Персональные данные: какие документы готовить к проверке?
На тему персональных данных и их защиты в последние год-два не писал, наверно, только ленивый. Известный всем федеральный закон 152-ФЗ уже стал «притчей во язытцах».
Мы на Факультете информационных систем и технологий и в Региональном аттестационном центре Сыктывкарского государственного университета уже давно занимаемся тематикой защиты персональных данных (но, кстати, не только их): обучаем, консультируем, проводим научно-исследовательские работы.
В то же время (и это далеко не секрет) мы (как университет) являемся оператором обработки большого количества самых разных персональных данных сотрудников, студентов, слушателей.
И, по разным причинам, в первую очередь именно у нас всё должно быть правильно как с организацией мероприятий по защите персональных данных, так и с точки зрения комплекта соответствующих документов, которые должны быть подготовлены с целью комплексной защиты персональных данных.
Так получилось, что последние полтора месяца именно мне пришлось возглавить руководство информатизацией и информационной безопасностью в университете (в т.ч. и в части обеспечения безопасности персональных данных) и в ноябре текущего года (то бишь, на днях) вместе со своей специальной сформированной командой представлять университет во внешней среде по вопросам защиты персональных данных.
Был подготовлен достаточно внушительный список документов, регламентирующий все необходимые аспекты защиты ПДн (таково общепринятое сокращение словосочетания «персональные данные»).
Привожу этот список почти полностью (надеюсь, кому-нибудь эта «номенклатура документов» окажется полезной):
1. Акты классификации информационных систем персональных данных.
2. Инструкция администратора информационной системы персональных данных государственного образовательного учреждения высшего профессионального образования «Сыктывкарский государственный университет».
3. Инструкция о порядке доступа в помещения, в которых ведется обработка персональных данных.
4. Инструкция о порядке учета, обращения, хранения и уничтожения конфиденциальных документов.
5. Информационное письмо Руководителю Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций.
6. Лицензионные договоры на программное обеспечение ПЭВМ, на которых осуществляется обработка персональных данных.
7. Номенклатура должностей лиц, допущенных к персональным данным в рамках своих должностных обязанностей.
8. Обезличенное письменное обязательство о не разглашении персональных данных, обрабатываемых в СыктГУ.
9. Обезличенное письменное согласие на обработку персональных данных обучающегося.
10. Обезличенное письменное согласия на обработку персональных данных сотрудника.
11. Перечень ПЭВМ, на которых осуществляется обработка персональных данных в информационных системах персональных данных.
12. Перечень сведений конфиденциального характера СыктГУ.
13. План внутренних проверок режима защиты персональных данных.
14. План мероприятий по обеспечению безопасности персональных данных.
15. Положение об обработке персональных данных абитуриентов, обучающихся и выпускников государственного образовательного учреждения высшего профессионального образования «Сыктывкарский государственный университет».
16. Положение об обработке персональных данных работников ГОУВПО «СыктГУ».
17. Положение об отделе по защите персональных данных.
18. Положение по организации и проведению работ по обеспечению безопасности персональных данных в ГОУВПО «СыктГУ».
19. Приказ «О возложении обязанностей по обеспечению безопасности персональных данных».
20. Приказ «О Комиссии по классификации информационных систем персональных данных».
21. Приказ «О списке помещений, выделенных для обработки персональных данных в информационных системах персональных данных» с перечнем лиц, имеющих допуск в помещение.
22. Приказ «Об обработке персональных данных» (Приложение 1. Перечень персональных данных, обрабатываемых в СыктГУ. Приложение 2. Перечень информационных систем персональных данных в СыктГУ. Приложение 3. Представление на предоставление допуска к персональным данным).
23. Приказ «Об утверждении перечня лиц, допущенных к обработке персональных данных в СыктГУ».
24. Приказ «Об утверждении Положения об обработке персональных данных абитуриентов, обучающихся и выпускников ГОУВПО «СыктГУ».
25. Приказ «Об утверждении Положения по организации и проведению работ по обеспечению безопасности персональных данных в ГОУВПО «СыктГУ».
26. Приказ «Об утверждении Положения об обработке персональных данных работников ГОУВПО «СыктГУ».
27. Приказ об утверждении инструкции о порядке учета, обращения, хранения и уничтожения конфиденциальных документов.
28. Список лиц, допущенных к персональным данным в рамках своих должностных обязанностей.
29. Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
<…>
Это не все документы. Есть ещё их некоторое количество: модель угроз, должностная инструкция проректора по информатизации и пр.
Комментарии:
И как проверка? Пройдена уже? А как команда?
Нормально.
Какая команда?
вот эта)
Понятно .
Команда показала свою эффективность и высокий КПД. За короткий промежуток времени были полностью приведены (доведены) в соответствие все необходимые документы и регламенты.
добрый день ! а можно где либо ознаокмится с контентом этих доков ? мой мэйл clod@km.ru
Оставить комментарий