Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных.
При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных.
Но появились вопросы, по которым я прошу вашего пояснения и помощи.
По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы:
1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА:
- Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных";
- Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Соответственно, возник вопрос:
Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований?
Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (вложенный файл). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь.
Соответственно, кроме вопроса у меня появились 2 просьбы:
1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно).
2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов):
1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда.
2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда.
3. Положение об обработке персональных данных фонда.
4. Положение о конфиденциальности у фонда (если это необходимо).
1.5. Форма приказа о назначении ответственного по персональным данным.
1.6. Инструкция ответственного за обработку персональных данных.
1.7. Формы приказа об утверждении положения о персональных данных
Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме
pro-bono.
Заранее благодарю!
С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело"
89059400919
factory-2@mail.ru
"Заготовка":
Правовое основание обработки персональных данных * руководствуясь:
• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Налоговым кодексом Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным Законом от 27.07.2006 г. № 152-ФЗ “О персональных данных”;
• Федеральным Законом от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
• Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»;
• Федеральным Законом от 11.08.1995 г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”,
• Федеральным Законом от 12.01.1996 г. № 7-ФЗ “О некоммерческих организациях”,
• Уставом Благотворительного Фонда помощи животным “Благое Дело”
• Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”;
• Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”;
• Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/
Цель обработки персональных данных * с целью:
• Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”;
• Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований);
• Организации коммуникаций и оповещений, осуществления информационных рассылок;
• Оказания услуги по созданию личного кабинета на сайте Оператора;
• Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;
• Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;
• Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
• Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;
• Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;
• Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора.
• Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *:
Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
Организационные меры:
1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ………..
2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства:
- Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты;
- Инструкция по работе администратора безопасности персональных данных;
- Перечень персональных данных, подлежащих защите;
- Положение об обработке и защите персональных данных;
- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных;
- Положение о разграничении прав доступа сотрудников к базе персональных данных;
- Положение о правилах доступа к персональным данным;
- Перечень информационных систем персональных данных;
- Правила обработки персональных данных без использования средств автоматизации;
- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- Оформлен журнал учета машинных носителей персональных.
3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных.
Технические меры:
1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными.
2. На ЭВМ Оператора установлено антивирусное программное обеспечение.
3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных.
4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ *
1. Определены угрозы безопасности персональных данных при их обработке в информационных системах;
2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных.
3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных.
5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных.
6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.
