Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Разработка документов по информационной безопасности Ответственный за сохранность и конфиденциальность персональных данных
Protectiva Compliance Manager

Ответственный за сохранность и конфиденциальность персональных данных

Операции с документом
Вверх к Разработка документов по информационной безопасности

Ответственный за сохранность и конфиденциальность персональных данных

Послано Марина Андреевна в 5.Декабрь.2012 09:36

Здравствуйте, помогите разобраться пожалуйста с таким вопросом.

В наше медицинское учреждение пришло письмо с  Роскомнадзора (жалоба бывшей работницы) о не соблюдении сохранности персональных данных. Роскомнадзор затребовал некоторые документы. Руководитель нашего попросил поднять все документы по Защите персональных данных. В приказе об ответственном по защите персональных данных стоит моя фамилия.Занимаемая должность моя в учреждении нашем ведущий программист. Получается я отвечаю за этот проступок. Но...С технической стороны я же знаю это все защищено. Документы, технические средства защиты все в порядке в соответствие  с законом. Как выяснилось жалоба была направлена в отдел кадров. А у нее как всегда там бардак, личные дела, трудовые книжки разбросаны по кабинету, заходи да бери она и не заметит. (она даже мою трудовую книжку потеряла, я работаю без трудовой уже год, восстанавливать ее она не собирается.)  Начальник начал винить меня во всем. В Роскомнадзоре посмотрели наши документы, с моими внутренними документами было все в порядке, а вот у отдела кадров были нарушения. Так почему за ее бардак должна отвечать я. В сейф она личные дела не закрывает с трудовыми книжками. Сотрудников не ознакамливает с положением о Пд при приеме на работу и не берет подпись.  Начальник из-за нее чуть меня не уволил. Хотелось бы разграничить ответственность. Но как это оформить в приказе, что технически за обработку и сохранность персональных данных отвечаю я, а за личные дела сотрудник отвечает непосредственно отдел кадров. Она отказывается быть ответственной за свой отдел и за персональные данные сотрудников ,которые она раскидывает по кабинету. Спасибо. 

Re: Ответственный за сохранность и конфиденциальность персональных данных

Послано Александр Астахов в 5.Декабрь.2012 10:53
Общая практика такова:
 
  1. Ответственный за защиту ПДн в компании назначается отдельным приказом. В этом приказе обычно также указывается, что этот сотрудник отвечает за проведение всех мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляет контроль соблюдения требований по защите ПДн в подразделениях. (Одного приказа конечно недостаточно, т.к. он не определяет конкретных обязанностей и ответственности).
  2. Конкретные обязанности каждого сотрудника по обработке и защите ПДн определяются в должностных инструкциях. Когда в организации осуществляется внедрение системы защиты персональных данных, то в ходе этих мероприятий, в том числе, в должностные инструкции сотрудников вносятся соответствующие дополнения.
  3. Поскольку должностные инструкции пишутся для должностей, а не для функциональных ролей, они обычно носят достаточно общий характер. Поэтому, помимо должностных инструкций, пишутся также инструкции для администратора и пользователя ИСПДн, администратора безопасности, ответственного за защиту ПДн и т.п. Эти инструкции доводятся до сведения соответствующих сотрудников под роспись.
  4. Помимо приказов и инструкций в организации принимается Положение о (защите и обработке) ПДн, которая, в том числе, определяет общую схему распределения ответственности и за обработку и за защиту ПДн, порядок взаимодействия подразделений и должностных лиц, требования к каждой функциональной роли.
Таким образом, вы здесь могли нарушить либо свою должностную инструкцию, либо Положение о защите ПДн, либо инструкцию для Ответственного за защиту ПДн. Если данных документов в вашей организации нет или они не были доведены до вашего сведения под роспись или они не определяют вашей ответственности за защиту ПДн (в частности, необходимость контролировать выполнение мер по защите ПДн в отделе кадров), то формально вы ни в чем не виноваты.
 

Re: Ответственный за сохранность и конфиденциальность персональных данных

Послано Марина Андреевна в 5.Декабрь.2012 16:39

У нас учреждение здравоохранения в котором мы обрабатываем не только персональные данные сотрудников, но и пациентов. Карточки пациентов хранятся в регистратуре в бумажном и в электронном виде. Обработка происходит большая часть в электронном варианте через специализированную программу. Хотелось спросить документы (приказы , инструкции акты классификации,частные модели угроз) составлять отдельно  как для работников так и для пациентов ..не объединить ведь их в один приказ. отдел кадров обрабатывает персональные данные сотрудников,а пациентов обрабатывает регистратура и врачи.

Re: Ответственный за сохранность и конфиденциальность персональных данных

Послано Александр Астахов в 5.Декабрь.2012 19:53

БД и бумажные документы по сотрудникам и  по пациентам хранятся и обрабатываются раздельно. Это, в большинстве случаев, будут разные ИСПДн, в которых могут различаться классификации, модели угроз, используемые СЗИ и т.п. Какие-то внутренние регламентирующие документы могут относится к обоим или ко всем ИСПДн в организации, а какие-то быть специфичными для конкретной ИСПДн. Если в инструкциях (приказах и т.п.) различаются только названия ИСПДн и незначительные детали, тогда проще такие документы объединять в один, чтобы не плодить лишних бумажек и не усложнять вопрос.

Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex