Документы по защите ПДн в организации (по 152-ФЗ)

Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора.
Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).
Сбор исходных данных
01
До начала сбора ПД необходимо определить его цель. Именно целью определяется:
— требуемый объем собираемых персональных данных;
02
Наиболее важным моментом на этапе сбора ПД является определение основания для их обработки. Наиболее популярным основанием для обработки ПДн в России является согласие. Согласие может быть выражено разными способами:
— конклюдентно — например, продолжение посещения сайта означает согласие на использование cookies;
конклюдентно — например, продолжение посещения сайта означает согласие на использование cookies;
— письменно — в форме подписанного документа по 152-ФЗ, либо электронного документа, подписанного электронной подписью;
письменно — в форме подписанного документа по 152-ФЗ, либо электронного документа, подписанного электронной подписью;
— в ином формате — например, в форме проставления галочки в чекбоксе на сайте или записи телефонного разговора
в ином формате — например, в форме проставления галочки в чекбоксе на сайте или записи телефонного разговора
03
Полученные ПД попадают в информационную систему, которая должна обеспечивать их безопасность. Для этого оператор назначает лицо, которое, согласно нормативным документам по защите персональных данных, ответственно за организацию обработки ПДн. Это лицо подотчетно исполнительному органу оператора и от него же получает указания. Перечислим их основные обязанности:
— внутренний контроль соблюдения любыми субъектами законодательства РФ, относящегося к защите ПД;
внутренний контроль соблюдения любыми субъектами законодательства РФ, относящегося к защите ПД;
— ознакомление персонала оператора с требованиями защиты ПД при их хранении и обработке;
ознакомление персонала оператора с требованиями защиты ПД при их хранении и обработке;
— организация и контроль приема и обработки запросов от субъектов ПД
организация и контроль приема и обработки запросов от субъектов ПД
требуемый объем собираемых персональных данных;
— порядок их обработки;
— срок их хранения.
порядок их обработки;
срок их хранения.
Определение уровней защищенности персональных данных.
Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД.
категорией обрабатываемых ПД
(всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству).
видом обработки
формой отношений между субъектом ПД и оператором
количеством субъектов ПД, информация о которых содержится в информационной системе
типом актуальных угроз
Каждый из них определяется:
(всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству).
Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД. Каждый их них определяется:
Подача Уведомления о начале обработки персональных данных.
наименование и адрес оператора
цель обработки
категории ПД
категории субъектов ПД
правовое основание обработки
Перечень некоторых сведений, содержащихся в таком уведомлении:
Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор.
описание способов обработки
перечень принятых мер по безопасности обработки
дата начала и срок (условие) прекращения обработки
Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление. Например, при обработке:
Например, при обработке:
в соответствии с ТЗ
ПД, содержащих только ФИО их субъектов
однократно (например, для пропуска на территорию)
Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Перечень некоторых сведений, содержащихся в таком уведомлении:
Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление.
Разработка организационно-распорядительной документации.
приказы, определяющие ответственных лиц, границы контролируемой зоны, организацию защитных мер и т. д
описание положений процесса обработки ПД
списки сотрудников, привлеченных к работе с ПД
шаблоны письменного согласия, уведомлений и т. п.
организация и контроль приема и обработки запросов от субъектов ПД
в том числе:
Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе:
Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов.