|
№ п|п
|
Документ
|
Требование
|
Законодательство
|
Как составить
|
Основные документы для каждой компании.
|
|
1
|
Политика конфиденциальности персональных данных.
Политику обработки персональных данных можно разместить не как отдельный документ, а в составе Положения о защите персональных данных.
|
Оператор должен составить документы с описанием всех процедур обработки персональных данных.
|
Статья 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
|
Нет установленной формы документа. Составление и обязательные разделы указаны в рекомендациях Роскомнадзора от 31 июля 2017 года.
В политике должны быть выделены шесть ключевых направлений.
цели сбора персональных данных;
Основания для обработки личной информации.
Объем и разновидности обработанных данных, типы владельцев персональных данных.
Порядок и правила работы с личной информацией.
Обновление, правка, удаление и уничтожение информации, предоставление ответов на запросы о доступе к личным данным.
Документ опубликован на сайте с регистрационной формой.
|
|
2
|
Уведомление об обработке персональных данных
|
Все компании, обрабатывающие персональные данные, должны сообщить об этом в Роскомнадзор.
|
Статья 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
|
Форма уведомления установлена Приказом Роскомнадзора от 28 октября 2022 года № 180. Уведомление можно подать тремя способами: на бумажном носителе в отделении Роскомнадзора по месту жительства; через веб-сайт. Роскомнадзора; через Госуслуги.
Как подать уведомление о старте обработки персональных данных в Роскомнадзор.
Неточности в извещении о работе с персональной информацией в Роскомнадзоре.
|
|
3
|
Изменения для уведомления о обработке личных данных.
|
При изменении предоставленных в РКН сведений или прекращении обработки персональных данных нужно оповестить о этом РКН в течение десяти суток.
|
Главы 7 статьи 22 и статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
|
|
|
4
|
Распоряжение об определении лица, ответственного за обработку персональных сведений.
|
Оператор персональных данных обязан назначить лицо, отвечающее за обработку данных.
|
Статья двадцать два пункта один Федерального закона от двадцать седьмого июля двухтысячного шестого года номер сто пятьдесят два ФЗ «О персональных данных».
|
Приказ может быть составлен произвольно. В нём следует указать основания назначения (ссылка на статью 22-1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); должность и ФИО сотрудника, назначенного ответственным за обработку персональных данных; размер доплаты к должностному окладу за исполнение дополнительной обязанности.
Законодательство не предъявляет особых требований к человеку, выполняющему эти обязанности. Им может стать сотрудник по работе с персоналом, бухгалтер, секретарь фирмы или другой работник.
Работодатель должен заставить сотрудников, имеющих доступ к данным коллег по должности, обязуться их не разглашать. Можно оформить это дополнительным соглашением к трудовому договору.
|
|
5
|
Список работников, осуществляющих обработку персональных данных и имеющих к ним доступ.
|
Оператор персональных данных должен предпринимать юридические, организационные и технические действия для защиты этих данных от несанкционированного доступа, уничтожения, модификации, копирования, разглашения и других противоправных операций.
|
Статья девятнадцатая Федерального закона от двадцать седьмого июля двухтысячного шестого года номер сто пятьдесят два ФЗ «О персональных данных».
|
Отсутствует стандартная форма документа.
В документе необходимо указать основания назначения (ссылка на статью 22-1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); ФИО и должности сотрудников, имеющих доступ к персональным данным; при необходимости — указать, к каким именно персональным данным есть доступ (например, работникам одного подразделения). Как правило, доступ к данным имеют заместители директора, начальники отделов, работники бухгалтерии, секретариат.
Сотрудникам, чьи должностные обязанности предполагают работу с персональными данными, необходимо оформить обязательство о неразглашении информации, если соответствующее условие отсутствует в трудовом договоре.
|
|
6
|
Разрешение лица на обработку своих личных сведений.
|
Владелец самостоятельно решает предоставлять свои личные данные и соглашается на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным и осознанным.
|
Статья девятая Федерального закона от двадцать седьмого июля двухтысячи шестого года номер одинсот пятьдесят два-ФЗ «О персональных данных».
|
Обработка личных сведений возможна исключительно при наличии письменного согласия владельца.
Разрешение лица на обработку своих личных сведений. (образец 2025 года от Роскомнадзора)
|
Дополнительные документы создают в соответствии с деятельностью организации и её внутренними нормами.
|
|
7
|
Документы, подтверждающие выдачу субъекту персональных данных информации, в случае получения данных не от самого субъекта.
|
Получив данные не от заинтересованного лица, оператор должен предоставить последнему такую информацию:
Имя, фамилия и отчество или название организации, а также адрес оператора или его представителя.
Задачи обработки персональных данных и юридические основания для этого.
предполагаемые пользователи данных;
права субъекта персональных данных;
источник получения.
|
Часть третья статьи восемнадцатой Федерального закона от двадцать седьмого июля две тысячи шестого года номер сто пятьдесят два ФЗ «О персональных данных».
|
Это могут быть договоры, соглашения и другие документы, свидетельствующие о законности применения этих сведений.
|
|
8
|
Политика конфиденциальности персональных данных.
|
Оператор должен составить документацию, регламентирующую все действия с персональными данными.
|
Статья 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
|
Документ не имеет утвержденной формы. Правила его составления и обязательные разделы указаны в рекомендациях Роскомнадзора от 31 июля 2017 года.
В политике следует предусмотреть шесть ключевых аспектов.
цели сбора персональных данных;
Основания для обработки личной информации.
Объём, виды обрабатываемой информации, группы получателей этой информации.
Порядок и правила обработки личной информации.
Обновление, поправка, удаление и уничтожение информации, реакции на просьбы о доступе к личным сведениям.
Документ доступен на сайте с формами регистрации.
Документ о политике обработки персональных данных может быть объединён с Положением о защите персональных данных в единый документ.
|
|
9
|
Документация о защите персональных данных — организационных и технических мерах.
|
Оператор персональных данных должен принимать соответствующие правовые, организационные и технические меры по защите данных от противоправного или случайного доступа, уничтожения, изменения, копирования, раскрытия и других неправомерных действий.
|
Статья девятнадцатая Федерального закона от двадцать седьмого июля двухтысячного шестого года № сто пятьдесят два-ФЗ «О персональных данных».
|
Документ должен содержать описание конкретных мер по защите персональных данных, включающих организационные и технические аспекты.
К организационным мерам относятся: обучение сотрудников, ограничение доступа, составление инструкций, определение статусов и прав пользователей, ведение журналов регистрации, а также условия и место хранение носителей информации.
Технические меры включают шифрование, обезличивание данных, электронную подпись, антивирусные программы, межсетевые экраны для фильтрации трафика, системы предотвращения вторжений (IPS) и обнаружения вторжений (IDS), а также системы предотвращения утечек (DLP).
|
|
10
|
Процедуры приема и обработки заявлений от лиц, чьи данные охватывает понятие «персональные».
|
Закон требует от всех, обрабатывающих персональные данные, принимать и обрабатывать обращения и запросы владельцев этих данных или их представителей.
|
Статья 22-1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» .
|
Может действовать набор правил или регламента рассмотрения заявлений от собственников персональных данных или их представителей. Документ должен содержать информацию о том, какие сведения имеет право запрашивать владелец данных, сроки ответа на заявления, а также условия отказа в удовлетворении запроса.
Образец Правила ответов на запросы
|
|
11
|
Нормативные акты, устанавливающие классификацию персональных данных, условия и порядок обработки без применения автоматизированных систем, а также типовые образцы.
|
Работники, выполняющие обработку персональных данных вручную, обязаны знать о том, что ведут обработку, какие данные обрабатываются и как это происходит.
|
Положение о правилах обработки персональных данных без применения автоматизированных систем. Утверждено распоряжением Правительства России от 15 сентября 2008 года № 687.
|
|
|
12
|
Нормативный акт, определяющий правила учета сведений о людях в регистрах и книгах, предназначенных для разового прохода на объект.
|
Ведение журналов подчиняется утвержденным условиям согласно Положению № 687.
|
Распоряжение по особым правилам обработки личной информации без применения компьютерных технологий утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
|
Политика (положение) по обработке персональных данных обязана содержать требование о ведении журнала (реестра, книги). В нем следует определить следующие условия:
О каких данных ведется запись в журнале (реестре, книгах), каким основаниям это соответствует, кто отвечает за регистрацию и какие сведения вносятся.
Запрещается копировать информацию из журналов, реестров и книг.
Информация о каждом человеке может быть записана в журнале, книге или реестре только один раз при каждом допуске на территорию.
|
|
13
|
Нормативный акт, определяющий правила хранения физических объектов с личной информацией.
|
Хранение персональных данных на физических носителях должно гарантировать сохранность и предотвращать незаконный доступ.
|
Распоряжение Правительства Российской Федерации от 15 сентября 2008 года № 687 о порядке обработки персональных данных без использования автоматизированных систем.
|
Этот документ можно оформить по усмотрению, в нем указываются шаги, необходимые для защиты хранителей информации. Возможно отказаться от отдельного документа и включить все указания в политику обработки персональных данных как самостоятельный раздел или пункты.
|
|
14
|
Документ о классификации информационных систем
|
Государственные структуры запрашивают документ для подтверждения, что их информационные системы отвечают закону. Коммерческие организации могут получить его по желанию.
|
Порядок классификации информационных систем персональных данных утверждён приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20.
|
Составляется акт классификации информационных систем.
Образец акт
Также нужен список людей, имеющим право на доступ к персональным данным, которые обрабатываются в информационной системе.
|
