Что делать?
Пакет документов по защите персональных данных: часть 1
Каждая компания, работающая с персональными данными людей, должна осуществлять это в рамках 152-ФЗ «О персональных данных». Контролирует их работу Роскомнадзор, которой проводит плановые и внеплановые проверки. Чтобы работа велась в соответствии с законодательством, компаниям необходимо подготовить и регулярно актуализировать необходимые документы.
Ранее сайт «Закон 152» рассказывал, как подготовиться к проверке
«Подготовка к проверке Роскомнадзора: легко, просто, без ошибок»
Роскомнадзора. В материалах, посвященных документам по защите ПДн, сайт «Закон 152» остановится на каждом акте, которые разрабатываются операторами, отдельно.
Документы, которые должны быть у оператора
Стоит отметить, что конкретного перечня и количества документов законодательство не устанавливает. Единственное требование — чтобы документов было достаточно и они были необходимы. В предыдущей статье мы говорили об
«Пакет документов по защите персональных данных: часть 2»)
В этом материале мы остановимся на документах, которые посвящены общим вопросам и документам, регламентирующим действия сотрудников, работающих с персональными данными.
Учредительные документы оператора. Это устав и учредительный договор. Для некоторых организаций необходимы оба документа, для других – достаточно одно из них.
Выписка из ЕГРЮЛ. Документ, предоставляемый компанией, должен быть актуален на момент проверки.
Копия уведомления об обработке ПДн. Документ должен быть составлен согласно методическим рекомендациям.
Согласие на обработку ПДн. В документе должны быть указаны данные человека, чьи данные обрабатываются: ФИО, паспортные данные. Согласие должно быть подписано.
Политика обработки ПДн. Этот документ должен быть у любой компании, которая является оператором персональных данных. Ранее сайт «Закон 152» рассказывал, как составить
По пунктам: как составить Политику обработки персональных данных
Правила обработки персональных данных. Это один из главных локальных актов оператора. В нем прописываются цели собора персональных данных, категории субъектов персданных, порядок их обработки, сроки хранения, правила уничтожения.
Последствия отказа предоставить персональные данные. Документ необходим компаниям для объяснения, какие юридические последствия может нести отказ в предоставлении персданных.
Соглашение о неразглашении информации, содержащей ПДн. Здесь прописываются обязанности работка оператора, который имеет доступ к персональным данным.
Перечень форм, содержащих персональные данные. В документе закрепляются формы, содержащие ПДн, которые использует оператор.
Правила рассмотрения запросов субъектов персональных данных. Здесь прописывается порядок регистрации пользователя на сайте и сроки рассмотрения его запросов.
Правила осуществления внутреннего контроля. В документе прописывается, какими средствами необходимо защищать персональные данные при обработке, чем обоснованы требования и как реализуются.
Приказ об утверждении перечня персональных данных. В этом документе указывается перечень ПДн, которые обрабатывает оператор, и сроки, по истечению которых данные необходимо удалить.
Инструкция пользователя при возникновении нештатной ситуации. Этот документ описывает возможные аварийные ситуации, которые могут произойти с информационной системой, а также меры и средства, которые будут предприниматься для непрерывной работы ИСПДн в аварийных ситуациях.
Приказ об утверждении перечня ИСПДн. Здесь указывается назначение системы, которая составляет главную цель обработки ПДн (порядок расчета зарплаты, автоматизация учета кадров). В приказе также указываются категории персданных и их объем в соответствии с постановлением правительства РФ №1119.
Инструкция по организации антивирусной защиты в ИСПДн. Документ разрабатывается для защиты персональных данных от несанкционированного копирования, изменения или уничтожения вирусами или другими вредоносными программами.
Инструкция пользователя ИСПДн. В документе прописывается порядок, которому должен следовать специалист, работающий с персональными данными, по соблюдению конфиденциальности информации.
Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн. В документе прописан порядок учета сотрудников, которые работают с ПДн, правила открытия и закрытия доступа к данным.
Инструкция по проведению инструктажа, допущенных к работе в ИСПДн. В инструкции необходимо указывать порядок проведения инструктажа для сотрудников, отвечающих за работу с персональными данными.
Журнал учета прав доступа к ИСПДн. В журнале ведется учет сотрудников, которые работают с персональными данными, их должности, права, которыми они обладают, и время, в течение которого у них имеется доступ к ПДн.
Акт определения уровня защищенности персональных данных. Документ составляется для каждой информационной системы персональных данных. В структуру документа входит обрабатываемые в ИСПДн данные, их объем, типы угроз информационной системы, уровень защищенности ПДн.
Приказ о наделении сотрудника полномочиями работы с ПДн. Документ должен включать перечень должностных обязанностей и быть подписан генеральным директором.
Приказ о назначении ответственного за безопасность ПДн. В документе прописываются инструкции, согласно которым должен действовать ответственный. Он выполняет функцию администратора, который следит за безопасностью при обработке персданных.
Приказ о допуске к обработке персональных данных. В приказе прописываются должности работников, в служебные обязанности которых входит доступ к ПДн. Обучение этих сотрудников проводит ответственный за организацию обработки персданных.
Инструкция ответственного за организацию обработки ПДн. В документе прописаны права и обязанности сотрудника, отвечающего за обработку персданных. Ответственный контролирует исполнение закона «О персональных данных», назначается приказом директора.
Инструкция ответственного за обеспечение безопасности ПДн. В инструкции прописаны функции, права, обязанности и ответственность сотрудника, отвечающего за безопасность ПДн. Приказ о назначении подписывает руководитель.
Журнал учета прохождения первичного инструктажа работниками. в журнале фиксируются данные сотрудников, работающих с ПДн, которые прошли первичный инструктаж.