Куда я попал?
Цель: Официально закрепить обязанности ответственного, избежать нарушений законодательства.
Ответственным за обработку ПДн чаще всего назначается один из заместителей руководителя организации. Если ПДн обрабатывает только одно структурное подразделение, то ответственным может быть назначен руководитель этого подразделения.
Приказ следует перевыпускать при изменениях в штатном расписании.
Рекомендации к заполнению карточки:
Ответственным за обработку ПДн чаще всего назначается один из заместителей руководителя организации. Если ПДн обрабатывает только одно структурное подразделение, то ответственным может быть назначен руководитель этого подразделения.
Приказ следует перевыпускать при изменениях в штатном расписании.
Рекомендации к заполнению карточки:
- Приложите скан-копию приказа в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к этой защитной мере.
- Настройте в SECURITM контроль актуальности приказа одним из следующих способов:
- Настройте регулярную (ежегодную) контрольную задачу привязанную к этой защитной мере или
- Создайте общий RPA процесс на проверку актуальности документов в Реестре документов по защите информации.
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Для просмотра файла необходимо авторизоваться!
Шаблон приказа о назначении ответственного за организацию обработки ПДн
Цепочка мер
Утверждение приказа о назначении ответственного за организацию обработки персональных данных
Последующие меры
| № | Этап 1 | Этап 2 | |||
|---|---|---|---|---|---|
| 1 | Разработка Политики обработки персональных данных | Публикация Политики обработки персональных данных на сайте |
Исполнение требований
Постановление Правительства РФ № 211 от 21.03.2012 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":
Подпункт 1
1. назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее - служащие);
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.3
А.5.3 Разделение обязанностей
Должны быть разделены противоречивые обязанности и области ответственности.
Должны быть разделены противоречивые обязанности и области ответственности.
А.5.34
А.5.34 Частная жизнь и защита персональной идентификационной информации (ПИИ)
В соответствии с применимыми требованиями законодательства, нормативных документов и контрактов организация должна определить и выполнять требования в отношении сохранения частной жизни и защиты ПИИ.
В соответствии с применимыми требованиями законодательства, нормативных документов и контрактов организация должна определить и выполнять требования в отношении сохранения частной жизни и защиты ПИИ.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 1 п. 6
1.6. В случае если защищаемая информация содержит персональные данные, должны применяться меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701).
Обеспечение защиты персональных данных осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года № 46487.
Обеспечение защиты персональных данных осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года № 46487.
Федеральный Закон № 152 от 27.07.2006 "О персональных данных":
Статья 18.1. Пункт 1. п.п.1
1. назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
Статья 22.1. Пункт 1.
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
Указ Президента РФ № 250 от 01.05.2022 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации":
подпункт 1.1
а) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.34
А.5.34 Privacy and protection of personal identifiable information (PII)
The organization shall identify and meet the requirements regarding the preservation of privacy and protection of PII according to applicable laws and regulations and contractual requirements.
The organization shall identify and meet the requirements regarding the preservation of privacy and protection of PII according to applicable laws and regulations and contractual requirements.
А.5.3
А.5.3 Segregation of duties
Conflicting duties and areas of responsibility shall be segregated.
Conflicting duties and areas of responsibility shall be segregated.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.