Приложение. Методические рекомендации по организации обработки и обеспечению безопасности персональных данных. Приказ Министерства цифровых технологий и связи Калининградской области от 07.07.2021 N 265 "Об утверждении методических рекомендаций по организации обработки и обеспечению безопасности персональных данных" (с изменениями и дополнениями)

Приложение
к приказу Министерства
цифровых технологий и связи
Калининградской области
от 7 июля 2021 г. N 265

Методические рекомендации
по организации обработки и обеспечению безопасности персональных данных

С изменениями и дополнениями от:

7 октября 2021 г.

Перечень сокращений

В настоящих методических рекомендациях используются сокращения, приведенные в таблице 1.

Таблица 1 - Перечень сокращений

Сокращение	Обозначение
ИСПДн	Информационная система персональных данных
Организация	Орган исполнительной власти Калининградской области, государственное учреждение Калининградской области и иные организации, подведомственные органам исполнительной власти Калининградской области
ПДн	Персональные данные
ФЗ	Федеральный закон
ФСБ России	Федеральная служба безопасности Российской Федерации
ФСТЭК России	Федеральная служба по техническому и экспортному контролю Российской Федерации
Роскомнадзор	Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации

Перечень терминов

В настоящих методических рекомендациях используются основные термины, приведенные в таблице 2.

Таблица 2 - Перечень терминов

Понятие	Определение	Источник
Автоматизированная обработка ПДн	Обработка ПДн с помощью средств вычислительной техники	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Аттестация объектов информатизации	Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации	ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний"
Безопасность информации	Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Доступ к информации	Возможность получения информации и ее использования	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Защита информации	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
ИСПДн	Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Модель угроз безопасности информации (ПДн)	Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации	ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"
Обезличивание ПДн	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Обладатель информации	Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Обработка ПДн	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Оператор информационной системы	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Оценка соответствия требованиям по защите информации	Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
ПДн	Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн)	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Система защиты информации	Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Средство защиты информации	Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Требование по защите информации	Установленное правило или норма, которые должны быть выполнены при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Угроза безопасности информации (ПДн)	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"

1. Общие положения

Настоящие Методические рекомендации по организации обработки и обеспечению безопасности ПДн (далее - Методические рекомендации) содержат описание состава и содержания мероприятий, направленных на приведение в соответствие требованиям законодательства Российской Федерации в области ПДн деятельности Организации.

В Методических рекомендациях затрагиваются вопросы, связанные с подготовкой организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн, настройкой процессов обработки ПДн в ИСПДн или без использования средств автоматизации.

В Методические рекомендации включены примерные формы организационно-распорядительных документов, разработанные с учетом требований законодательства Российской Федерации в области ПДн, с указаниями по их адаптации к конкретным условиям обработки ПДн в Организации.

Организация самостоятельно определяет потребность в разработке, актуализации организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн и несет ответственность в соответствии с нормами действующего законодательства Российской Федерации за их форму и содержание.

2. Нормативно-правовая база

Деятельность Организаций в области обработки и обеспечения безопасности ПДн регламентируется следующими основными нормативными правовыми актами Российской Федерации:

1) Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);

2) Трудовой кодекс Российской Федерации;

3) ФЗ от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

4) ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных";

5) постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

6) постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

7) постановление Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

8) постановление Правительства Российской Федерации от 6 июля 2008 года N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

9) приказ ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

10) приказ ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

11) приказ Роскомнадзора от 30 мая 2017 года N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения";

12) приказ Роскомнадзора от 15 марта 2013 года N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных";

13) приказ Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных".

3. Общая структура мероприятий по выполнению норм законодательства в области ПДн

Меры, направленные на реализацию требований законодательства в области обработки и защиты ПДн, условно можно разделить на три основных блока 1:

1) определение порядка обработки ПДн (организационные и правовые меры, направленные на установление порядка обработки ПДн в организации в целом);

2) обеспечение безопасности ПДн при их обработке в информационных системах (организационные и технические меры, направленные на обеспечение безопасности ПДн при их обработке в ИСПДн);

3) контроль соответствия обработки ПДн требованиям законодательства.

4. Организационные и правовые меры, направленные на установление порядка обработки ПДн

4.1. Подготовительные мероприятия. Сбор исходных данных и описание процессов обработки ПДн

На первом этапе приведения деятельности Организации в области обработки ПДн в соответствие с требованиями законодательства необходимо провести инвентаризацию процессов обработки ПДн в Организации.

В рамках инвентаризации требуется проанализировать нормативные правовые акты и организационно-распорядительные документы, регламентирующие деятельность Организации, в том числе связанную с обработкой ПДн. Также необходимо провести опрос структурных подразделений Организации путем рассылки опросных листов.

На основании первичного анализа полученной информации выявляется примерный перечень структурных подразделений, в которых может осуществляться обработка ПДн, а также перечень информационных систем, в которых может осуществляться обработка ПДн.

Далее формируется примерный перечень процессов, в рамках которых осуществляется обработка ПДн. К числу таких процессов чаще всего относятся:

1) бухгалтерская отчетность, расчет заработной платы, расчет налогов и социальных выплат;

2) кадровый и воинский учет;

3) подбор персонала;

4) осуществление закупочной деятельности;

5) обработка обращений граждан, юридических лиц, органов государственной власти;

6) оказание государственных или муниципальных услуг;

7) договорная работа с контрагентами;

8) претензионная и судебная работа юридической службы и др.

С учетом специфики деятельности Организации и ее организационно-правовой формы перечень процессов обработки ПДн может корректироваться.

Затем по каждому выявленному процессу обработки ПДн необходимо определить:

1) цели обработки ПДн;

2) категории субъектов ПДн, данные которых обрабатываются в рамках процесса (с привязкой к цели обработки);

3) применимое законодательство (с привязкой к цели обработки) - правовое основание обработки ПДн;

4) сроки обработки (включая хранение) ПДн;

5) перечень ПДн (с привязкой к целям обработки ПДн и к категории субъекта ПДн);

6) способы обработки ПДн (с использованием или без использования средств автоматизации, смешанный);

7) перечень информационных систем, в которых обрабатываются ПДн в рамках процесса;

8) перечень мест хранения материальных носителей ПДн;

9) перечень лиц, осуществляющих обработку ПДн в рамках процесса;

10) порядок обработки ПДн в рамках процесса.

Перечисленные сведения могут быть собраны (уточнены), в том числе путем интервьюирования владельцев процессов.

По результатам обработки полученных сведений возможна корректировка ранее сформированного перечня процессов обработки ПДн.

К числу наиболее распространенных категорий субъектов ПДн в Организации относятся:

1) работники Организации (либо государственные гражданские служащие);

2) ближайшие родственники работников (государственных гражданских служащих);

3) уволенные работники (государственные гражданские служащие);

4) кандидаты на замещение вакантных должностей;

5) представители организаций - участников закупок, проводимых Организацией;

6) представители контрагентов;

7) физические лица, обратившиеся в Организацию с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Организации;

8) физические лица, предоставившие свои персональные данные в рамках исполнения Организацией своих полномочий и т.д.

Для каждой выявленной информационной системы Организации, используемой для обработки ПДн (ИСПДн), необходимо определить назначение (цель обработки ПДн в данной ИСПДн), категории и объем обрабатываемых ПДн 2.

Возможны случаи, когда Организация, являясь оператором ИСПДн, не будет при этом являться оператором ПДн, обрабатываемых в данной ИСПДн.

В последнем случае цели обработки ПДн, правовые основания обработки, категории субъектов ПДн и состав обрабатываемых ПДн определяются не Организацией, а оператором этих ПДн (обладателем информации).

4.2. Определение ответственности за организацию обработки ПДн в Организации

Назначение лица, ответственного за организацию обработки ПДн (далее - Ответственный за организацию обработки ПДн), предусмотрено пунктом 1 части 1 статьи 18.1 и статьей 22.1 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных".

В соответствии с частью 2 статьи 22.1 Ответственный за организацию обработки ПДн должен получать указания непосредственно от исполнительного органа Организации и быть подотчетным ему.

В Организации может быть назначен только один Ответственный за организацию обработки ПДн, при этом часть своих функций он может делегировать другим работникам Организации (например, владельцам процессов обработки ПДн), которые будут нести ответственность перед ним за организацию обработки ПДн в рамках своего направления деятельности (подразделения), но в целом ответственность за организацию обработки ПДн в Организации остается за Ответственным за организацию обработки ПДн.

Частью 4 статьи 22.1 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" предусмотрены следующие обязанности Ответственного за организацию обработки ПДн:

1) осуществление внутреннего контроля соблюдения оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

2) доведение до сведения работников оператора положений законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, иных требований к защите ПДн;

3) организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля приема и обработки таких обращений и запросов.

Приведенный перечень обязанностей не является исчерпывающим. Организация вправе возложить на Ответственного за организацию обработки ПДн дополнительные обязанности, связанные с обеспечением защиты прав субъектов ПДн, ПДн в Организации.

В соответствии с возложенными обязанностями определяются полномочия Ответственного за организацию обработки ПДн в Организации.

Назначение Ответственного за организацию обработки ПДн может осуществляться либо путем внесения изменений в штатное расписание Организации - добавления соответствующей должности, либо путем назначения приказом (распоряжением) действующего должностного лица (работника) Организации ответственным за организацию обработки ПДн с внесением необходимых дополнений в его должностную инструкцию (должностной регламент).

К функциям Ответственного за организацию обработки ПДн могут быть отнесены:

1) контроль проведения мероприятий по защите ПДн;

2) обеспечение ведения учета процессов обработки ПДн в Организации и актуализации документации по процессам;

3) организация и осуществление внутреннего контроля соблюдения Организацией и ее работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

4) организация и контроль проведения обучения работников Организации в области обработки и защиты ПДн;

5) организация и контроль проведения проверки знаний работников Организации в области обработки и защиты ПДн;

6) организация приема и обработки обращений и запросов субъектов ПДн и запросов уполномоченного органа по защите прав субъектов ПДн;

7) обеспечение разработки и своевременной актуализации внутренних организационно-распорядительных документов Организации в области обработки и защиты ПДн;

8) контроль проведения мероприятий по результатам разрешения и расследования инцидентов информационной безопасности, связанных с нарушением требований по обработке и защите ПДн;

9) контроль включения Организации в план проверок регулирующих органов;

10) информирование руководства Организации о предстоящей проверке регулирующими органами;

11) координация подготовки Организации к прохождению проверки регулирующими органами;

12) сопровождение (организация сопровождения) должностного лица регулирующего органа в ходе проверки Организации (предоставление необходимых документов, информации и т.д.).

Следует подчеркнуть, что в функции Ответственного за организацию обработки ПДн не входит обеспечение безопасности ПДн.

Информация об изменениях:

Подраздел 4.3 изменен с 7 октября 2021 г. - Приказ Министерства цифровых технологий и связи Калининградской области от 7 октября 2021 г. N 431

См. предыдущую редакцию

4.3. Согласие субъекта ПДн на обработку ПДн

Одним из основных требований, которое необходимо соблюдать в рамках обработки ПДн в Организации, является наличие правового основания для такой обработки. В этой связи по каждому выявленному процессу обработки ПДн требуется провести анализ необходимости предоставления субъектом ПДн согласия на обработку ПДн.

В соответствии с пунктами 2-11 части 1 статьи 6 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработка ПДн может осуществляться без согласия субъекта ПДн в следующих случаях:

1) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3) обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций Организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных ФЗ от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

6) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

7) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных ФЗ от 3 июля 2016 года N 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

8) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;

9) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных", при условии обязательного обезличивания ПДн;

10) обработка ПДн, полученных в результате обезличивания ПДн, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных ФЗ от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных", в порядке и на условиях, которые предусмотрены указанным Федеральным законом;

11) обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с ФЗ.

Далее также по каждому процессу обработки ПДн необходимо определить вид согласия на обработку ПДн (в случае, если оно необходимо) - в письменной или иной форме.

Обработка ПДн может осуществляться при наличии согласия субъекта ПДн в письменной форме, за исключением следующих случаев, предусмотренных законодательством:

1) при включении ПДн в общедоступные источники ПДн;

2) при обработке специальных категорий ПДн;

3) при обработке биометрических ПДн для установления личности субъекта ПДн;

4) при трансграничной передаче ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;

5) при принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн;

6) при передаче/получении ПДн работников Организации третьим лицам/от третьих лиц, осуществляемой не в рамках исполнения трудового законодательства.

Требования к форме письменного согласия субъекта ПДн на обработку его ПДн установлены частью 4 статьи 9 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" и определяют необходимость наличия следующих сведений:

- фамилия, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилия, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

- наименование или фамилия, имя, отчество и адрес Организации;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка будет поручена такому лицу;

- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Организацией способов обработки ПДн;

- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва;

- подпись субъекта ПДн.

Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с ФЗ электронной подписью.

Важно отметить, что согласие субъекта ПДн на обработку его ПДн может включать в себя только одну цель обработки ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн должны проверяться Организацией.

Отметим, что получение/передача Организацией ПДн работника от третьих лиц/третьим лицам осуществляется с письменного согласия работника в каждом конкретном случае получения/передачи ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

Следующим шагом необходимо разработать и утвердить формы согласия субъекта ПДн на обработку ПДн и порядок получения согласия субъекта ПДн на обработку ПДн для всех необходимых случаев.

Пример формы согласия работника Организации на передачу его ПДн сторонней организации в целях их включения в общедоступные источники ПДн:

			Руководителю (Наименование Организации)
			,
			(фамилия, имя и отчество субъекта персональных данных)
			паспорт		,
					(серия и номер паспорта)
			(кем и когда выдан паспорт)
			Адрес регистрации по месту жительства
Согласие на передачу персональных данных
Настоящим своей волей и в своем интересе в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" выражаю (даю) свое согласие (Наименование Организации) (юридический адрес: __________) на передачу (Наименование учреждения) (юридический адрес: __________) с использованием средств автоматизации с целью формирования внутренних информационных систем, ресурсов, справочников, баз данных, которые являются общедоступными источниками персональных данных, своих персональных данных:
- фамилия, имя, отчество; - фотографическое изображение; - дата рождения; - рабочие номера телефонов и адрес электронной почты; - номера мобильных телефонов; - сведения о должности, подразделении.
Настоящее согласие предоставляется на срок действия трудового договора (для органа исполнительной власти указать: служебного контракта государственного гражданского служащего) и может быть отозвано в соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" на основании письменного заявления в произвольной форме.
Условия настоящего Согласия мной лично прочитаны и мне понятны.
						,
собственноручно указывается согласен (согласна)
						,
собственноручно полностью указывается фамилия, имя, отчество (если имеется)
				Дата: ___ __________ 20__ г.
подпись

4.4. Требования к типовым формам документов, характер информации в которых предполагает (допускает) включение в них ПДн, при обработке ПДн без использования средств автоматизации

В соответствии с пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 3, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку ПДн);

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

Используемые в Организации типовые формы должны соответствовать требованиям. Необходимо провести анализ типовых форм и, при необходимости, внести в них корректировки. При этом требуется учитывать, что изменения могут вноситься только в те типовые формы, которые разрабатывались непосредственно самой Организацией.

4.5. Разработка и ввод в действие организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн

Нормативные правовые основания разработки в Организации организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн приведены в приложении N 1 к Методическим рекомендациям.

Рекомендуется разработать и утвердить в установленном порядке следующие организационно-распорядительные документы по вопросам обработки и обеспечения безопасности ПДн:

1) политика в отношении обработки ПДн;

2) правила обработки ПДн;

3) правила рассмотрения запросов субъектов ПДн или их представителей;

4) правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к их защите;

5) правила работы с обезличенными данными;

6) перечень должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;

7) перечень ИСПДн;

8) перечень ПДн;

9) перечень должностей работников, замещение которых предусматривает осуществление обработки ПДн;

10) перечень мест хранения материальных носителей ПДн;

11) должностные обязанности ответственного за организацию обработки ПДн;

12) обязательство о неразглашении и обеспечении безопасности ПДн;

13) типовое обязательство работника о прекращении обработки ПДн в случае расторжения с ним трудового договора;

14) типовая форма согласия на обработку персональных данных работника;

15) типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;

16) порядок доступа в помещения, в которых ведется обработка ПДн.

Примеры организационно-распорядительных документов, для которых можно выделить типовые требования и правила обработки ПДн, приведены в приложениях к Методическим рекомендациям.

При разработке и внедрении организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн необходимо соблюсти следующие условия:

- политика в отношении обработки ПДн и сведения о реализуемых требованиях к защите ПДн должны быть опубликованы на официальном сайте Организации либо к ним должен быть обеспечен неограниченный доступ иным способом;

- правила обработки ПДн должны быть определены и описаны для каждой категории субъектов ПДн. Описание правил обработки ПДн возможно оформить как отдельными документами для каждого процесса обработки ПДн, для каждого структурного подразделения, участвующего в процессе обработки ПДн, так и в виде единого документа, содержащего общую совокупность правил обработки ПДн, при этом правила обработки ПДн работников рекомендуется выносить в отдельный документ;

- правила работы с обезличенными данными и перечень должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, разрабатываются только в случае, если Организация осуществляет обезличивание ПДн. Перечень указанных должностей может быть либо утвержден отдельным документом, либо включен в состав правил работы с обезличенными данными.

Должностные обязанности ответственного за организацию обработки ПДн описаны в разделе 4.2 Методических рекомендаций.

Требования к содержанию и видам согласия на обработку ПДн субъектов ПДн приведены в разделе 4.3 Методических рекомендаций.

В организационно-распорядительных документах Организации, устанавливающих правила пропускного режима и охраны помещений, должны быть определены основные требования к организации пропускного режима и охраны помещений в пределах охраняемой территории, на которой располагаются информационные ресурсы и материальные носители информации, с целью обеспечения защиты от несанкционированного доступа к ПДн. В правилах пропускного режима необходимо отразить порядок ведения журналов (реестров, книг) однократного пропуска субъекта ПДн на территорию Организации - в том случае, если такие журналы (реестры, книги) ведутся.

Перечни и типовые формы документов могут быть утверждены в виде отдельных документов либо в составе организационно-распорядительных документов Организации, описывающих процедуры (правила) обработки и обеспечения безопасности ПДн.

4.6. Ознакомление работников, осуществляющих обработку ПДн, с правилами обработки и требованиями к защите ПДн

Работники Организации, осуществляющие обработку ПДн, должны быть ознакомлены не только с внутренними документами Организации, касающимися обработки и обеспечения безопасности ПДн, но и с положениями законодательства Российской Федерации в области обработки и защиты ПДн.

При этом факт ознакомления работников Организации с правилами и требованиями по работе с ПДн должен быть задокументирован.

4.7. Поручение оператора на обработку персональных данных

В соответствии с ч. 3 ст. 6 ФЗ "О персональных данных" Организация вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора (государственного или муниципального контракта) либо путем принятия государственным или муниципальным органом соответствующего акта (поручения оператора). Аналогичным образом обработка ПДн может быть поручена самой Организации третьими лицами.

Требуется провести анализ выявленных процессов обработки ПДн на предмет необходимости наличия соответствующих поручений оператора, а также провести анализ имеющихся поручений оператора на предмет их соответствия требованиям ч. 3 ст. 6 ФЗ "О персональных данных".

4.8. Уведомление об обработке персональных данных

Согласно части 1 статьи 22 ФЗ "О персональных данных" Организация до начала обработки ПДн обязана уведомить уполномоченный орган по защите прав субъектов ПДн - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ "О персональных данных".

Частью 3 статьи 22 ФЗ "О персональных данных" установлены требования к содержанию уведомления о намерении Организации осуществлять обработку ПДн.

В случае изменения сведений, содержащихся в ранее направленном Организацией уведомлении, а также в случае прекращения обработки ПДн Организация обязана уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

Уведомление о намерении осуществлять обработку ПДн заполняется через электронную форму, размещенную на сайте Роскомнадзора 4, и направляется в информационную систему Роскомнадзора. Кроме того, заполненная форма распечатывается на бланке Организации и с подписью руководителя Организации направляется заказным письмом в Управление Роскомнадзора по Северо-Западному федеральному округу.

Информационное письмо об изменении сведений, ранее внесенных в реестр операторов ПДн,