Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании "Гарант")
Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных
Действующее законодательство не содержит исчерпывающего перечня документов, которые должны быть у оператора персональных данных во исполнение законодательства в сфере защиты персональных данных. Каждый оператор самостоятельно с учетом специфики своей деятельности, способов обработки (в информационных системах, без использования средств автоматизации) разрабатывает и утверждает пакет документов. Причем не имеет значения, оформлены они разрозненными документами или включены в единое положение о защите персональных данных.
Анализ нормативно-правовых актов позволяет сгруппировать необходимые документы следующим образом:
|
I. ДОКУМЕНТЫ, ПОДТВЕРЖДАЮЩИЕ ИСПОЛНЕНИЕ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЙ ПО УВЕДОМЛЕНИЮ РОСКОМНАДЗОРА (Ч. 4 СТ. 12, СТ. 22 ЗАКОНА N 152-ФЗ) | |
|
ПЕРЕЧЕНЬ ДОКУМЕНТОВ |
ОСНОВАНИЕ |
|
копия Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных (приложение N 1 к Приказу Роскомнадзора N 180*(1))
Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/ |
|
|
копия Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (приложение N 2 к Приказу Роскомнадзора N 180)
Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification |
ст. 22 Закона N 152-ФЗ |
|
копия Уведомления о прекращении обработки персональных данных (приложение N 3 к Приказу Роскомнадзора N 180)
Электронная версия уведомления размещена на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification |
ст. 22 Закона N 152-ФЗ |
|
копия Уведомления о трансграничной передаче персональных данных
Уведомление можно направить в Роскомнадзор посредством Портала персональных данных: https://pd.rkn.gov.ru/cross-border-transmission/form2/ |
ч. 4 ст. 12 Закона N 152-ФЗ |
|
II. ДОКУМЕНТЫ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ | |
|
ПЕРЕЧЕНЬ ДОКУМЕНТОВ |
ОСНОВАНИЕ |
|
перечень обрабатываемых персональных данных |
ст. 86 ТК РФ, пп. 2-3 ч. 1 ст. 18.1 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211*(3) |
|
перечень работников, допущенных к обработке персональных данных |
ст. 86 ТК РФ, пп. "б" п. 1 Постановления N 211 |
|
политика в отношении обработки персональных данных (см. Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом N 152-ФЗ) |
п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 2 Постановления N 211, п. 6 Постановления N 687*(4) |
|
положение об обработке и защите персональных данных работников |
ст. 86 ТК РФ, п. п. 2, 3 ч. 1 ст. 18.1 Закона N 152-ФЗ |
|
положение об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и др.), и их законных представителей |
п. 5 ч. 1 ст. 6, п. п. 2, 3 ч. 1 ст. 18.1 Закона N 152-ФЗ |
|
положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации |
|
|
положение об обработке персональных данных в информационных системах |
п. 2 ч. 2 ст. 19 Закона N 152-ФЗ |
|
положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными |
ч. 7 ст. 5 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211, Приказ Роскомнадзора от 05.09.2013 N 996 |
|
положение об ответственности работников за нарушение режима конфиденциальности обрабатываемых данных, за несанкционированный доступ к конфиденциальной информации |
п.п. 2-4 ч. 1 ст. 18.1 Закона N 152-ФЗ |
|
правила рассмотрения запросов (обращений)субъектов персональных данных |
ст. ст. 14, 20 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211 |
|
приказ о назначении лица, ответственного за организацию обработки персональных данных |
п. 1 ч. 1 ст. 18.1, ст. 22.1 Закона N 152-ФЗ |
|
должностная инструкция лица, ответственного за организацию обработки персональных данных |
п.п. 1, 6 ч. 1 ст. 18.1, ст. 22.1 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211 |
|
перечень работников, осуществляющих обработку персональных данных, в том числе без использования средств автоматизации |
ст. 88 ТК РФ, п. 6 ч. 1 ст. 18.1, п. 8 ч. 2 ст. 19 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211, пп. "в" п. 13 Постановления N 1119*(5), пп. "а" п. 8 Приказа ФСБ России N 378*(6) |
|
должностные инструкции работников , обрабатывающих персональные данные |
ст.ст. 86, 88 ТК РФ, п.п.1,6 ч. 1 ст. 18.1 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211 |
|
приказ об утверждении мест хранения ПДн и лиц, ответственных за данные места хранения |
п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 13 Постановления N 687 |
|
соглашения (обязательства) о неразглашении персональных данных |
ст. 88 ТК РФ, ст. 7 Закона N 152-ФЗ, пп. "б" п. 1 Постановления N 211 |
|
письменные согласия субъектов на обработку персональных данных, отзыв согласий |
|
|
акты об уничтожении информации, содержащей персональные данные |
ст. 21 Закона N 152-ФЗ, Приказ Роскомнадзора от 28.10.2022 N 179 |
|
договоры с третьими лицами, которым оператор поручает обработку персональных данных, или которым передает персональные данные |
ст. 6 Закона N 152-ФЗ |
|
иные документы |
|
|
III. ЗАЩИТА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ | |
|
ПЕРЕЧЕНЬ ДОКУМЕНТОВ |
ОСНОВАНИЕ |
|
перечень информационных систем персональных данных |
ч. 2 ст. 19 Закона N 152-ФЗ , |
|
приказ о вводе в эксплуатацию информационных систем персональных данных |
ч. 2 ст. 19 Закона N 152-ФЗ , п. 8 приказа ФСТЭК России N 21 |
|
акт классификации информационных систем персональных данных |
ч. 2 ст. 19 Закона N 152-ФЗ , Постановление N 1119 |
|
порядок резервирования и восстановление работоспособности технического и программного обеспечения, баз данных, средств защиты информации |
п. 7 ч. 2 ст. 19 Закона N 152-ФЗ, п. 8 приказа ФСТЭК России N 21 |
|
положение об осуществлении внутреннего контроля (аудита) соответствия обработки персональных данных требованиям законодательства и локальным актам оператора |
п. 4 ч. 1 ст. 18.1 Закона 152-ФЗ; пп. "б" п. 1 Постановления N 211 |
|
план внутреннего контроля (аудита) соответствия обработки персональных данных требованиям законодательства и локальным актам оператора |
п. 4 ч. 1 ст. 18.1 Закона 152-ФЗ; пп. "б" п. 1 Постановления N 211 |
|
акт проведения внутреннего контроля (аудита) соответствия обработки персональных данных требованиям законодательства и локальным актам оператора |
п. 4 ч. 1 ст. 18.1 Закона 152-ФЗ; пп. "б" п. 1 Постановления N 211 |
|
схема, отражающая рабочие места, где ведется обработка персональных данных, с указанием внутренних и внешних потоков, по которым передаются персональные данные (в том числе по сети Интернет к третьим лицам) |
п. 8 приказа ФСТЭК России N 21 |
|
инструкция по проведению антивирусного контроля в информационных системах персональных данных |
п. 8 приказа ФСТЭК России N 21 |
|
инструкция по организации парольной защиты |
п. 8 приказа ФСТЭК России N 21 |
|
инструкция пользователя по обеспечению безопасности при возникновении внештатных ситуаций |
п. 8 приказа ФСТЭК России N 21 |
|
приказ о назначении комиссии по защите ПДн, положение о комиссии по защите ПДн |
ст.18.1 Закона N 152-ФЗ |
|
план мероприятий по обеспечению безопасности персональных данных |
п. 8 приказа ФСТЭК России N 21 |
|
модель угроз безопасности в информационных системах персональных данных |
п. 1 ч. 2 ст. 19 Закона N 152-ФЗ, п. 6 Постановления N 1119 |
|
документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, а также перечень ответственных лиц |
п. 8 ч. 2 ст. 19 Закона N 152-ФЗ, п.15 Постановления N 687 |
|
акт оценки вреда, который может быть причинен субъектам персональных данных |
Приказ Роскомнадзора от 27.10.2022 N 178 |
|
положение о порядке хранения и уничтожения материальных носителей персональных данных |
п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 13 Постановления N 687 |
|
инструкция о порядке учета и хранения съемных носителей конфиденциальной информации |
п. 5 ч. 2 ст. 19 Закона N 152-ФЗ |
|
иные документы |
|
|
IV. УЧЕТ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | |
|
журнал учета мероприятий по контролю обеспечения защиты персональных данных |
п. 17 Постановления N 1119 |
|
журнал учета машинных носителей персональных данных |
п. 5 ч. 2 ст. 19 Закона N 152-ФЗ |
|
журнал учета съемных (мобильных) носителей информации, содержащей персональные данные |
п. 8 приказа ФСТЭК России N 21 |
|
журнал инструктажа работников по вопросам информационной безопасности |
п. 8 приказа ФСТЭК России N 21 |
|
журнал учета запросов (обращений) субъектов персональных данных, их законных представителей |
ст. ст. 14, 20 Закона N 152-ФЗ |
|
журнал периодического тестирования средств защиты информации |
п. 8 приказа ФСТЭК России N 21 |
|
журнал пропуска субъектов персональных данных на территорию оператора |
п. 8 Постановления N 687 |
|
журнал ознакомления с положениями законодательства РФ о персональных данных, локальными актами оператора по вопросам обработки персональных данных или проведения обучения |
п. 6 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 6 Постановления N 687 |
|
иные документы |
|
______________________________
*(1) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных". С примерами заполнения форм уведомлений можно ознакомиться в информации Роскомнадзора от 25.12.2022.
*(2) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
*(3) Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями)
*(4) Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
*(5) Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
*(6) Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
*(7) С учетом Требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утв. приказом Роскомнадзора от 24 февраля 2021 г. N 18
*(8) Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (с изменениями и дополнениям
Открыть документ в системе ГАРАНТ