспечение соблюдения законов и иных нормативных правовых актов.
10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
11. В случае выявления неправомерной обработки персональных данных, осуществляемой служащим, в срок, не превышающий три рабочих дня с даты этого выявления, он обязан прекратить неправомерную обработку персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, работник в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных работник обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
12. В случае достижения цели обработки персональных данных государственный гражданский работник обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ________________и субъектом персональных данных либо если _______________ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
13. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работник обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено соглашением между _____________и субъектом персональных данных.
Об уничтожении персональных данных государственный работник обязан уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.
14. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, работник осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен федеральными законами.
3. ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного
документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих правил, в случае если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих правил, должен содержать обоснование направления повторного запроса.
7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
4. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ
“О ПЕРСОНАЛЬНЫХ ДАННЫХ”
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в ________________организовывается проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются ответственным за организацию обработки персональных данных в _______________________ либо комиссией, образуемой распоряжением____________________.
3. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям в _______________________ проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в _____________________письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
– порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
– порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– состояние учета машинных носителей персональных данных;
– соблюдение правил доступа к персональным данным;
– наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
– мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– осуществление мероприятий по обеспечению целостности персональных данных.
6. Ответственный за организацию обработки персональных данных в _______________________ (комиссия) имеет право:
– запрашивать у работников____________, необходимую для реализации полномочий;
– требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
– принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
– вносить руководителю ________________предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
– вносить руководителю ______________предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в _______________________ (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю _______________докладывает ответственный за организацию обработки персональных данных либо председатель комиссии в форме письменного заключения.
Контроль за своевременностью и правильностью проведения проверки возлагается на_________________________.
rykovodstvo.ru
Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
НАИМЕНОВАНИЕ медицинской организации
от _____________ №_________
ПРИКАЗ
О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах
(название Медицинской организации)
Во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в информационных системах персональных данных ______________________________________________________________________
(название МО)
_________________________________________________________________ .
(должность, Ф.И.О сотрудника)
Утвердить «Инструкцию ответственного лица за обработку персональных данных в _____________________________________________ (Приложение № 1).
(название МО)
Возложить на _____________________________ следующие обязанности:
(Ф.И.О сотрудника)
– предоставление на утверждение списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных ___________________________________________________
(название МО)
необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
– осуществление внутреннего контроля за соблюдением работниками __________________________________________________________________
(название МО)
законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
– доведение до сведения работников (оператора) положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
– организация приема и обработка обращений субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений.
4. Контроль за исполнением настоящего приказа оставляю за собой.
| Главный врач | __________________ |
(Ф. И. О.)
| Приложение к приказу _________________________ (название МО) от ________________№_____ |
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных в (название МО)
I. Общие положения
1. Настоящая должностная инструкция определяет права, ответственность и обязанности ответственного (далее – Ответственный) за организацию обработки персональных данных (далее ПДн) в _________________________________.
(название МО)
2. Методическое руководство и контроль работы должностных лиц в __________________________________________________________________
(название МО)
осуществляет ответственный за организацию обработки персональных данных.
II. Обязанности ответственного за организацию
обработки персональных данных
3. Должностное лицо, ответственное за организацию обработки ПДн в __________________________________________________________, обязано:
(название МО)
– знать и выполнять требования действующего законодательства РФ, а также внутренних инструкций и положений, регламентирующих деятельность по обработке и защите ПДн;
– отслеживать изменения действующего законодательства РФ по вопросам защиты и обработки ПДн;
– согласовывать свои действия по обработке и защите ПДн с сотрудниками отдела информационной безопасности __________________;
(название МО)
– участвовать в проведении служебных расследований по фактам нарушения функционирования информационной системы персональных данных, а также других случаев нарушения правил обработки и защиты ПДн в соответствующем структурном подразделении;
– организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
– организовать ведение журнала учета обращений субъектов ПДн;
– организовать инструктаж должностных лиц, уполномоченных на обработку ПДн в информационных системах персональных данных.
III. Права ответственного за организацию
обработки персональных данных
4. Должностное лицо, ответственное за организацию обработки ПДн в ________________________________________________________ имеет право:
(название МО)
– требовать от должностных лиц, уполномоченных на обработку персональных данных, безусловного соблюдения установленных правил обработки и защиты ПДн;
– требовать от должностных лиц, уполномоченных на обработку персональных данных прекращения обработки ПДн, в случаях их неправомерного использования и нарушения установленного порядка обработки;
– обращаться к ответственному (подразделение учреждения, назначенное ответственным) за организацию защиты персональных данных _____________________________________________________________________
(название МО)
с запросом об оказании необходимой технической и методической помощи в работе;
– доступа во все помещения соответствующего структурного подразделения, где осуществляется обработка ПДн.
IV. Ответственность
5. Должностное лицо, ответственное за организацию обработки ПДн в ________________________________________________ несет ответственность:
(название МО)
– за качество и полноту проводимых им работ по организации обработки ПДн в соответствии с функциональными обязанностями, определенными настоящей Инструкцией;
– за сохранность сведений ограниченного распространения в соответствии с требованиями законодательства в области защиты ПДн.
НАИМЕНОВАНИЕ медицинской организации
от ______________ № _______
ПРИКАЗ
О допуске сотрудников (название Медицинской организации)
к обработке персональных данных
В целях исполнения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Утвердить список сотрудников _______________________________,
(название МО)
доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных обязанностей (прилагается).
Допустить указанных сотрудников к обработке персональных данных.
Главный врач ______________
(Ф.И.О.)
| Приложение к приказу _________________________ (название МО) от _______________№_____ |
Список
сотрудников (название МО), доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных (трудовых) обязанностей
| № | Фамилия Имя Отчество | Должность | Информационная система персональных данных |
НАИМЕНОВАНИЕ медицинской организации
от_______________ №________
ПРИКАЗ
О порядке допуска лиц в защищаемые помещения
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
приказываю:
Утвердить список помещений, предназначенных для обработки персональных данных (Приложение ).
Руководителям структурных подразделений медицинской организации:
1) в срок до __________ представить в отдел ____________________ списки сотрудников для организации допуска сотрудников в помещения, утвержденные списком;
2) разместить списки лиц, имеющих право самостоятельного доступа в помещения для обработки ПДн на дверях помещений с внутренней стороны.
Запретить нахождение в помещениях, предназначенных для обработки ПДн, посторонних лиц без сопровождения лиц, имеющих право самостоятельного доступа.
В нерабочее время помещения для обработки ПДн должны закрываться на ключ и сдаваться под охрану.
Установку и замену оборудования в помещениях, предназначенных для обработки ПДн, а также ремонт помещений проводить по согласованию с отделом ____________________.
Возложить ответственность за соблюдение режима доступа в помещения, предназначенные для обработки ПДн, на лиц, постоянно работающих в помещениях, и руководителей структурных подразделений.
Возложить на ___________________________________________________
(должность, Ф.И.О)
контроль за списками лиц, допущенных для работы в помещениях, предназначенных для обработки ПДн.
Контроль за выполнением настоящего приказа оставляю за собой.
| Главный врач | ________________ |
(Ф.И.О)
| Приложение к приказу _________________________ (название МО) от ________________№_____ |
Список помещений, предназначенных для обработки персональных данных
| № п/п | Наименование помещения | Адрес и место расположения |
НАИМЕНОВАНИЕ медицинской организации
от________________ №________
ПРИКАЗ
О назначении администратора информационной безопасности в
(название Медицинской организации)
Во исполнение постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить ответственным за выполнение работ по технической защите персональных данных (администратором информационной безопасности) в ___________________________________________________________________
(название МО)
__________________________________________________________________ .
(должность, Ф.И.О)
2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) возложить на ___________________________________________________
(название подразделения)
(начальник _____________________________).
(Ф.И.О начальника подразделения)
3. В срок до ______________ года назначенным лицам разработать и внедрить:
– план мероприятий по обеспечению защиты персональных данных;
– перечень персональных данных, подлежащих защите;
– положение о порядке обработки и обеспечении безопасности персональных данных;
– определить уровни защищенности персональных данных при их обработке в ИСПДн для каждой ИСПДн с оформлением актов;
– частную модель угроз для каждой ИСПДн;
– матрицу доступа сотрудников к персональным данным;
– журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним;
– порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;
– журнал учета носителей персональных данных;
– журнал регистрации и учета обращений субъектов персональных данных;
– инструкцию администратора безопасности ИСПДн;
Контроль за исполнением настоящего приказа оставляю за собой.
| Главный врач | _____________________ |
(Ф.И.О)
НАИМЕНОВАНИЕ медицинской организации
от_____________ №_________
filling-form.ru
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа
1. Приказ о назначении ответственного за организацию обработки персональных данных
ПРОЕКТ ПРИКАЗА
О назначении ответственн(ых)ого за
организацию обработки персональных данных
_________________________________
В соответствии с пунктом 1 постановления Правительства РФ от 21.03.2012 № 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами”, приказываю:
1. Назначить ______________________________ответственн(ых)ого за организацию обработки персональных данных в _____________________________.
2. Утвердить инструкцию лица(м), ответственн(ым)ого за организацию обработки персональных данных (Приложение 1).
3. Контроль за исполнением настоящего Приказа оставляю за собой.
Руководитель _________________
2. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Обработка персональных данных в_________________ должна осуществляться на законной основе.
2. Обработка персональных данных в ______________________ должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Ответственный за осуществление обработки персональных данных в ______________________, должен принимать необходимые меры по удалению или уточнению неполных или неточных персональных данных.
7. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством, являются:
1) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Федеральный закон) и принятым в соответствии с ним нормативным правовым актам;
2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых _______________мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
3) ознакомление служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и(или) обучение служащих.
8. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) проведением в установленном порядке процедуры оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их недопущению;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9. Целью обработки персональных данных в ______________________ является обеспечение соблюдения законов и иных нормативных правовых актов.
10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
11. В случае выявления неправомерной обработки персональных данных, осуществляемой служащим, в срок, не превышающий три рабочих дня с даты этого выявления, он обязан прекратить неправомерную обработку персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, работник в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных работник обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
12. В случае достижения цели обработки персональных данных государственный гражданский работник обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ________________и субъектом персональных данных либо если _______________ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
13. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работник обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено соглашением между _____________и субъектом персональных данных.
Об уничтожении персональных данных государственный работник обязан уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.
14. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, работник осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен федеральными законами.
3. ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного
документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих правил, в случае если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих правил, должен содержать обоснование направления повторного запроса.
7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
4. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ
“О ПЕРСОНАЛЬНЫХ ДАННЫХ”
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в ________________организовывается проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются ответственным за организацию обработки персональных данных в _______________________ либо комиссией, образуемой распоряжением____________________.
3. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям в _______________________ проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в _____________________письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
– порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
– порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– состояние учета машинных носителей персональных данных;
– соблюдение правил доступа к персональным данным;
– наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
– мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– осуществление мероприятий по обеспечению целостности персональных данных.
6. Ответственный за организацию обработки персональных данных в _______________________ (комиссия) имеет право:
– запрашивать у работников____________, необходимую для реализации полномочий;
– требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
– принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
– вносить руководителю ________________предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
– вносить руководителю ______________предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в _______________________ (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю _______________докладывает ответственный за организацию обработки персональных данных либо председатель комиссии в форме письменного заключения.
Контроль за своевременностью и правильностью проведения проверки возлагается на_________________________.
rykovodstvo.ru
Приказ о назначении ответственных по работе с ПДн работников
| (Полное наименование оператора) | ||||||||||||||||||
Приказ
о назначении ответственных по работе с ПДн работников
1.
Назначить ответственными по работе с персональными данными работников следующих лиц:
| Наименование должности | Фамилия и инициалы исполнителя |
Доступ к персональным данным работников имеют следующие лица:
-руководитель;
-работники бухгалтерии;
-работники кадровой службы.
3.Ввести на предприятии режим обработки и защиты персональных данных работников.
4.Разработать и внедрить основополагающие локальные нормативные акты, касающиеся обработки и защиты персональных данных работников, а именно:
– Положение по работе с персональными данными работников;
– Журнал обращений органов с запросами персональных данных работников;
– Форму согласия работника на обработку его персональных данных;
– Журнал учета обращений субъектов ПДн о выполнении их законных прав;
– Акт уничтожения съемных носителей информации и персональных данных.
5.Контроль за исполнением настоящего приказа оставляю за собой.
| Руководитель | |||||
| (должность) | (личная подпись) | (расшифровка подписи) |
www.freshdoc.ru
Приказ о назначении ответственных за обработку персональных данных |
Муниципальное бюджетное образовательное учреждение дополнительного образования
Центр творчества «Содружество»
г.Краснодар
_______________________________________________________________
ИНН 2309076094 350000, г.Краснодар, ул. Чапаева, 85/1 тел.259-46-87
ПРИКАЗ
28.08.2018 № 99/4-в
О назначении ответственных за организацию обработки персональных данных в МБОУ ДО ЦТ «Содружество» и внесении информации в автоматизированную систему «Сетевой город. Образование» на 2018-2019 учебный год.
В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 26.07.2006 №152-ФЗ «О персональных данных», постановлением правительства Российской Федерации от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», письмом Федерального агентства по образованию от 29.07.2009 №17-110 «Об обеспечении защиты персональных данных» и в целях обеспечения защиты персональных данных работников и детей-учащихся МБОУ ДО ЦТ «Содружество»
ПРИКАЗЫВАЮ:
1. Утвердить список сотрудников, осуществляющих обработку: сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, использование, распространение, обезличивание, уничтожение персональных данных работников и детей-учащихся МБОУ ДО ЦТ «Содружество»:
Мановицкая Е.Н.. – педагог-организатор;
Симоненко А.В.-зав. структурным подразделением «Социально-педагогическое»
Шнайдер М.В.. – педагог-организатор;
Внесение в полном объеме всей необходимой информации в автоматизированную систему «Сетевой город. Образование» на новый 2018-2019 учебный год о сотрудниках, объединениях, осуществить перевод учащихся на новый 2018-2019 учебный год, выпуск и зачисление учащихся
Симоненко А.В.-зав. структурным подразделением «Социально-педагогическое»
Шнайдер М.В.. – педагог-организатор;
2. Обязать сотрудников, ответственных за обработку персональных данных, обеспечить конфиденциальность персональных данных, не допускать их распространение без согласия субъектов персональных данных или наличия
иного законного основания.
3. Контроль за исполнением приказа оставляю за собой.
Директор МБОУ ДО ЦТ«Содружество» М.А.Лященко
cdtsodrujestvo.ru
Назначение ответственного за персональные данные | Статьи
Каждая компания, осуществляющая трудовую деятельность, оперирует определенным количеством персональных данных граждан нашей страны. Соответственно, за них кто-то должен нести ответственность, помимо директора учреждения. Именно о назначении таких сотрудников и пойдет речь в представленной статье.
Из данной статьи вы узнаете:
- какой установлен порядок назначения ответственного за персональные данные;
- как выглядит приказ о назначении ответственного за персональные данные;
- как происходит ознакомление с приказом о назначении ответственных за персональные данные.
Порядок назначения ответственного за персональные данные
Потенциальный ответственный за персональные данные работник фирмы должен обладать необходимыми навыками и умениями, дабы своевременно нивелировать риски получения доступа к важной информации со стороны третьих лиц. Трудоустроенный гражданин так же должен обладать определенной долей ответственности, так как от качества исполнения им прямых обязанностей зависит не только успех всего предприятия, но и отсутствие рисков стать одним из участников судебных разбирательств.
Для того чтобы документально грамотно оформить ответственного за персональные данные сотрудника, необходимо позаботиться о наличии нормативных локальных актов, регламентирующих границы данной ответственности. Все нюансы, касающиеся вопросов обеспечения безопасности хранения информации, прописываются в должностных инструкциях, но руководитель организации может назначать ответственным и другого работника, который изначально не подразумевал, что в его ведомстве будет находиться определенное количество важной документации.
Первым делом необходимо составить положение о персональных данных, где будет сказано, каким образом данная информация собирается, как используется и где храниться. Данное положение будет применяться ко всем видам носителей – и бумажным, и электронным. Если в организации присутствует профсоюзный орган, то утверждение данного положения должно происходить при получении от представителей профсоюза согласия.
Утверждается положение путем составления приказа, подписываемого руководителем. В данном приказе может идти речь, как об отдельном виде персональных данных, так и обо всех его категориях.
О персональных данных: образце согласия на обработку персональных данных, читайте далее
Приказ о назначении ответственного за персональные данные
Как было сказано выше, приказ, выпускаемый с согласия профсоюза и непосредственного руководителя организации, регламентирует порядок обращения и хранения персональных данных клиентов, сотрудников и партнеров компании. В документе так же указываются ответственные за сбор и хранение лица, которыми, чаще всего, выступают работники кадровой службы, бухгалтера, юристы и секретари.
Законодательством не установлены четкие рамки составления данного приказа, так что документ можно создавать в произвольной форме. Чаще всего, в качестве основы используется фирменный бланк организации, но можно заимствовать и чистый лист формата А4, где будет присутствовать, в обязательном порядке, вся необходимая информация о фирме.
Читайте по теме в электронном журнале
Приказ должен содержать порядковый номер, который выписывается после его подписания руководителем и занесения в журнал регистрации распоряжений. Составляется краткое содержание документа, где будут прописаны пункты распоряжения. Далее следует прописать сам порядок получения и хранения персональных данных, указать ответственных лиц (фамилии, имена, отчества, должности) и уточнить, какая полагается ответственность за несоблюдение указанных пунктов.
Как происходит ознакомление с приказом о назначении ответственных за персональные данные?
Все сотрудники, которых руководитель предприятия выбрал в качестве ответственных за хранение персональной информации, должны своевременно ознакомиться с приказом. Если у работников не возникает вопросов, то они просто проставляют свои подписи внизу документа. Но в случае возникновения спорных ситуаций все вопросы необходимо решать как можно скорее, ведь всем известно, что за отсутствие документа о защите важной информации на компанию могут возлагаться штрафные санкции после визита проверяющих органов.
Получение положительного ответа от ответственных сотрудников работодатель должен обязательно закрепить подписью. Если в приказе нет специальных граф, где подчиненные могут поставить визу, кадровой службой выпускается дополнение к приказу, где уточняются личные данные сотрудников и проставляется их роспись.
Если соблюдать все порядки при выпуске локальных нормативных актов, регламентирующих порядок ведения и хранения важной информации, никаких проблем компания испытывать не будет. За его неверное составление или отсутствие полагается материальная ответственность в виде штрафа или уголовная – в формате лишения свободы.
Рекомендуем материалы по теме:
- Кого назначить ответственным за разработку критериев оценки;
- Как организовать обработку персональных данных сотрудников;
- Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными;
- Персональные данные: что проверит Роскомнадзор;
- Обрабатываем персональные данные, принимая на работу;
- Организация работы с персональными данными. Коммерческая тайна.
www.kdelo.ru
Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
НАИМЕНОВАНИЕ медицинской организации
от _____________ №_________
ПРИКАЗ
О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах
(название Медицинской организации)
Во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в информационных системах персональных данных ______________________________________________________________________
(название МО)
_________________________________________________________________ .
(должность, Ф.И.О сотрудника)
Утвердить «Инструкцию ответственного лица за обработку персональных данных в _____________________________________________ (Приложение № 1).
(название МО)
Возложить на _____________________________ следующие обязанности:
(Ф.И.О сотрудника)
– предоставление на утверждение списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных ___________________________________________________
(название МО)
необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
– осуществление внутреннего контроля за соблюдением работниками __________________________________________________________________
(название МО)
законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
– доведение до сведения работников (оператора) положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
– организация приема и обработка обращений субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений.
4. Контроль за исполнением настоящего приказа оставляю за собой.
| Главный врач | __________________ |
(Ф. И. О.)
| Приложение к приказу _________________________ (название МО) от ________________№_____ |
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных в (название МО)
I. Общие положения
1. Настоящая должностная инструкция определяет права, ответственность и обязанности ответственного (далее – Ответственный) за организацию обработки персональных данных (далее ПДн) в _________________________________.
(название МО)
2. Методическое руководство и контроль работы должностных лиц в __________________________________________________________________
(название МО)
осуществляет ответственный за организацию обработки персональных данных.
II. Обязанности ответственного за организацию
обработки персональных данных
3. Должностное лицо, ответственное за организацию обработки ПДн в __________________________________________________________, обязано:
(название МО)
– знать и выполнять требования действующего законодательства РФ, а также внутренних инструкций и положений, регламентирующих деятельность по обработке и защите ПДн;
– отслеживать изменения действующего законодательства РФ по вопросам защиты и обработки ПДн;
– согласовывать свои действия по обработке и защите ПДн с сотрудниками отдела информационной безопасности __________________;
(название МО)
– участвовать в проведении служебных расследований по фактам нарушения функционирования информационной системы персональных данных, а также других случаев нарушения правил обработки и защиты ПДн в соответствующем структурном подразделении;
– организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
– организовать ведение журнала учета обращений субъектов ПДн;
– организовать инструктаж должностных лиц, уполномоченных на обработку ПДн в информационных системах персональных данных.
III. Права ответственного за организацию
обработки персональных данных
4. Должностное лицо, ответственное за организацию обработки ПДн в ________________________________________________________ имеет право:
(название МО)
– требовать от должностных лиц, уполномоченных на обработку персональных данных, безусловного соблюдения установленных правил обработки и защиты ПДн;
– требовать от должностных лиц, уполномоченных на обработку персональных данных прекращения обработки ПДн, в случаях их неправомерного использования и нарушения установленного порядка обработки;
– обращаться к ответственному (подразделение учреждения, назначенное ответственным) за организацию защиты персональных данных _____________________________________________________________________
(название МО)
с запросом об оказании необходимой технической и методической помощи в работе;
– доступа во все помещения соответствующего структурного подразделения, где осуществляется обработка ПДн.
IV. Ответственность
5. Должностное лицо, ответственное за организацию обработки ПДн в ________________________________________________ несет ответственность:
(название МО)
– за качество и полноту проводимых им работ по организации обработки ПДн в соответствии с функциональными обязанностями, определенными настоящей Инструкцией;
– за сохранность сведений ограниченного распространения в соответствии с требованиями законодательства в области защиты ПДн.
НАИМЕНОВАНИЕ медицинской организации
от ______________ № _______
ПРИКАЗ
О допуске сотрудников (название Медицинской организации)
к обработке персональных данных
В целях исполнения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Утвердить список сотрудников _______________________________,
(название МО)
доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных обязанностей (прилагается).
Допустить указанных сотрудников к обработке персональных данных.
Главный врач ______________
(Ф.И.О.)
| Приложение к приказу _________________________ (название МО) от _______________№_____ |
Список
сотрудников (название МО), доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных (трудовых) обязанностей
| № | Фамилия Имя Отчество | Должность | Информационная система персональных данных |
НАИМЕНОВАНИЕ медицинской организации
от_______________ №________
ПРИКАЗ
О порядке допуска лиц в защищаемые помещения
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
приказываю:
Утвердить список помещений, предназначенных для обработки персональных данных (Приложение ).
Руководителям структурных подразделений медицинской организации:
1) в срок до __________ представить в отдел ____________________ списки сотрудников для организации допуска сотрудников в помещения, утвержденные списком;
2) разместить списки лиц, имеющих право самостоятельного доступа в помещения для обработки ПДн на дверях помещений с внутренней стороны.
Запретить нахождение в помещениях, предназначенных для обработки ПДн, посторонних лиц без сопровождения лиц, имеющих право самостоятельного доступа.
В нерабочее время помещения для обработки ПДн должны закрываться на ключ и сдаваться под охрану.
Установку и замену оборудования в помещениях, предназначенных для обработки ПДн, а также ремонт помещений проводить по согласованию с отделом ____________________.
Возложить ответственность за соблюдение режима доступа в помещения, предназначенные для обработки ПДн, на лиц, постоянно работающих в помещениях, и руководителей структурных подразделений.
Возложить на ___________________________________________________
(должность, Ф.И.О)
контроль за списками лиц, допущенных для работы в помещениях, предназначенных для обработки ПДн.
Контроль за выполнением настоящего приказа оставляю за собой.
| Главный врач | ________________ |
(Ф.И.О)
| Приложение к приказу _________________________ (название МО) от ________________№_____ |
Список помещений, предназначенных для обработки персональных данных
| № п/п | Наименование помещения | Адрес и место расположения |
НАИМЕНОВАНИЕ медицинской организации
от________________ №________
ПРИКАЗ
О назначении администратора информационной безопасности в
(название Медицинской организации)
Во исполнение постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить ответственным за выполнение работ по технической защите персональных данных (администратором информационной безопасности) в ___________________________________________________________________
(название МО)
__________________________________________________________________ .
(должность, Ф.И.О)
2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) возложить на ___________________________________________________
(название подразделения)
(начальник _____________________________).
(Ф.И.О начальника подразделения)
3. В срок до ______________ года назначенным лицам разработать и внедрить:
– план мероприятий по обеспечению защиты персональных данных;
– перечень персональных данных, подлежащих защите;
– положение о порядке обработки и обеспечении безопасности персональных данных;
– определить уровни защищенности персональных данных при их обработке в ИСПДн для каждой ИСПДн с оформлением актов;
– частную модель угроз для каждой ИСПДн;
– матрицу доступа сотрудников к персональным данным;
– журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним;
– порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;
– журнал учета носителей персональных данных;
– журнал регистрации и учета обращений субъектов персональных данных;
– инструкцию администратора безопасности ИСПДн;
Контроль за исполнением настоящего приказа оставляю за собой.
| Главный врач | _____________________ |
(Ф.И.О)
НАИМЕНОВАНИЕ медицинской организации
от_____________ №_________
rykovodstvo.ru