Что делать?

Пакет документов по защите персональных данных: часть 2

Для того, чтобы операторы ПДн, могли работать в соответствии с требованиями закона «О персональных данных» в 2020 году, и не иметь вопросов со стороны Роскомнадзора, им необходимо подготовить перечень документов, которые всегда должны быть в актуальном виде.

Законодательство не устанавливает количество и перечень документов, необходимых для каждой конкретной организации. Каждый оператор составляет свой пакет нормативных актов, который должен состоять из необходимых и достаточных для работы документов.

В первой части материала сайт «Закон 152» перечислил список общих документов, необходимых для работы оператора ПДн, и перечень требований к сотрудникам, работающим с персональными данными. В этой статье м ы поговорим о

Модель угроз. Документ необходим для определения уровня защищенности информационной системы. Ранее сайт «Закон 152» писал о том, как составить модель угроз.

Форма запроса о наличии и ознакомлении с персональными данными. Этот документ разработан для того, чтобы человек мог запросить у оператора информацию, касающуюся обработки его ПДн: цели и способы обработки, сроки хранения данных.

Форма запроса на уточнение персональных данных. В этот документ человек вносит персональные данные, которые необходимо скорректировать.

Форма запроса на уничтожение персональных данных. Согласно документу, оператор обязан уничтожить персональные данные человека после его запроса (за исключением случаев, когда удаление противоречит законодательству).

Форма запроса на блокирование персональных данных. В соответствии с этой формой, оператор должен заблокировать персданные человека на основании его запроса (если иное не противоречит законодательству).

Форма запроса с отзывом согласия на обработку персональных данных. Согласно форме, оператору необходимо прекратить обработку ПДн человека, если он направил запрос.

Акт оценки потенциального вреда субъектам персональных данных. Документ необходим для оценки вреда, который будет причинен человеку в случае нарушения законодательства о ПДн. В акте необходимо указывать категории субъектов ПДн и способы обработки персональных данных. Для каждой категории и способа обработки необходимо присвоить степень вреда.

Акт об уничтожении персональных данных. В акте прописывается порядок уничтожения ПДн, согласно закону. Данные необходимо удалять так, чтобы их невозможно было восстановить. Уничтожать данные должна комиссия. После удаления персданных акт подписывается членами комиссии и руководителем компнаии.

Договор поручения на обработку персональных данных. Если обработку ПДн осуществляет не оператор, а другая компания, между ними должен быть составлен договор поручения. В нем указывается, какие манипуляции будут осуществляться с персданными, для каких целей данные будут обрабатываться, как будет сохраняться их конфиденциальность.

Журнал учета запросов субъектов персональных данных. В журнале фиксируются запросы людей на дополнение, блокирование или уничтожение их ПДн. С его помощью ведомство может отследить, на сколько четко оператор исполняет обязательства.

Форма уведомления об устранении неправомерных действий с ПДн. Документ необходим для информирования человека о том, что при обработке его данные были допущены ошибки, которые были устранены.

Форма уведомления об отказе внесения изменений в ПДн субъекта. Оператор может отказать человеку в изменении его ПДн из-за отсутствия подтверждающих изменения документов, ссылаясь на эту форму.

Форма уведомления органа по защите прав субъектов ПДн. Согласно форме, оператор информирует государственный надзорный орган для каких целей, каким способом и какие виды персональных данных обрабатывает.

Приказ о хранении бумажных носителей персональных данных. В документе указывается, где и в каком виде хранятся документы. Следит за сохранностью материальных носителей и актуальностью мест хранения ответсвенный за организацию обработки ПДн.

Журнал учета съемных носителей, содержащих ПДн. Журнал ведется для поэкземплярного учета внешних носителей, на которых хранятся персональные данные. Хранить их необходимо в сейфах, если информация, хранящаяся на них, не зашифрована.

Приказ об определении контролируемой территории. В документе обозначаются границы контролируемой зоны информационных систем персональных данных. Сотрудники, работающие с ПДн, следят, чтобы персональные данные обрабатывались только в пределах зоны и в рамках правил.

Инструкция по учету и хранению съемных носителей. В инструкции прописан порядок работы со съемными носителями ПДн. В документе подписи ставят сотрудники, допущенные к работе с персданными.

Инструкция по резервному копированию и восстановлению. В документе прописана работа технических и программных средств автоматизированной информационной системы и системы защиты ПДн.

Журнал регистрации нарушения и восстановления работоспособности. В журнале фиксируются сбои в работе оборудования или ИСПДн с указанием причины, даты и времени инцидента, а также информация о принятых мерах по восстановлению работы.

Журнал учета средств защиты информации. Журнал необходим для учета средств защиты, которыми пользуется оператор, разрешающей технической и эксплуатационной документации к ним, и данных специалистов, устанавливающих средства защиты.

Журнал учета проверок контролирующими органами. В журнале указывается вся информация, которая была предоставлена контролирующим органам.