Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Узнайте, какие правовые риски угрожают вашему сайту!
В рабочее время перезвоним
в течение 15 минут!
Статья
Персональные данные
Документы на обработку персональных данных
для сайта и организации
1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и 01.03.2023 г.), в частности:
- требования к согласиям на обработку ПДн;
- требования к политике конфиденциальности и локальным актам;
- требования к сроку реагирования на запросы субъектов;
- требования к поручению обработки ПДн;
- требования к уведомлению Роскомнадзора об обработке ПДн;
- требования к трансграничной передачи;
- требования к оценке степени вреда и уничтожению ПДн.
На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.
Поможем бизнесу выполнить новые требования 152-ФЗ
Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!
По российскому федеральному законодательству, проверять эффективность и функциональность мероприятий по защите персональных данных (ПД) должны:
- Правительство.
- ФСБ.
- Федеральная служба по техническому и экспертному контролю, ФСТЭК.
- Роскомнадзор.
Эти контролирующие органы всегда требуют предоставлять отчетную документацию о защите ПД. Любая компания-оператор ПД обязана иметь бумаги, представленные в таблице.
| Название документа | Содержание документа |
| Положение о защите ПД (или Положение о персональных данных сотрудников, при условии неиспользования иной личной информации) | Порядок работы с персональной информацией, включая сбор и использование |
| Приказ о допуске к персональным данным | Перечень сотрудников, которые могут обрабатывать этот класс информации |
| Инструкция по защите персональных данных | Детальное описание мер безопасности |
| Уведомление для Роскомнадзора об обработке ПД | Обоснование необходимости и методики сбора персональной информации |
| Приказ, которым назначается лицо, отвечающее за безопасность ПД | Перечень компетенций этого сотрудника |
| Список помещений для данных мероприятий | Технический список площадей, задействованных в проверке ПД |
| Приказ, утверждающий места хранения ПД | Описываются методы архивации и параметры созданных хранилищ персональных данных |
| Описание порядка создания резервных копий баз данных, бэкапа для всех программ, средств защиты информации и баз данных | Техническая информация, предназначенная в том числе для ответственных лиц из отдела программирования и системного администрирования, содержащая все способы резервирования и восстановления ценных данных |
| Приказ по уничтожению персональных данных | Порядок утилизации уже неактуальной информации |
| Заключение о запуске информационной системы | Экспертное заключение о стартовавшей структуре безопасности |
| План проведения проверок внутри предприятия по защите персональных сведений | Табличное представление плана периодического проведения контроля оборудования и режима защиты ПД |
| Журнал для учета носителей информации | Список накопителей информации, используемой организацией |
| Журнал учета обращений субъектов ПД | База данных по физическим лицам, чья личная информация была использована организацией |
| Акт классификации системы | Включает категориальное описание персональных данных, прав доступа, список лиц, обрабатывающих информацию, технические данные о структуре сети и электронных устройствах |
| Правила обработки без применения автоматизированных средств | Все, что касается документации на традиционных носителях, т. е. всей бумажной корреспонденции |
| Инструкция по антивирусной защите и защите пароля | Информация об использовании антивируса, а также мер по защите паролей |
| Журнал тестирования средств информационной защиты | Заметки тестировщиков о проводимых проверках |
| Инструкция по внештатным ситуациям | Описание действий персонала в условиях угрозы раскрытия конфиденциальности информации |
| Соглашение о неразглашении | Описание правового режима по данным, которые не подлежат разглашению, с подписями задействованных лиц |
| Положение о защите персональных данных от несанкционированного доступа | Описание полномочий, зоны ответственности, правовых санкций, действующих на оператора персональных данных |
Документы по персональным данным в организации
Какие документы по персональным данным обязательно должны быть в организации?
Проанализируем статьи Федерального закона от 27.07.2006 № 152-ФЗ[1] и главу 14 ТК РФ и выделим все нормы, которые указывают на какие-либо документы оператора[2]:
* Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
** ИТС— информационно-телекоммуникационная сеть.
*** Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» от 24.02.2021 № 18. Далее — Приказ Роскомнадзора № 18.
ПРИМЕЧАНИЕ НАУЧНОГО РЕДАКТОРА
Оператор также обязан осуществлять внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, ЛНА оператора (п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ). Соответственно, при проверках Роскомнадзор затребует ЛНА о внутреннем контроле, который составляется в произвольной форме (может быть просто раздел в ЛНА о ПД) и акт (акты) проведения внутреннего контроля.
В случае проверки работодатели должны документально подтвердить, что выполняют обязанности, установленные в Федеральном законе № 152-ФЗ[3]:
• предоставляют работникам по их просьбе информацию о целях и способах обработки их ПД, иную информацию[4];
• осуществляют внутренний контроль соответствия обработки ПД требованиям законодательства, политике, ЛНА работодателя;
• оценивают вред, который может быть причинен работникам в случае нарушений[5].
То есть кроме основных документов, указанных в таблице, может возникнуть необходимость оформить и иные документы, связанные с учетом и защитой ПД:
• дополнительные локальные акты (правила рассмотрения запросов субъектов ПД, правила осуществления внутреннего контроля и т. п.);
• приказы (о назначении ответственного за безопасность ПД, о хранении бумажных носителей ПД, об утверждении перечня ПД и т. д.);
• инструкции (по учету и хранению съемных носителей, по резервному копированию и восстановлению ПД, при возникновении нештатной ситуации и т. д.);
• журналы учета (запросов субъектов ПД, выдачи сведений и т. п.);
• акты (определения уровня защищенности ПД, оценки потенциального вреда субъектам ПД и т. д.).
[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021). Далее — Федеральный закон № 152-ФЗ.
[2] В рамках трудовых отношений оператор — это работодатель.
[3] Часть 4 ст. 18.1 Федерального закона № 152-ФЗ.
[4] Часть 1 ст. 18 Федерального закона № 152-ФЗ.
[5] Пункты 5–6 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ.
Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 11, 2021.
Закон предъявляет достаточно жесткие требования к работе с персональными данными и предусматривает серьезную ответственность за их нарушение. С 1 сентября 2022 года эти требования были распространены на всех работодателей.
Сейчас самое время проверить всю документацию по персональным данным, оформить недостающие бумаги, привести в соответствие с новыми правилами имеющиеся ЛНА и шаблоны документов. В этом вам помогут примеры и образцы документов от КонсультантПлюс, посмотреть и скачать которые вы можете бесплатно, оформив пробный доступ к системе. Смотрите нужный документ по соответствующей ссылке/картинке ниже или поищите другой подходящий вам образец в Подборке форм по персональным данным.
Итак, прежде всего, в организации должен иметься локальный нормативный акт по персональным данным.
ВАЖНО! Рекомендации от КонсультантПлюс
Как правило, организации издают положение о персональных данных или иной локальный нормативный акт по вопросам их обработки. В таком документе описывают все связанные с ней действия (хранение, использование данных и т.д.). Для каждой цели обработки документ должен определять в том числе категории и перечень персональных данных, способы, сроки их обработки и хранения и др. (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Также создайте документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Его структуру и содержание вы можете установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 N 08-71063). При этом целесообразно руководствоваться Рекомендациями, изданными Роскомнадзором.
Подробнее читайте в Готовом решении, пробный доступ к КонсультантПлюс бесплатный.
См. образец Положения об обработке и защите персональных данных работников от КонсультантПлюс:
С таким положением работники должны быть ознакомлены под роспись. На практике для этого составляют специальный Лист ознакомления.
Что значит обработка персональных данных, см. здесь.
Во-вторых, в организации должны быть назначены лица, ответственные за работу с персональными данными. Для этого издают соответствующие приказы:
В третьих, с 1 сентября всем работодателям необходимо числиться в реестре операторов персональных данных Роскомнадзора. Для этого в РКН подается Уведомление о намерении осуществлять обработку персональных данных (если не регистрировались ранее):
В какой срок нужно подать уведомление, см. здесь.
И наконец, от каждого работника в обязательном порядке должно быть получено Согласие на обработку персональных данных:
Это минимальный набор документов, необходимых для работы с персональными данными сотрудников. Больше документации см. в Подборке форм от КонсультантПлюс. Напоминаем, смотреть любые материалы системы можно бесплатно по пробному демо-доступу.
Читайте также про проверки Роскомнадзора по защите персональных данных.
