Настоящий документ устанавливает ответственность третьего лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчика персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.
Согласно поручению на обработку персональных данных 152-ФЗ, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.
01
Выполняемые требования законодательства
02
Как еще называют этот документ?
— Список сотрудников, имеющих доступ к персональным данным
— Перечень лиц, допущенных к обработке персональных данных
— Перечень лиц, допущенных к персональным данным
Список сотрудников, имеющих доступ к персональным данным
Перечень лиц, допущенных к обработке персональных данных
Перечень лиц, допущенных к персональным данным
01
02
03
п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
ст.86-87 ТК РФ
п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
п. 3 Постановления Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
п. 2 Приказа ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
— Перечень сотрудников, допущенных к обработке персональных данных
— Перечень работников, обрабатывающих персональные данные
— Поручение на обработку персональных данных третьим лицам
п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
ст.86-87 ТК РФ
п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
01
02
03
п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
04
п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
05
Перечень сотрудников, допущенных к обработке персональных данных
04
Перечень работников, обрабатывающих персональные данные
05
Поручение на обработку персональных данных третьим лицам
06
03
Регламент допуска сотрудников и третьих лиц к обработке персональных данных (ПДн)
04
Как осуществляется порядок доступа к ПДн работника
Лицо, получившее доступ к персональным данным, должно иметь в своем распоряжении уникальный логин и пароль, позволяющие выполнять необходимые операции (исключительно в предписанном порядке) в соответствующей информационной системе.
Следует учитывать, что логин и пароль (т. е., идентификаторы) такого сотрудника относятся к категории конфиденциальной информации. Поэтому разглашение их третьим лицам недопустимо. Сотрудник должен быть проинформирован об этих требованиях конфиденциальности и строго соблюдать их. Также он должен понимать риски нарушений указанных требований и осознавать свою ответственность, возникающую вследствие разглашения.
В нем описывается порядок:
— однократного или постоянного допуска сотрудников и третьих лиц к работе с ПДн;
— прекращения или расширения доступа к персональным данным .
Для сотрудников оператора порядок доступа к ПДн определяется в соответствующем регламенте. На территории России право доступа к персональным данным работника имеет только тот персонал, которому это необходимо для выполнения должностных обязанностей. При этом каждый сотрудник, обрабатывающий ПД, должен быть проинформирован о правилах и особенностях проводимой обработки. Все они описываются в нормативно-правовых актах, регулирующих этот процесс, и внутренних документах оператора.
Дополнительно оператором назначается лицо, ответственное за организацию обработки ПДн оператора способствует регламентации доступа к персональным данным работников. В круг обязанностей данного сотрудника входит ведение контроля над соблюдением установленных требований и оперативное сообщение о вероятных нарушениях.