Ответственный за сохранность и конфиденциальность персональных данных
Операции с документом
Ответственный за сохранность и конфиденциальность персональных данных


Здравствуйте, помогите разобраться пожалуйста с таким вопросом.
В наше медицинское учреждение пришло письмо с Роскомнадзора (жалоба бывшей работницы) о не соблюдении сохранности персональных данных. Роскомнадзор затребовал некоторые документы. Руководитель нашего попросил поднять все документы по Защите персональных данных. В приказе об ответственном по защите персональных данных стоит моя фамилия.Занимаемая должность моя в учреждении нашем ведущий программист. Получается я отвечаю за этот проступок. Но...С технической стороны я же знаю это все защищено. Документы, технические средства защиты все в порядке в соответствие с законом. Как выяснилось жалоба была направлена в отдел кадров. А у нее как всегда там бардак, личные дела, трудовые книжки разбросаны по кабинету, заходи да бери она и не заметит. (она даже мою трудовую книжку потеряла, я работаю без трудовой уже год, восстанавливать ее она не собирается.) Начальник начал винить меня во всем. В Роскомнадзоре посмотрели наши документы, с моими внутренними документами было все в порядке, а вот у отдела кадров были нарушения. Так почему за ее бардак должна отвечать я. В сейф она личные дела не закрывает с трудовыми книжками. Сотрудников не ознакамливает с положением о Пд при приеме на работу и не берет подпись. Начальник из-за нее чуть меня не уволил. Хотелось бы разграничить ответственность. Но как это оформить в приказе, что технически за обработку и сохранность персональных данных отвечаю я, а за личные дела сотрудник отвечает непосредственно отдел кадров. Она отказывается быть ответственной за свой отдел и за персональные данные сотрудников ,которые она раскидывает по кабинету. Спасибо.
Re: Ответственный за сохранность и конфиденциальность персональных данных

- Ответственный за защиту ПДн в компании назначается отдельным приказом. В этом приказе обычно также указывается, что этот сотрудник отвечает за проведение всех мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляет контроль соблюдения требований по защите ПДн в подразделениях. (Одного приказа конечно недостаточно, т.к. он не определяет конкретных обязанностей и ответственности).
- Конкретные обязанности каждого сотрудника по обработке и защите ПДн определяются в должностных инструкциях. Когда в организации осуществляется внедрение системы защиты персональных данных, то в ходе этих мероприятий, в том числе, в должностные инструкции сотрудников вносятся соответствующие дополнения.
- Поскольку должностные инструкции пишутся для должностей, а не для функциональных ролей, они обычно носят достаточно общий характер. Поэтому, помимо должностных инструкций, пишутся также инструкции для администратора и пользователя ИСПДн, администратора безопасности, ответственного за защиту ПДн и т.п. Эти инструкции доводятся до сведения соответствующих сотрудников под роспись.
- Помимо приказов и инструкций в организации принимается Положение о (защите и обработке) ПДн, которая, в том числе, определяет общую схему распределения ответственности и за обработку и за защиту ПДн, порядок взаимодействия подразделений и должностных лиц, требования к каждой функциональной роли.
Re: Ответственный за сохранность и конфиденциальность персональных данных

У нас учреждение здравоохранения в котором мы обрабатываем не только персональные данные сотрудников, но и пациентов. Карточки пациентов хранятся в регистратуре в бумажном и в электронном виде. Обработка происходит большая часть в электронном варианте через специализированную программу. Хотелось спросить документы (приказы , инструкции акты классификации,частные модели угроз) составлять отдельно как для работников так и для пациентов ..не объединить ведь их в один приказ. отдел кадров обрабатывает персональные данные сотрудников,а пациентов обрабатывает регистратура и врачи.
Re: Ответственный за сохранность и конфиденциальность персональных данных

БД и бумажные документы по сотрудникам и по пациентам хранятся и обрабатываются раздельно. Это, в большинстве случаев, будут разные ИСПДн, в которых могут различаться классификации, модели угроз, используемые СЗИ и т.п. Какие-то внутренние регламентирующие документы могут относится к обоим или ко всем ИСПДн в организации, а какие-то быть специфичными для конкретной ИСПДн. Если в инструкциях (приказах и т.п.) различаются только названия ИСПДн и незначительные детали, тогда проще такие документы объединять в один, чтобы не плодить лишних бумажек и не усложнять вопрос.