Документы по защите ПДн в организации (по 152-ФЗ)

Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора. Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).

1 ЭТАП

Сбор исходных данных

До начала сбора ПД необходимо определить его цель. Именно целью определяется:

требуемый объем собираемых персональных данных;
порядок их обработки;
срок их хранения.

Наиболее важным моментом на этапе сбора ПД является определение основания для их обработки. Наиболее популярным основанием для обработки ПДн в России является согласие.

Согласие может быть выражено разными способами:

конклюдентно – например, продолжение посещения сайта означает согласие на использование cookies;
письменно – в форме подписанного документа по 152-ФЗ, либо электронного документа, подписанного электронной подписью;
в ином формате – например, в форме проставления галочки в чекбоксе на сайте или записи телефонного разговора.

Полученные ПД попадают в информационную систему, которая должна обеспечивать их безопасность. Для этого оператор назначает лицо, которое, согласно нормативным документам по защите персональных данных, ответственно за организацию обработки ПДн. Это лицо подотчетно исполнительному органу оператора и от него же получает указания. Перечислим их основные обязанности:

внутренний контроль соблюдения любыми субъектами законодательства РФ, относящегося к защите ПД;
ознакомление персонала оператора с требованиями защиты ПД при их хранении и обработке;
организация и контроль приема и обработки запросов от субъектов ПД

2 ЭТАП

Определение уровней защищенности персональных данных

Акт определения уровней защищенности персональных данных ➤ Техническое задание на систему защиты персональных данных ➤ Протокол определения ущерба субъекту персональных данных ➤ Модель угроз безопасности персональных данных ➤

Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД. Каждый из них определяется:

категорией обрабатываемых ПД;
видом обработки;
формой отношений между субъектом ПД и оператором;
количеством субъектов ПД, информация о которых содержится в информационной системе;
типом актуальных угроз.

Всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству.

3 ЭТАП

Подача Уведомления о начале обработки персональных данных

Уведомление об обработке персональных данных ➤

Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Перечень некоторых сведений, содержащихся в таком уведомлении:

наименование и адрес оператора;
цель обработки;
категории ПД;
категории субъектов ПД;
правовое основание обработки;
описание способов обработки;
перечень принятых мер по безопасности обработки;
дата начала и срок (условие) прекращения обработки;

Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление. Например, при обработке:

в соответствии с ТЗ;
ПД, содержащих только ФИО их субъектов;
однократно (например, для пропуска на территорию).

4 ЭТАП

Разработка организационно-распорядительной документации

Регламент по трансграничной передаче данных ➤ Регламент проведения контрольных мероприятий ➤ Регламент учета, хранения и уничтожения носителей персональных данных ➤ Инструкция пользователя информационных систем персональных данных ➤ Регламент допуска сотрудников и третьих лиц к обработке персональных данных ➤ Регламент реагирования на запросы субъектов персональных данных ➤ Регламент резервного копирования персональных данных ➤ Приказ об утверждении инструкции пользователя информационных систем персональных данных ➤ Договор на обработку персональных данных ➤

Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе:

приказы, определяющие ответственных лиц, границы контролируемой зоны, организацию защитных мер и т. д.;
описание положений процесса обработки ПД;
списки сотрудников, привлеченных к работе с ПД;
инструкции по организации работы с ПД, внедрению антивирусов, обновлению ПО и т. д.;
шаблоны письменного согласия, уведомлений и т. п.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b-152.ru через форму «Обсудить ваш проект», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b-152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: обсуждение возможного проекта
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении проекта или до заключения договора на проект, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Запрос на демо Privacy Box», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; место работы; информация о том, откуда человек пришел на сайт (метка).
Цель обработки персональных данных: демонстрация работы сервиса Privacy Box с возможностью дальнейшего заключение договора
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении Privacy Box или до заключения договора на лицензию Privacy Box, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Подпишитесь на рассылку», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: проведение информационных и рекламных рассылок
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в Согласии цели.
Персональные данные обрабатываются до перехода по ссылке «Отписаться от рассылки», которое располагается в каждом рассылаемом письме.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.