ПД_НКО

от 27.07.2006 г.
N 152-ФЗ "О персональных данных", рекомендации
по его соблюдению НКО
НП «Юристы за гражданское общество»

регулируют ряд Постановлений Правительства РФ и ведомственные правовые акты
Определение персональных данных (ПД):
- любая информация относящаяся к прямо или косвенно определенному и определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ «О персональных данных»)
- та информация, которая, включается в уведомление об обработке персональных данных, по мнению Роскомнадзора
Субъекты обработки ПД:
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД
Субъект ПД – физическое лицо, кому принадлежат обрабатываемые ПД

действия, связанные с использованием ПД:
-Сбор
- Запись
- Систематизация
- Накопление
- Хранение
- Обновление
- Извлечение
- Использование
- Передача (распространение, доступ, предоставление)
- Обезличивание
- Блокирование
- Удаление
- Уничтожение

соблюдения Оператором требование - не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Согласие на обработку ПД:
-конкретное, информированное и сознательное;
- может быть получено в любой позволяющей подтвердить факт его получения форме (лучше письменной)
Обязанность получить согласие на обработку ПД лежит на операторе.

ПД, вы должны подать уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) до начала их обработки в письменной форме:
- по адресу: 614096, г.Пермь, пр. Ленина, д. 68, Управление Роскомнадзора по Пермскому краю; Pd.rkn.gov.ru Консультации по телефону: 258-15-37 (доб. 534)
Направление уведомления об обработке персональных данных в Роскомнадзор, автоматически влечет за собой включение организации в реестр операторов, и, соответственно, в список плановых проверок (план проверок на текущий год размещен в свободном доступе на официальном сайте Роскомнадзора: www.rsoc.ru)

уведомления о ПД:
- полученных Оператором при оформлении трудовых отношений;
-полученных Оператором в связи с заключением договора, стороной которого является субъект ПД, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
-относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией при условии, что ПД не будут распространяться без согласия в письменной форме субъектов ПД;
- являющихся общедоступными ПД;
-включающих в себя только ФИО субъектов ПД;
- необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД.

соблюдению ФЗ «О персональных данных»:
- Провести классификацию своих информационных систем ПД, определить какие категории ПД обрабатываются, виды обработки ПД, какой класс защиты ПД требуется (классификация проводится в соответствии с требованиями совместного Приказа ФСТЭК, ФСБ и Мин-ва информационных технологий и связи РФ от 13.02.2008 №55/86/20);
- Издать приказ о назначении комиссии по классификации информационных систем ПД. Процедура заканчивается составлением акта;
-Разработать и утвердить Положение об обработке ПД с обязательным ознакомлением сотрудников с ним;
- Издать приказ о назначении сотрудника, ответственного за обработку ПД;
- Разработать ряд других локальных (внутренних) актов: например, приказ о допуске к обработке ПД, документы по поставке программного обеспечения СЗИ (средств защиты информации), приказ о вводе системы в эксплуатацию, инструкция по антивирусному обеспечению, документы по прохождению обучения сотрудников требованиям обеспечения безопасности ПД и т.д.;
- Документы, содержащие ПД, цели обработки которых достигнуты, и нет необходимости эти документы хранить, рекомендуется сдать в архив.

законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, <…> -
влечет предупреждение или наложение административного штрафа
на граждан в размере от семисот до одной тысячи пятисот рублей;
на должностных лиц - от трех тысяч до шести тысяч рублей;
на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

_____________________________________________________________________
В целях выполнения требований статей 18.1 и 22.1 Федерального закона от 27 июля 2006 года №152-Фз «О персональных данных»,
ПРИКАЗЫВАЮ:
1. Назначить ____________________________________________________________ ответственным за организацию обработки персональных данных в _____________________________________________________________________________.
2. Возложить на _________________________________________________________ обязанности по осуществлению внутреннего контроля за соблюдением работниками _____________________________________________________________________________ законодательства о персональных данных, в том числе требований к защите персональных данных, доведению до сведения работников положений законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществлению контроля за приемом и обработкой таких обращений и запросов.
3. Приказ довести до сведения работников __________________________________.
Руководитель _________________________________________________________________
(подпись)

Конституции Российской Федерации, Федерального закона от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и призвано обеспечить права работников ______________________________________________________________________________, а также иных лиц при обработке их персональных данных.

20__ г. ОБЯЗАТЕЛЬСТВО о неразглашении информации, содержащей персональные данные

Приложение №1к Положению об обработке и защите персональных данных в________________________________от «____» ____________ 20__ г.
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я,___________________________________________________________________________ ,
(Ф.И.О.)
 исполняющий (ая) должностные обязанности по занимаемой должности
______________________________________________________________________________
_____________________________________________________________________________,
(должность, наименование структурного подразделения )
предупрежден (а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
_________________________________ ____________
(фамилия, инициалы) (подпись)

«____» _____________ 20__ г. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ г. ____________________ «___» _______________ 20___ г.

Я, _____________________________________________________________________________,
(Фамилия, Имя, Отчество полностью)
вид основного документа, удостоверяющего личность ___________________________ серия ___________№_____________ выдан_____________________________________
______________________________________________________________________________
(кем и когда)
проживающий(ая) по адресу _________________________________________________
_____________________________________________________________________________,
В лице представителя субъекта персональных данных (заполняется в случае получения согласия от представителя субъекта персональных данных),
_____________________________________________________________________________,
(Фамилия, Имя, Отчество полностью)
вид основного документа, удостоверяющего личность __________________________ серия ___________№________________ выдан________________________
_____________________________________________________________________________,
(кем и когда)
проживающего(ей) по адресу ________________________________________________
_____________________________________________________________________________, действующего от имени субъекта персональных данных на основании ______________________________________________________________________________
______________________________________________________________________________
(реквизиты доверенности или иного документа, подтверждающего полномочия представителя),

_____________________________________________________________________

В целях выполнения требований статей 18.1 и 22.1 Федерального закона от 27 июля 2006 года №152-Фз «О персональных данных»,
ПРИКАЗЫВАЮ:
1. Назначить ____________________________________________________________ ответственным за организацию обработки персональных данных в _____________________________________________________________________________.
2. Возложить на _________________________________________________________ обязанности по осуществлению внутреннего контроля за соблюдением работниками _____________________________________________________________________________ законодательства о персональных данных, в том числе требований к защите персональных данных, доведению до сведения работников положений законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществлению контроля за приемом и обработкой таких обращений и запросов.
3. Приказ довести до сведения работников __________________________________.
Руководитель _________________________________________________________________
(подпись)

_____________________________________________________________________,
ПРИКАЗЫВАЮ:
1. К обработке персональных данных в _____________________________________ допустить следующих лиц:
_______________________________________________________________________
(ФИО, должность)
_______________________________________________________________________
(ФИО, должность)
_______________________________________________________________________
(ФИО, должность)
2. Ответственному за организацию обработки персональных данных довести до работников, допущенных к обработке персональных данных, требования нормативных правовых актов и локальных актов, регламентирующих обработку персональных данных, получить от них обязательство о неразглашении персональных данных, ставших им известными при выполнении должностных обязанностей.
Руководитель ______________________________________________________

ПРИКАЗ №___ от «__»_______20__ года О допуске работников к обработке персональных данных

прав, при обработке персональных данных в информационной системе персональных данных _________________________________________________________

регистрации и жительства;
Паспортные данные (серия, номер паспорта, кем и когда выдан);
Контактные номера телефонов и электронной почты;
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
Информация о трудовой деятельности до приема на работу;
Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
Оклад;
Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
Идентификационный номер налогоплательщика (ИНН);
Сведения об аттестации работника;
Сведения о повышении квалификации работника;
Сведения о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках;
Информация о командировках;
Информация о временной нетрудоспособности;
Информация о негосударственном пенсионном обеспечении.
Ответственный за организацию обработки персональных данных _____________________________________________________________________________
(ФИО, подпись, дата)

требований по защите персональных данных и их уничтожению по основаниям, предусмотренным законодательством,
ПРИКАЗЫВАЮ:
1. Создать комиссию по уничтожению персональных данных, не подлежащих дальнейшему хранению, в ______________________________________________________ в составе следующих лиц:[DM1]1. Создать комиссию по уничтожению персональных данных, не подлежащих дальнейшему хранению, в ______________________________________________________ в составе следующих лиц:[DM1] 
__________________________________________________(председатель комиссии)
(ФИО, должность)
__________________________________________________________(член комиссии)
(ФИО, должность)
__________________________________________________________(член комиссии)
(ФИО, должность)
2. В срок до «___»________ ___ г. провести экспертизу персональных данных, имеющихся в _________________________________________________________________________, и выделить к уничтожению документы, содержащие персональные данные, обработка которых завершена по состоянию на «___» ________ ___ г. , или имеется соответствующее обращение субъекта персональных данных.
3. В срок до «___»________ ___ г. уничтожить документы, содержащие персональные данные, обработка которых завершена по состоянию на «___» ________ ___ г. , или имеется соответствующее обращение субъекта персональных данных.
3. Контроль за исполнением настоящего приказа оставляю за собой
Руководитель ______________________________________________________
 [DM1]Лица должны совпадать с теми, кто наделен правом допуска к обработке персональных данных

№___ в составе: __________________________________________________(председатель комиссии) (ФИО, должность) __________________________________________________________(член комиссии) (ФИО, должность) __________________________________________________________(член комиссии) (ФИО, должность)
составили настоящий акт о том, что «____»__________ 20__г. по факту достижения цели обработки (обращения субъекта персональных данных) _________________________________________________________________________
произведено уничтожение следующей информации, не подлежащей дальнейшему хранению:

(В ЧАСТИ УТОЧНЕНИЯ ПРИНЦИПОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ)»

Законопроектом предлагается законодательно закрепить положение о том, что оператор персональных данных, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями этого лица.
При этом порядок осуществления такого контроля устанавливается оператором персональных данных самостоятельно.

осуществлять обезличивание персональных данных в соответствии с требованиями и методами, утверждаемыми Роскомнадзором, а также разработать и утвердить правила работы с обезличенными персональными данными.

должна соответствовать ч. 4 ст. 9 ФЗ «О персональных данных», в следующих случаях:
Трансграничная передача ПД (ст. 12)
Биометрические ПД (ст. 11)
Специальные категории ПД (ст. 10)
Общедоступные источники (справочники, адресные книги) (ст. 8)
Исключительно автоматизированная обработка (ст. 16)

В любой доступной форме, позволяющей подтвердить факт его получения