Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании "Гарант")

Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных

Действующее законодательство не содержит исчерпывающего перечня документов, которые должны быть у оператора персональных данных во исполнение законодательства в сфере защиты персональных данных. Каждый оператор самостоятельно с учетом специфики своей деятельности, способов обработки (в информационных системах, без использования средств автоматизации) разрабатывает и утверждает пакет документов. Причем не имеет значения оформлены они разрозненными документами или включены в единое положение о защите персональных данных.

Анализ нормативно-правовых актов позволяет сгруппировать необходимые документы следующим образом:

I. ДОКУМЕНТЫ, ПОДТВЕРЖДАЮЩИЕ ИСПОЛНЕНИЕ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЙ СТ. 22 ЗАКОНА N 152-ФЗ
ПЕРЕЧЕНЬ ДОКУМЕНТОВ	ОСНОВАНИЕ
копия Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных (приложение N 1 к Приказу Роскомнадзора N 180*(1)) Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/	ст. 22 Закона N 152-ФЗ*(2)
копия Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (приложение N 2 к Приказу Роскомнадзора N 180) Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification	ст. 22 Закона N 152-ФЗ
копия Уведомление о прекращении обработки персональных данных (приложение N 3 к Приказу Роскомнадзора N 180) Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification	ст. 22 Закона N 152-ФЗ
копия уведомления о трансграничной передаче персональных данных Уведомление можно направить в Роскомнадзор посредством Портала персональных данных: https://pd.rkn.gov.ru/cross-border-transmission/form2/	ч. 4 ст. 12 Закона N 152-ФЗ

II. ДОКУМЕНТЫ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
перечень персональных данных и иных объектов, подлежащих защите	ст. 86 ТК РФ, пп. "б" п. 1 Постановления N 211*(3)
перечень работников, допущенных к обработке персональных данных	ст. 86 ТК РФ, пп. "б" п. 1 Постановления N 211
политика организации в отношении защиты персональных данных (см. Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом N 152-ФЗ)	п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 6 Постановления N 687*(4)
положение об обработке и защите персональных данных работников	ст. 86 ТК РФ
положение об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и др.), и их законных представителей	п. 5 ч. 1 ст. 6 Закона N 152-ФЗ
положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации	п.п. 3, 8, 15 Постановления N 687
положение об обработке персональных данных в информационных системах	п. 2 ч. 2 ст. 19 Закона N 152-ФЗ
положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными	ч. 7 ст. 5 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211, Приказ Роскомнадзора от 05.09.2013 N 996
положение об ответственности работников за нарушение режима конфиденциальности обрабатываемых данных, за несанкционированный доступ к конфиденциальной информации	ч. 4 ст. 18.1 Закона N 152-ФЗ
правила рассмотрения обращений субъектов персональных данных	пп. "б" п. 1 Постановления N 211
приказ о назначении сотрудника ответственного за обеспечение безопасности конфиденциальной информации	п. 1 ч. 1 ст. 18.1, ст. 22.1 Закона N 152-ФЗ
приказ о допуске работников к обработке персональных данных	п. 8 ч. 2 ст. 19 Закона N 152-ФЗ, пп. "в" п. 13 Постановления N 1119*(5), пп. "а" п. 8 Приказа ФСБ России N 378*(6)
должностные инструкции сотрудников, обрабатывающих персональные данные	ст. 86 ТК РФ
соглашения о неразглашении персональных данных	ст. 88 ТК РФ, ст. 7 Закона N 152-ФЗ
письменное согласие субъекта на обработку его персональных данных, отзыва согласия	ст.ст. 6, 7, 9, 10, 10.1*(7), 11 Закона N 152-ФЗ
акты об уничтожении информации, содержащей персональные данные	ст. 21 Закона N 152-ФЗ, Приказ Роскомнадзора от 28.10.2022 N 179
договоры с третьими лицами, которым оператор поручает обработку персональных данных, или которым передает персональные данные	ч. 3 ст. 6 Закона N 152-ФЗ
иные документы

III. ЗАЩИТА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
порядок резервирования и восстановление работоспособности технического и программного обеспечения, баз данных, средств защиты информации	п. 7 ч. 2 ст. 19 Закона N 152-ФЗ, п. 8 приказа ФСТЭК России N 21*(8)
план внутренних проверок состояния и защиты персональных данных	п. 4 ч. 1 ст. Закона 152-ФЗ; пп. "б" п. 1 Постановления N 211
приказ о вводе в эксплуатацию ИС персональных данных	пп. "б" п. 1 Постановления N 211
схема, отражающая рабочие места, где ведется обработка персональных данных, с указанием внутренних и внешних потоков, по которым передаются ПДн (в том числе по сети Интернет к третьим лицам)	п. 8 приказа ФСТЭК России N 21
инструкция по проведению антивирусного контроля в ИС персональных данных	п. 8 приказа ФСТЭК России N 21
инструкция по организации парольной защиты	п. 8 приказа ФСТЭК России N 21
инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций	п. 8 приказа ФСТЭК России N 21
план мероприятий по обеспечению безопасности персональных данных	п. 8 приказа ФСТЭК России N 21
модель угроз безопасности в ИС персональных данных	п. 1 ч. 2 ст. 19 Закона N 152-ФЗ, п. 6 Постановления N 1119
документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, а также перечень ответственных лиц	п. 8 ч. 2 ст. 19 Закона N 152-ФЗ
акт оценки вреда, который может быть причинен субъектам персональных данных	Приказ Роскомнадзора от 27.10.2022 N 178
положение о порядке хранения и уничтожения материальных носителей персональных данных	п. 13 Постановления N 687
инструкция о порядке учета и хранения съемных носителей конфиденциальной информации	п. 5 ч. 2 ст. 19 Закона N 152-ФЗ
иные документы

IV. УЧЕТ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
журнал учета мероприятий по контролю обеспечения защиты персональных данных	п. 17 Постановления N 1119
журнал учета носителей информации ИС персональных данных	п. 5 ч. 2 ст. 19 Закона N 152-ФЗ
журнал учета съемных и мобильных носителей информации, содержащей персональные данные	п. 8 приказа ФСТЭК России N 21
журнал инструктажа работников по вопросам информационной безопасности	п. 8 приказа ФСТЭК России N 21
журнал учета обращений субъектов персональных данных, их законных представителей	ст. ст. 14, 20 Закона N 152-ФЗ
журнал периодического тестирования средств защиты информации	п. 8 приказа ФСТЭК России N 21
журнал выдачи пропусков	п. 6 ч.2 ст. 22 Закона N 152-ФЗ
иные документы

__________________________________________

*(1) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных". С примерами заполнения форм уведомлений можно ознакомиться в информации Роскомнадзора от 25.12.2022.

*(2) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

*(3) Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями)

*(4) Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

*(5) Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

*(6) Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

*(7) С учетом Требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утв. приказом Роскомнадзора от 24 февраля 2021 г. N 18

*(8) Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (с изменениями и дополнениями)