Какие мероприятия вы проводите для соблюдения режима конфеденциальности персональных данных работника ?

Если честно, то особо данные сотрудника, ни кто ни хранит, да и не сможет. Все зависит от Администратора, и настроенной им политики безопасности

а в нашей организации есть такой документ, правда он служит больше для дисциплины сотрудников. а также хоть небольшой, но защитой от лишних проверок. Потянуть время, не дать доступ без соответствующих печатей

Слышала, что некоторые орг-ии берут с работников заявление, разрешающееиспользовать его персональные данные. Но считаю это нелепостью. Есть 152-фз там конкретно написано что как и когда можно разглашать. А нам бухгалтерам без "разглашения" есть чем заняться.

Да, у нас тоже стали делать документ, по которому сотрудник разрешает использовать, хранить и обрабатывать его персональные данные. Но в ФЗ столько всяких нюансов, что рехнуться можно. Например организация должна обеспечить конфеденциальность предоставленным сотрудником данных. А у нас их вводят в 1С. У 1С сертификатов безопасности нет. Ладно там трудовая - хранится в сейфе. Хоть сейф и не защита, но формально всё нормально, буква закона выдержана. Вот непонятно что делать с данными, которые хранятся в инф. системах. Получать какие-то сертификаты безопасности ? Где, у кого ? Что это даст во время проверки ? Как вообще эти проверки проходят ? Какие документы должны подписать люди, с этими личными данными работающие (кадровики например) ?

А скажите насколько это все серьёзно

Трудно сказать. Штрафы солидные. По Кодексу об административных правонарушениях под данный вид подпадает ст.13.11, 13.12 - от 5 до 10 тыс. руб на юрлицо, и от 500 до 1000 - на должностные лица . Исползуемая несертифицировання системы изымается, т.е. можно остаться без программы для зарплаты. За разглашение персданных - увольнение. Котролирующий орган -Роскомнадзор, полностью - Управлелние Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. План проверок публикуется на сайте прокуратуры субъекта.Например для Ярславской области: http://www.yarprok.ru/revisions/2011/.

А как быть с конфиденциальностью данных клиентов домов-интернатов?
При поступлении с каждым клиентом должен быть заключен договор социального обслуживания на конкретную сумму - 75% от пенсии,а справки, подтверждающей размер пенсии нет. "Гонять" за справкой в ПФ инвалида или пенсионера нельзя. А в ПФ дают информацию только лично клиенту, доверенности игнорируют.
Да и в последствии пенсия может меняться, значит неоходимо составлять доп.соглашения на новую сумму оплаты за социальное обслуживание, опять же нужен для этого подтверждающий документ. Сами клиенты, конечно, никогда не сообщат во-время, что пенсия изменилась. Как поступать в таких случаях, чтобы не нарушать законодательство?

У нас разработаны: Положение о защите персональных данных, сотрудники ознакомлены, взяты письменные согласия на обработку персональных данных и обязательства о неразглашении персональных данных в период работы и по окончании ее в течении __ лет. Организация зарегистрировалась (уведомление о обработке ПД) в Роскомнадзоре.

В связи с поправками, вступившими в силу с 01.07.11(Федер.закон № 261-ФЗ от 25.07.11) персональная информация - это любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (п.1 ст.3 закона № 152-ФЗ). В ст.9 закона № 152-ФЗ определен порядок получения согласия работника на обработку его персональных данных. Персональной считается любая информация, в т.ч. ФИО, паспортные данные, должность.
Мы теперь с каждого работника берем письменное Согласие на обработку персональных данных; + разработали Положение о персональных данных по организации; + ПРИКАЗ о назначении ответственных за обработку персональных данных.

loo56, во первых я думаю, что ПФ вряд ли Вам откажет, если будет нотариальная доверенность. Во вторых, с ПФ можно попробовать заключить договор, как предоставление ПД третьему лицу, следовательно ПФ данные Вам выдаёт, а дальше их защита ложится на Вас.
В любом случае, договор, а также все эти моменты прописывать в положении о защите ПД - обязательно.
(на форуме, где-то через pd.rsoc.ru, обсуждался подобный вопрос).

А у нас в организации сделали 3 полки документов... Начали с приказа и поехали, положения, модели угроз...
Когда я ездил в Москоу-сити на конференцию по ПД, нам чётко дали понять, что все применяемые действия (в т.ч. политики безопасности ит.д.) нужно чётко прописывать как в положении, так и в методологиях и моделях... грустно вообщем.

Все не предусотришь...

У нас в организации есть положение о защите персональных данных и всем сотрудникам внесли в трудовые договора пнкты:
- не разглашать сведения конфиденциального характера, а также сведения ограниченного распространения, установленные распорядительными документами Работодателя, которые получены им во время выполнения трудовых обязанностей, либо стали известны другим путем. Такая информация не может быть передана другому лицу (юридическому и физическому) как в период работы так и в течение 3-х лет после прекращения действия настоящего Трудового договора за исключением случаев, когда передача информации требуется при выполнении Работником своих трудовых обязанностей, согласно настоящему Трудовому договору, либо связана с исполнением его гражданских обязанностей, предусмотренных действующим законодательством.
- принимать необходимые меры для сохранения конфиденциальности сведений, составляющих служебную, коммерческую, налоговую и банковскую тайну, в том числе:
• сведения о выполняемых работах;
• сведения, связанные с финансовыми операциями, как самого Работодателя, так и его деловых партнеров;
• сведения о проводимых Работодателем научных, технических, коммерческих и других разработках;
• сведения о производственных договорах, заключаемых на будущий период;
• любые данные о персонале Работодателя;
• персональные данные заказчиков;
• условия настоящего Трудового договора.

Этого достаточно или нет?

Не помню точно с какого месяца лета прошлого года (вроде с июля) вступили в действие поправки в 152-ФЗ
На основании этих поправок работодателю уже не надо брать согласие работника на обработку его персональных данных

У нас пока мероприятия по защите персональных данных ограничиваются созданием нескольких документов:
- приказ о назначении ответственного сотрудника за осуществление мероприятий, по защите персональных данных;
- приказ о создании комиссии по защите и обработке персональных данных в организации
- утверждено положение по защите и обработке персональных данных в организации.
- отчет об обследовании информационных систем персональных данных;
- акт классификации типовой информационной системы персональных данных с приложением "Модели угроз"
- документ «Согласие на обработку персональных данных»
- перечень персональных данных, обрабатываемых в организации;
- положение об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим документом. Также сотрудники подписали обязательство об обеспечении конфиденциальности персональных данных.
- Описание системы защиты персональных данных при их обработке в информационных системах
- инструкция пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;
- инструкция администратора по безопасности информационных систем персональных данных организации
- Заключение о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации
Достаточно ли этого для соответствия 152-ФЗ или требуются какие -либо еще действия мне неизвестно.

случайно столкнулась с этим вопросом, прочитала, что необходмо регистрироваться как оператор в роскомнадзоре. Т.е. если ты юр лицо, то регистрация обязательна? ведь ты принимаешь на работу людей и у тебя уже есть ПД. А что будет если ты вообще ни чего не делал? чем это вообще грозит?

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).
В соответствии со ст.3 Федерального закона №152-Ф3 (2007г.) "О защите персональных данных", к персональным данным относятся:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессия;
- доходы;
- другая информация.
Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.
ДОКУМЕНТЫ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
- Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации)
- Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).

Сейчас многие компании отдают защиту персональных данных на аутсорсинг. Один из вариантов - это перенести свою информационную систему в защищенное облако и переложить на хостинг-провайдера ответственность за защиту персональных данных в соответствии с требованиями законодательства. В этом случае с облачным оператором заключается договор-поручение в котором указаны ответственность, меры защиты, цели обработки, обязанность сохранять конфиденциальность и защищенность персональных данных. Для размещенной в облаке информационной системы персональных данных, в соответствии с приказом ФСТЭК №21 делается оценка соответствия системы защиты, в которой и делается заключение что все требования законодательства выполнены. Такой защищенный облачный хостинг предлагает cloud4y - услуга Облако 152ФЗ.