Этот чек-лист подойдет всем:
- для тех, кто впервые слышит про персональные данные и Роскомнадзор;
- для тех, кто сначала подал уведомление об обработке переданных в РКН, а только потом подумал о документах, которые должны быть разработаны и внедрены в бизнес,
- а также для тех, кто уже когда-то разработал документы, но понимает, что требования не стоят на месте, и хочет привести все в соответствие с законом.
Итак, перечень документов для работы с персональными данными выглядит так:
1. Политика в отношении обработки персональных данных
🔲 Открытая, размещена на сайте (если есть сайт)
🔲 Отражает цели, объем, категории субъектов, права субъектов и т. д.
2. Локальные акты по обработке и защите ПДн
🔲 Положение об обработке и защите ПДн
🔲 Порядок получения согласий
🔲 Условия хранения, уничтожения, передачи ПДн
🔲 Порядок взаимодействия с субъектами ПДн
3. Приказ о назначении ответственного лица за обработку ПДн
🔲 Лицо изданным приказом наделено обязанностями
🔲 Ознакомлено под подпись
4. Согласия субъектов персональных данных
🔲 На обработку, передачу, публикацию (включая биометрию, фото и др.)
🔲 Хранятся отдельно по каждому субъекту
🔲 С учётом форм согласия, установленных законом
5. Приказ об утверждении политики и положения об обработке ПДн
6. Приказы о допуске сотрудников к работе с ПДн и инструкции
🔲 Сотрудники ознакомлены с мерами защиты
🔲 Журнал инструктажа и согласий на неразглашение
🔲 Должностные инструкции с включением обязанностей по ПДн
7. Соглашения о конфиденциальности с сотрудниками и контрагентами
🔲 С внешними подрядчиками (обработка по поручению)
🔲 С внутренними работниками
8. Журнал учёта согласий/обращений субъектов ПДн
🔲 Фиксируются все обращения, жалобы, отказы, предоставление данных
9. Акты об уничтожении персональных данных
🔲 По истечении сроков хранения
🔲 При отзыве согласия или увольнении
🔲 Указаны способ и основания уничтожения
10. Модель угроз и политика информационной безопасности (если есть ИС ПДн)
🔲 Категория информационной системы
🔲 Уровень защищённости
🔲 Меры защиты (админ., техн., физич.)
11. Сведения, подлежащие внесению в уведомление
🔲 Название и ИНН оператора
🔲 Цели обработки
🔲 Категории и источники ПДн
🔲 Перечень действий с ПДн
🔲 Категории субъектов
🔲 Обработка трансграничная или нет
🔲 Применение автоматизированной обработки
🔲 Местонахождение базы данных
12. Отчет/акт по проверке готовности к соблюдению требований ФЗ-152
🔲 Проверка текущего состояния
🔲 Аудит внутренней обработки
🔲 Устранение рисков
⚠️ Важно:
- Для некоторых отраслей есть спецтребования (например, образование, медицина, финансы).
- Организации с ИС ПДн обязаны соблюдать требования по безопасности ФСТЭК и ФСБ.
- Все документы должны быть не просто «для галочки», а реально внедрены в процессы.
На моем канале много полезной информации о бизнесе и законах. Быть в курсе новых публикаций @tsudikovaclub!
Задать вопрос по своему бизнесу: info@ats-pro.ru