info@b-152.ru +7 (499) 372-06-52 Заказать звонок

Документы по защите ПДн в организации (по 152-ФЗ)

Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора. Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).

1 ЭТАП

Сбор исходных данных

Приказ о назначении комиссии по защите персональных данных ➤ Поручение на обработку персональных данных ➤ Политика в отношении обработки персональных данных ➤ Инструкция администратора безопасности ➤ Перечень помещений для обработки персональных данных ➤ Положение о комиссии по защите персональных данных ➤ Перечень обрабатываемых персональных данных ➤ Перечень должностей и третьих лиц, допущенных к обработке персональных данных ➤ План мероприятий по защите персональных данных ➤ Обязательство о неразглашении персональных данных ➤ Перечень средств защиты информации ➤ Согласие на обработку персональных данных ➤ Регламент определения уровня защищенности персональных данных ➤ Положение по защите персональных данных ➤ Положение об обработке персональных данных ➤ Приказ о назначении лиц, ответственных за обработку и защиту персональных данных ➤ Инструкция лица, ответственного за организацию обработки персональных данных ➤ Технический паспорт информационных систем персональных данных ➤ Соглашение о соблюдении безопасности персональных данных ➤ Перечень информационных систем персональных данных ➤

 

До начала сбора ПД необходимо определить его цель. Именно целью определяется:

 

  1. требуемый объем собираемых персональных данных;

  2. порядок их обработки;

  3. срок их хранения.

Наиболее важным моментом на этапе сбора ПД является определение основания для их обработки. Наиболее популярным основанием для обработки ПДн в России является согласие.

Согласие может быть выражено разными способами:

  • конклюдентно – например, продолжение посещения сайта означает согласие на использование cookies;

  • письменно – в форме подписанного документа по 152-ФЗ, либо электронного документа, подписанного электронной подписью;

  • в ином формате – например, в форме проставления галочки в чекбоксе на сайте или записи телефонного разговора.

Полученные ПД попадают в информационную систему, которая должна обеспечивать их безопасность. Для этого оператор назначает лицо, которое, согласно нормативным документам по защите персональных данных, ответственно за организацию обработки ПДн. Это лицо подотчетно исполнительному органу оператора и от него же получает указания. Перечислим их основные обязанности:

  • внутренний контроль соблюдения любыми субъектами законодательства РФ, относящегося к защите ПД;

  • ознакомление персонала оператора с требованиями защиты ПД при их хранении и обработке;

  • организация и контроль приема и обработки запросов от субъектов ПД

2 ЭТАП

Определение уровней защищенности персональных данных

 

Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД. Каждый из них определяется:

 

  • категорией обрабатываемых ПД;

  • видом обработки;

  • формой отношений между субъектом ПД и оператором;

  • количеством субъектов ПД, информация о которых содержится в информационной системе;

  • типом актуальных угроз.

Всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству.

3 ЭТАП

Подача Уведомления о начале обработки персональных данных

Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Перечень некоторых сведений, содержащихся в таком уведомлении:

  • наименование и адрес оператора;

  • цель обработки;

  • категории ПД;

  • категории субъектов ПД;

  • правовое основание обработки;

  • описание способов обработки;

  • перечень принятых мер по безопасности обработки;

  • дата начала и срок (условие) прекращения обработки;

Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление. Например, при обработке:

  • в соответствии с ТЗ;

  • ПД, содержащих только ФИО их субъектов;

  • однократно (например, для пропуска на территорию).

4 ЭТАП

Разработка организационно-распорядительной документации

 

Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе:

 

  • приказы, определяющие ответственных лиц, границы контролируемой зоны, организацию защитных мер и т. д.;

  • описание положений процесса обработки ПД;

  • списки сотрудников, привлеченных к работе с ПД;

  • инструкции по организации работы с ПД, внедрению антивирусов, обновлению ПО и т. д.;

  • шаблоны письменного согласия, уведомлений и т. п.