.svg)
Приказ об организации обработки и защиты ПДн
Приказ об организации обработки и защиты персональных данных определяет порядок хранения, обработку и защиту персональных данных.
После получения оператором согласия на обработку персональных данных - персональные данные можно обрабатывать. Согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) порядок хранения, обработки и защиты персональных данных и ввести это в действие Приказом об организации обработки и защиты ПДн.
Приказ об организации обработки и защиты ПДн - это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, и в нем должны быть указаны намерения:
- осуществлять режим защиты ПДн на основании определенных принципов и положений;
- осуществлять режим защиты ПДн в отношении перечисленных в Перечне ПДн, подлежащих защите;
- провести проверку информационных систем персональных данных на предмет: классификации ИСПДн, определения режима обработки ПДн в информационной системе, установления круга лиц, участвующих в обработке ПДн, выявления угроз безопасности персональных данных.
- разработать и внедрить: план мероприятий по обеспечению защиты ПДн, перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним, план проверок состояния ИСПДн, порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ, инструкцию администратора безопасности ИСПДн, инструкцию пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций.
Приказом об организации обработки и защиты ПДн назначается ответственный за организацию работы с персональными данными, указывается его должность и ФИО.
Приказ об организации обработки и защиты персональных данных утверждается руководителем организации или уполномоченным им лицом. Работодатель обязан ознакомить работников с Приказом об организации обработки и защиты персональных данных под подпись.
Приказ об организации обработки и защиты ПДн необходим в целях исполнения Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных».
| (Полное наименование оператора) | ||||||||||||||||||
Приказ
об организации обработки и защиты ПДн
| г. | № |
В целях исполнения Федерального закона N 152-ФЗ от 27 июля 2006 года "О персональных данных" на предприятии:
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию работы с персональными данными (далее по тексту - ПДн): .
Осуществлять режим защиты ПДн на основании принципов и положений:
а) Концепции информационной безопасности.
б) Политики информационной безопасности.
Осуществлять режим защиты ПДн в отношении данных перечисленных в Перечне ПДн, подлежащих защите.
Провести проверку информационных систем персональных данных (далее по тексту - ИСПДн) на предмет:
а) Классификации ИСПДн.
б) Определения режима обработки ПДн в информационной системе.
в) Установления круга лиц участвующих в обработке ПДн.
г) Выявления угроз безопасности ПДн.
Разработать и внедрить:
а) План мероприятий по обеспечению защиты ПДн.
б) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
в) План проверок состояния ИСПДн.
г) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
д) Инструкцию администратора безопасности ИСПДн.
е) Инструкцию пользователя по обеспечению безопасности обработки ПДн, при возникновении внештатных ситуаций.
Контроль за исполнением настоящего приказа оставляю за собой.
| (должность) | (личная подпись) | (расшифровка подписи) |