Войти в личный кабинет

E-mail *
Пароль *
Запомни меня

Завести аккаунт

Поля, отмеченные звездочкой (*), обязательны.
E-mail *
Повторите E-mail *
Пароль *
Повторите пароль *
Cart0
Ваша корзина пуста!

Обеспечение безопасности и обработка персональных данных (72 часа)
Курс повышения квалификации

Обеспечение безопасности и обработка персональных данных (72 часа)

Артикул: 753512
Формат: дистанционный

Цена:
12 700 ₽
(+ НДС)

- +

Скачать бланк заказа Распечатать эту страницу Задать вопрос

О курсе

С 01.07.2017 г. — изменения в КоАП! Вводятся новые виды ответственности за ненадлежащую обработку персональных данных. Штрафы составляют до 20 тыс. руб. на должностных лиц, до 75 тыс. руб. — на организацию. При выявлении нескольких нарушений штрафы суммируются!

С 01.07.2017 г. действует новая редакция Закона № 152-ФЗ. Роскомнадзор получил новые полномочия штрафовать без согласования с Прокуратурой. Кроме Роскомнадзора на защиту данных сотрудников обращает внимание Трудовая инспекция, а список необходимых документов не ограничивается Положением об обработке персональных данных и согласиями. 

Подготовьтесь уже сейчас и узнайте, что должно быть сделано в каждой организации для прохождения проверки без замечаний, приняв участие в дистанционном курсе повышения квалификации "Обеспечение безопасности и обработка персональных данных".

Краткая программа курса

  • Изменения законодательства о персональных данных в 2017 г.
  • Первые шаги по обеспечению защиты персональных данных: с чего начать?
  • Какие документы необходимо подготовить в организации в первую очередь?
  • Организационные и технические меры по защите персональных данных
  • Обработка персональных данных внутри организации
  • Требования по защите персональных данных при их передаче сторонним организациям
  • Оценка возможностей ИСПДн: классификация, составление модели угроз
  • Уведомление об обработке персональных данных.
  • Уровни защищенности и требования к их обеспечении.
  • Обезличивание персональных данных
  • Сбор персональных данных при заключении трудового договора. Перечень документов, предъявляемых работодателю
  • Примеры типичных ошибок операторов персональных данных
  • Проверки контролирующих (надзорных) органов
  • За что и как будут наказывать в сфере персональных данных?

В приложениях — более 60 шаблонов необходимых документов (приказы, инструкции, журналы, договоры, обязательства и т.д.) 

Подробное содержание курса смотрите на вкладке «Программа». 

 

   
   

Почему специалисты выбирают наши курсы?

  • Дистанционное обучение – без командировок и отрыва от работы
  • Курс разработан экспертами с многолетним практическим опытом работы в сфере защиты персональных данных. Учтены последние изменения в законодательстве
  • Сложные случаи рассмотрены на практических примерах
  • К курсу прилагается нормативно-правовая база, готовый пакет документации по защите персональных данных
  • Бесплатные консультации экспертов по вашим рабочим вопросам
  • Обучение без предоплаты, достаточно гарантийного письма
 
   

 

Лицензия:

Лицензия на осуществление образовательной деятельности № 1314 от 02.03.2015, Уведомление о внесении в реестр аккредитованных организаций, оказывающих услуги в области охраны труда, № 3886 от 22.05.2015.

Порядок обучения

Обучение проводится дистанционно. Лекции в формате PDF еженедельно высылаются по электронной почте. По итогам обучения проводится обязательное итоговое тестирование. Без успешного прохождения итогового тестирования получение документа о повышении квалификации невозможно.

Порядок записи на курс

Нажмите на кнопку «Записаться» и заполните форму, либо скачайте и заполните бланк заявки на обучение.

Если вы присылаете нам заполненный бланк заявки с подписью ответственного лица и печатью организации, мы рассматриваем это как гарантийное письмо. Прислав такую заявку, вы можете пройти обучение еще до оплаты курса.

ОБРАТИТЕ ВНИМАНИЕ!

В соответствии с требованиями Федерального закона № 273-ФЗ от 29.12.2012 года «Об образовании в Российской Федерации» для зачисления на курсы повышения квалификации ОБЯЗАТЕЛЬНО наличие среднего профессионального, либо высшего образования, подтвержденного соответствующим дипломом. 

Мы в ВК 

Заходите, задавайте вопросы, следите за новостями https://vk.com/rosskadrovik

Скидки

При заказе обучения специалистов для 3-5 работников – скидка 10%, для 6 работников и более – 15%. Если вам нужно обучить 20 и более человек, пишите на info@forum-media.ru, и мы согласуем стоимость заказа под ваш бюджет и график обучения.

ПРОГРАММА

Лекция 1. Первоочередные меры по обработке и защите персональных данных 
Первые шаги по обеспечению защиты персональных данных: с чего начать? 
Обработка персональных данных внутри организации 
Что подразумевается под обработкой персональных данных? 
Специфика взаимодействия с третьими сторонами 
Письменное согласие субъекта персональных данных 
Требования по защите персональных данных при их передаче сторонним организациям 

Лекция 2. Законодательство, судебная практика и локальные документы операторов 
Как защита персональных данных регулируется законодательством? Изменения законодательства о персональных данных в 2017 г. 
«Гражданство» персональных данных и позиция Роскомнадзора. Что такое «база данных» в контексте ФЗ-242? 
Судебная практика: примеры типичных ошибок операторов персональных данных 
Какие документы необходимо подготовить в организации в первую очередь? 
Лицо, ответственное за организацию обработки персональных данных. 
Уведомление об обработке персональных данных. 
Уровни защищенности и требования к их обеспечении. 
Обезличивание персональных данных 
Цель и сроки обработки персональных данных 
Формирование локальной нормативной правовой базы. Структура и содержание «Положения о защите персональных данных» 
Обязанности работодателя в сфере обеспечения защиты персональных данных. 
Сбор персональных данных при заключении трудового договора. Перечень документов, предъявляемых работодателю 

Лекция 3. Практические вопросы организации обработки персональных данных. Проверки контролирующих (надзорных) органов 
Организационные и технические меры по защите персональных данных 
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных 
Документы, регламентирующие обработку персональных данных с использованием криптосредств (СКЗИ) 
Хранение персональных данных 
Проверки контролирующих (надзорных) органов 
Процедура проведения проверки 
Что будет делаться в части защиты информации у госорганов в 2017 г.? 
Штрафы утверждены. За что и как будут наказывать в сфере персональных данных? 

В приложениях — образцы: 

  1. Образец приказа о назначениее ответственных за безопасностьПриказ о создании комиссии по уничтожению ПДн
  2. Образец приказа о назначении ответственного за обработку
  3. Образец приказа о назначении ответственного за работу с ПДн
  4. Образец приказа о проведении работ по защите ПНд
  5. Образец приказа о создании комиссии по определению уровня защищенности персональных данных
  6. Образец приказа о создании комиссии по уничтожению ПДн
  7. Образец приказа о создании постоянно действующей экспертной комиссии по защите информации
  8. Образец приказа об определении границ контролируемой зоны и требований к ее безопасности
  9. Образец приказа об утверждении мест хранения материальных
  10. Образец приказа об утверждении перечня персональных данных
  11. Образец приказа об утверждении списка сотрудников, допущенных к обработке персональных данных
  12. Образец приказа об утверждении формы Журнала учета обращений субъектов
  13. Политика информационной безопасности
  14. Положение о персональных данных
  15. Положение о защите персональных данных
  16. Положение о порядке обработки ПДн , осуществляемой без средств автоматизации.
  17. Положение о разграничении прав доступа
  18. Положение об обработке персональных данных пациентов в государственном бюджетном учреждении здравоохранения
  19. Перечень должностей сотрудников, замещение которых предусматривает обработку ПДн
  20. Перечень информационных систем персональных данных
  21. Перечень помещений, предназначенных для обработки персональных данных
  22. Перечень сотрудников, допущенных к работе с ПДн в ИСПДн
  23. Перечень сотрудников, допущенных к работе с ПДн
  24. Инструкция администратора безопасности информационной системы персональных данных
  25. Инструкция по работе со съемными носителями, содержащими персональные данные
  26. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
  27. Инструкция по организации парольной защиты в ИСПДн
  28. Инструкция о порядке проведения разбирательств по фактам нарушений
  29. Инструкция по обработке ПНд без средств автоматизации
  30. Инструкция пользователя ИСПНд по работе с ПНд
  31. Инструкция по резервированию и восстановлению работоспособности
  32. Порядок доступа сотрудников
  33. Порядок уничтожения носителей персональных данных
  34. Правила обработки ПДн
  35. Правила работы с обезличенными ПДн
  36. Правила рассмотрения запросов субъектов ПДн
  37. Журнал учета передачи персональных данных
  38. Журнал учета антивирусных проверок
  39. Журнал учета логинов
  40. Журнал регистрации и учета обращений субъектов ПДн
  41. Журнал учета СЗИ
  42. Журнал поэкземплярного учета СЗИ
  43. Журнал поэкземплярного учета криптосредств
  44. Журнал учета нештатных ситуаций ИСПДн
  45. Журнал учета выдачи носителей с ключевой информацией
  46. Журнал учета событий информационной безопасности
  47. Журнал проверок электронных журналов
  48. Журнал учета хранилищ (сейфов)
  49. Журнал учета мобильных технических средств
  50. Дополнения в трудовые договоры с работниками
  51. Раздел договора, регулирующий передачу ПДн
  52. Договор о конфиденциальности
  53. Договор поручения на обработку персональных данных
  54. Договор поручения на обработку ПДн и мед. вмешательство
  55. Обязательство о неразглашении информации, содержащей персональные данные
  56. Обязательство о неразглашении ПДн работников
  57. Обязательство о прекращении обработки персональных данных в случае расторжения служебного контракта
  58. Согласие на обработку персональных данных
  59. Отзыв согласия на обработку персональных данных
  60. Согласие на передачу ПНд третьей стороне
  61. Алгоритм построения системы защиты персональных данных
  62. Акт уничтожения персональных данных
  63. Акт определения уровня защищенности

Материалы курса

Проблемные вопросы и часто допускаемые ошибки при заполнении уведомлений в Роскомнадзор об обработке персональных данных

Дополнительные разъяснения для практического применения

Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (или информационное письмо) с помощью портала персональных данных Роскомнадзора.

Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

  • «Наименование оператора»;
  • «Сокращенное наименование оператора»;
  • «Адрес оператора» (адрес местонахождения и почтовый адрес);
  • «ИНН»;
  • «ОРГН».

Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация НЕ ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

 

Ошибка 1. Документ оформлен не на бланке организации

Как правильно?

Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

 

Ошибка 2. Поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указывается или не полностью указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус — если имеются).

Наименование организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Как правильно?

Почтовый адрес — это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения — это адрес, по которому фактически осуществляется деятельность.

Затруднения в заполнении поля «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Затруднения в заполнении поля «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Как правильно?

Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

  • Устав ООО ____ от ___ №,
  • Положение об ______ от ____ № ____,
  • лицензия на ___ от ____ № _____ и т. д.

 

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных — это Положение об обработке персональных данных ООО (ИП, физлицо) _____ от _____ № _____, а также приказы, инструкции и др.

Затруднения в заполнении поля «Цель обработки персональных данных»

Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

Другие примеры:

  • «осуществление полномочий органа власти по ….»
  • «выполнение государственных функций по ….»
  • «оказание государственных (муниципальных) услуг по …»
  • «оказание (предоставление) услуг по ….»
  • «выполнение работ по ….»
  • «осуществление … деятельности …»

 

Ошибка 3. Поле «Категории персональных данных»

Указываются персональные данные конкретных физических лиц — работников, клиентов, абонентов и др.; используются фразы «и др.», «и т. п.», «другая информация», «анкетные данные».

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть документы (паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр.), принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Как правильно?

Указывать конкретно, например: фамилия, имя, отчество, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

 

Ошибка 4. Поле «Категории субъектов, персональные данные которых обрабатываются»

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т. п.», «другая информация», упоминаются сторонние юридические лица.

Как правильно?

Содержание поля «вытекает» из формулировки «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя). Например:

  • физические лица:
  • заказчики;
  • пассажиры;
  • налогоплательщики;
  • работники образовательного учреждения (колледжа, техникума), учащиеся, их родители;
  • государственные гражданские служащие;
  • обслуживающий персонал;
  • лица, состоящие в трудовых отношениях с учреждением (предприятием);
  • физические лица, обратившиеся в организацию по страхованию имущества;
  • пенсионеры, физические лица, находящиеся на обслуживании банка (клиенты);
  • законные представители физических и юридических лиц;
  • больные, состоящие на диспансерном учете по соответствующим диагнозам, медицинский персонал;
  • граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты;
  • лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях».

Категория «члены семьи работника» указывается, если, например:

  • в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке;
  • в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

 

Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум:

  • сбор;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • использование;
  • передача;
  • уничтожение.

 

Ошибка 5. Поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона “О персональных данных”»

Копируется текст, приведенный в примерах для заполнения.

Как правильно?

Проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «Средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «Правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «Использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты.

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении также указать, к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»).

К техническим мерам можно отнести:

  1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учет машинных носителей персональных данных;
  6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Затруднения в заполнении поля «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

 

Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

  • единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
  • руководитель или начальник, действующий на основании положения;
  • представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

 

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Подготовлено по материалам открытых источников Роскомнадзора.

Другие продукты по теме:


Вернуться к: Управление персоналом