А
Абакан
Архангельск
Астрахань

Б
Барнаул
Белгород

В
Владивосток
Владимир
Волгоград
Вологда
Воронеж

Е
Екатеринбург

И
Иваново
Ижевск
Иркутск

К
Казань
Калининград
Калуга
Кемерово
Краснодар
Красноярск
Курск

Л
Липецк

М
Магадан
Магнитогорск
Москва
Мурманск

Н
Нижневартовск
Нижний Новгород
Нижний Тагил
Новокузнецк
Новороссийск
Новосибирск

О
Омск
Оренбург

П
Пенза
Пермь

Р
Ростов-на-Дону
Рязань

С
Самара
Санкт-Петербург
Саратов

Севастополь
Симферополь (Крым)
Сочи
Ставрополь
Сургут
Сыктывкар

Т
Тамбов
Тольятти
Томск
Тула
Тюмень

У
Ульяновск
Уфа

Х
Хабаровск

Ч
Чебоксары
Челябинск
Чита

Ю
Южно-Сахалинск

Я
Якутск
Ярославль

Документы по персональным данным в организации

Урегулирование бюрократических моментов при организации обработки ПДн имеет большое значение и занимает достаточно много времени. Если ИП или предприятие любой направленности собирает, хранит, обновляет, изменяет, уничтожает личную информацию граждан, то нужно подготовить пакет документов, которые бы регулировали ключевые аспекты проведения данных операций. На законодательном уровне прописан ряд требований, которые нужно соблюдать, причем количество и разновидности необходимых положений, регламентов, приказов и т.д. могут варьироваться в зависимости от категории персональных данных, субъектов и других факторов.

Зачем формировать пакет документов?

Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:

  • упорядочивания текущих операций;
  • назначения ответственных лиц;
  • внутреннего отслеживания процессов;
  • предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
  • поддерживать имидж надежной организации в глазах клиентов и партнеров;
  • избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.

Необходимые документы по персональным данным

Список деловых бумаг, которые потребуются оператору, обширный, при этом отсутствие даже одной может стать причиной серьезных проблем в будущем. В зависимости от решаемых задач документация может быть:

  • организационной — позволяет определить, какие департаменты и конкретные лица несут ответственность за обеспечение защиты ПДн, а также какие точно задачи в рамках данной деятельности на них возлагаются;
  • методической — позволяют более детально определить ключевые моменты работы с бумагами, в которых содержатся личные данные граждан (в том числе сотрудников);
  • технологической — является отображением СЗПДн.

Все без исключения документы по защите персональных данных должны быть утверждены директором предприятия, причем везде нужна пометка о согласии на обработку ПДн заинтересованных лиц. В отдельных случаях часть файлов из пакета может передаваться владельцам обрабатываемых сведений для изучения, при этом они расписываются, что с ними ознакомились.

В перечень документов, без которых не обойтись организации, которая использует ПДн, входят:

1. Первичные организационно-распорядительные документы

1.1. Приказ об организации обработки персональных данных

1.2. План работ по организации обработки персональных данных

1.3. Положение об обработке и защите персональных данных

1.4. Политика в отношении обработки персональных данных

2. Документы, определяющие режим обработки и защиты персональных данных

2.1. Приказ о персональных данных

2.2. Перечень персональных данных, обрабатываемых оператором

2.3. Перечень информационных систем персональных данных

2.4. Перечень должностных лиц, допущенных к обработке персональных данных

2.5. Система разграничения доступа к ИСПДн

2.6. План внутреннего контроля в области персональных данных

2.7. Приказ о выделении помещений, предназначенных для обработки ПДн

3. Инструкции по работе в информационных системах и журналы учета

3.1. Инструкция пользователя ИСПДн

3.2. Инструкция по осуществлению парольной защиты

3.3. Инструкция по осуществлению антивирусного контроля

3.4. Инструкция по учету машинных носителей персональных данных

3.5. Инструкция по резервированию и восстановлению ПДн

3.6. Журнал учета машинных носителей персональных данных

3.7. Журнал учета обращений субъектов персональных данных

3.8. Журнал внутреннего контроля соблюдения законодательства и локальных актов в области персональных данных

4. Проекты актов определения уровня защищенности персональных данных и оценки возможного вреда субъектам

4.1. Приказ о назначении комиссии по определению уровня защищенности персональных данных и оценке возможного вреда

4.2. Акт оценки вреда, который может быть причинен субъектам персональных данных

4.3. Акт определения уровня защищенности персональных данных

5. Частные модели угроз безопасности персональных данных

6. Формы согласий и уведомлений субъектов об обработке их персональных данных

6.1. Письменное согласие субъекта на обработку ПДн (специальная форма);

6.2. Согласие работника на передачу его персональных данных третьей стороне (форма);

6.3. Согласие субъекта на получение его персональных данных у третьей стороны (форма);

6.4. Уведомление субъекта о получении его персональных данных у третьей стороны (форма);

6.5. Согласие работника на обработку ПДн (при поручении обработки третьему лицу).

7. Рекомендации по изменению должностных инструкций, договоров с работниками, обязательств о неразглашении персональных данных, договоров с третьими лицами оп поручении обработки ПДн

7.1. Изменения в должностную инструкцию работника, ответственного за организацию обработки и защиты ПДн

7.2. Изменения в должностную инструкцию работника, допущенного к обработке ПДн

7.3. Обязательство работника о неразглашении персональных данных

7.4. Изменения трудового договора с работником, имеющим доступ к ПДн

7.5. Договор поручения обработки персональных данных третьему лицу.

8. Проект уведомления об обработке персональных данных, направляемого в Роскомнадзор.

9. Дополнительные формы документов:

9.1. Акт приема-передачи носителей персональных данных (форма);

9.2. Акт об уничтожении носителей персональных данных (форма);

9.3. Лист ознакомления с законодательством

Порядок действий

Подготовка деловых бумаг происходит в определенной последовательности, поскольку одни документы составляются на основании других:

  1. На начальном этапе нужно разработать «Положение о ПДн», которое закрепляется соответствующим приказом и фактически является отображением политики конфиденциальности.
  2. Следующий шаг — подготовка и утверждение документа с детально расписанными видами обрабатываемых сведений.
  3. Очень важно правильно распределить ответственность за обеспечение и безопасность конфиденциальной информации.
  4. Далее следует позаботиться о составлении заявлений о согласии на обработку ПДн субъектами, журналах учета, выдачи и передачи сведений, а также контроле наличия документации, в которой присутствует приватная информация.
  5. Обязательный момент — определение мер обеспечения сохранности и условий размещения бумаг с ПДн (чаще всего такие документы хранятся в опечатанных или запирающихся сейфах).
  6. Нужно помнить о необходимости подготовки дополнительной документации, связанной с получением и использованием сведений через официальный сайт.
  7. Чтобы беспрепятственно осуществлять деятельность, любому оператору предстоит уведомить о начале обработки Роскомнадзор, подав соответствующее уведомление в электронном формате и отослав экземпляр в территориальное отделение.

Профессиональная разработка

Поскольку с ПДн сейчас работает подавляющее большинство организаций, найти типовые формы документов, регулирующие операции с персональными данными, несложно. Большинство шаблонов можно найти на официальных сайтах ФСТЭК, Роскомнадзора и ФСБ, но использовать их без адаптации нельзя.

Каждый бизнес имеет свою специфику, в частности, отличается количество и категория субъектов ПДн, виды совершаемых действий с личными сведениями, характеристики созданной информационной системы и т.д. Поэтому необходимо разрабатывать организационно-распорядительную документацию в индивидуальном порядке, причем разумнее всего будет довериться в данном вопросе специалистам нашего Центра, которые осведомлены о последних законодательных изменениях и готовы помочь привести фирму в полное соответствие с ФЗ-152. Сотрудничество с нами будет особенно выгодным для представителей малого и среднего бизнеса, которые не могут себе позволить тратить массу ресурсов на решение подобных вопросов.