Файл: 2023 Модуль Организационноправовые основы защиты персональных данных в информационных системах персональных данных Действие 1.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 70
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Томский государственный университет Финансовый университет при Правительстве Российской Федерации
Проектное задание по курсу
Защита персональных данных в организации (на примере ГП ЧАО «ЧУКОТКОММУНХОЗ»)
Автор Омрычайвуна Валентина Владимировна
Преподаватели Сиротский А.А.
Угольные Копи
2023
Модуль 1. Организационно-правовые основы защиты персональных данных в информационных системах персональных данных
Действие 1. Следует определить следующие исходные данные по гипотетической организации:
А) организационно-правовой статус организации - исполняющий обязанности генерального директора - Никуленко Александр Сергеевич);
Б) юридическое местонахождение организации (город Анадырь, ул. Рультытегина д.24);
В) физическое местонахождение организации (поселок Угольные Копи, улица Октябрьская д.18);
Г) правовой статус занимаемого помещения (дом находится под управлением ООО ЖЭУ Угольные Копи);
Д) предмет деятельности (основными видами производственной деятельности предприятия является выработка и транспортировка энергии тепловой и электрической, водоснабжение, оказание коммунальных услуг населению и юридическим лицам);
Е) Основной (по коду ОКВЭД ред. 2):3511 – Производство электроэнергии;
Ж) -50-100;
З) состав сотрудников по должностным функциям (начальник котельной, операторы ЦПУ, кочегары, транспортерщики, слесари, электрики, лаборанты, токари, уборщица);
И) количество сторонних лиц (клиентов), персональные данные которых могут запрашиваться и обрабатываться ориентировочно из диапазонов: -100-1000;
К) -
Л) Масштаб организации – наличие филиалов;
М1) Наличие необходимости трансграничной передачи персональных данных (нет);
М2) –
Н) Место размещения хранилищ персональных данных (г. Анадырь);
О) Место физического размещения хранилищ персональных данных (собственная инфраструктура);
П) Наличие необходимости передачи персональных данных третьим лицам (нет);
Р) Необходимые категории обрабатываемых ПД - работники предприятия.
С) Необходимость обработки ПД несовершеннолетних граждан - ФЗ №152 - не запрещает заключать с лицами до 18 лет трудовые договоры.
Т) Необходимость сбора и обработки персональных данных родственников субъектов ПД ведется согласно политике обработки персональных данных. В разделе 6 сказано «На предприятии обрабатываются персональные данные следующих категорий субъектов ПД: 6.1 Работники Предприятия; 6.2 Иные субъекты ПД (для обеспечения реализации целей обработки, указанных в разделе 5 наст. Политики.)»
У) Сбор персональных данных из открытых источников ведут согласно Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» ст.8.
Ф) Необходимость использования для сбора и обработки ПД иностранных программ и сервисов – в этом нет необходимости, так как в определенные сроки осуществится переход на «преимущественное использование» российского программного обеспечения и оборудования на объектах критической информационной инфраструктуры. В соответствии с этим предложением владельцы объектов КИИ будут обязаны перейти на преимущественное использование российского ПО.
Х) На предприятии осуществляют обработку персональных данных тремя способами (неавтоматизированная обработка ПД, автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, смешанная обработка ПД).
Действие 2. Классификация всех категорий субъектов, с персональными данными которых есть необходимость работы в данной организации:
- сотрудники организации;
-лица, проходящие производственную практику;
-бывшие работники;
-родственники работников;
-кандидаты на вакантные должности и кадровый резерв и т.д.
Действие 3. Определить состав и цели обработки ПД для каждой категории субьектов
Категория субъектов | Цель обработки ПД | Состав ПД | Обоснование |
Собственные сотрудники | Исполнение трудовых договорных отношений, оплата труда, исполнение трудового и гражданского законодательства | - Ф.И.О. - паспортные данные - телефон - е-майл - адрес места жительства - сведения об образовании | Идентификация субъекта, поддержание связи с сотрудником, информирование сотрудника о рабочих процессах в организации |
Лица, проходящие производственную практику | Содействие в обучении и трудоустройстве, организация прохождения производственной практики | -Ф.И.О. -паспортные данные -телефон -адрес места жительства -сведения об образовании | Идентификация субъекта, поддержание связи со стажером. |
Бывшие работники | Предоставление гарантий и компенсаций | -Ф.И.О. -телефон -паспортные данные -адрес места жит-ва | Оповещение бывших работников |
Родственники работников | Предоставление гарантий и компенсаций, обеспечение противодействия коррупции, предупреждения, своевременного выявления и урегулирования конфликта интересов | -Ф.И.О. -телефон -е-майл -паспортные данные | Идентификация субъектов |
Кандидаты на вакантные должности и кадровый резерв | Содействие в обучении и трудоустройстве, проверка деловых и личностных качеств | -Ф.И.О. -паспортные данные -телефон -адрес места жительства -сведения об образовании | Идентификация субъектов, поддержание связи с кандидатами на вакантные должности |
Действие 4. Составить внутреннюю основу для обработки персональных данных:
А) Перечень сотрудников, имеющих доступ к ПД для исполнения трудовых функций: отдел кадров, главный бухгалтер, директор предприятия.
Б) Передача ПД в другие организации должна осуществляться с письменного согласия работника, исключения: передача данных в ПФР, ФСС, налоговые органы, по запросу суда и т.д.
В) Этому предприятию нет необходимости во вступлении в Реестр операторов персональных данных так как:
- увеличивается риск на предприятии проведения плановых и внеплановых проверок со стороны Роскомнадзора;
- появляется возможность блокировки интернет-сайта предприятия в случае обнаружения нарушения законодательства о персональных данных;
- возникает вероятность наложения штрафов на предприятие-нарушителя законодательства об обработки ПД.
Г) Организация будет:
- самостоятельно выполнять функции по обработке ПД;
- арендовать серверную инфраструктуру.
Действие 5. Подготовить проекты ключевых локальных нормативных документов организации:
А) Политика безопасности предприятия в области обработки ПД включает:
1) Общие положения
2) Законодательная и нормативно-правовая база
3) Правовые основания обработки ПД
4) Основные термины, понятия и определения
5) Принципы и цели обработки персональных данных
6) Перечень субъектов, ПД которых обрабатываются на Предприятии
7) Перечень персональных данных, обрабатываемых на Предприятии
8) Источники получения ПД, обрабатываемых на Предприятии
9) Функции Предприятия при осуществлении обработки ПД
10) Условия обработки ПД на Предприятии
11) Перечень действий с ПД и способы их обработки
12) Права субъектов ПД
13) Меры, принимаемые Предприятием для обеспечения выполнения обязанностей оператора при обработке ПД
14) Контроль за соблюдением законодательства РФ и локальных нормативных актов Предприятия
15) Ответственность за нарушение норм
Б) Документ для сотрудников «Обязательство о соблюдении конфиденциальности и неразглашении персональных данных» включает:
1) Общие положения
2) Основания и условия обработки ПД
3) Права пользователей при обработке ПД
4) Цели обработки ПД
5) Виды обрабатываемых данных
6) Информация о передачи ПД третьим лицам
7) Сведения об обеспечении безопасности ПД
8) Информация об операторе и обратная связь
В) Документ для клиентов «Согласие на обработку персональных данных» включает:
1) конкретную цель обработки персональных данных;
2) перечень обрабатываемых персональных данных;
3) условия передачи данных третьему лицу для исполнения условий договора;
4) период действия согласия;
5) условия отзыва согласия и уничтожения записей, содержащих ПД;
6) согласие на получение транзакционной рассылки;
7) согласие на получение рекламной рассылки
Действие 6 Определить категорию риска организации с позиций Регулятора:
А) Группа тяжести организации относится к 1 классу (оптимальные условия труда).
Б) Проанализировать наличие потенциальных нарушений ст. 13.11 КОАП РФ:
1) обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД;
2) обработка ПД без согласия в письменной форме субъекта ПД;
3) невыполнение оператором обязанностей по опубликованию или обеспечению неограниченного доступа к документу;
4) невыполнение оператором обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД;
За каждое нарушение – сначала предупреждение, а потом штраф (минимально - 100 рублей, максимально – 75000 рублей).
В) –
Г) Группа вероятности – статистическая.
Д) Категория риска – значительная, так как проверки проводят один раз в три года.