Правовые меры обеспечения безопасности персональных данных
Перейти к навигации
Перейти к поиску
| Автор - Wolfcom.
При использовании произведения, размещенного на странице, просим указывать авторство (Волков Владислав Эдуардович) и ссылку на страницу. Также просим не использовать этот материал в коммерческих целях. |
На странице приведен примерный перечень документов, необходимых для обработки персональных данных в соответствии с законодательством Российской Федерации. Просим учесть, что перечень документов, необходимых оператору, может существенно различаться в зависимости от целей обработки персональных данных и иных обстоятельств. Для определения индивидуального перечня документов и их составления вы можете обратиться к профессионалам.
Перечень мер, направленных на обеспечение выполнения обязанностей операторами, являющимися государственными или муниципальными органами определен Постановлением Правительства РФ от 21 марта 2012 г. № 211
Проверка соблюдения операторами обязательных требований в области персональных данных осуществляется в соответствии с Постановлением Правительства РФ от 29.06.2021 № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"[1]
Локальные акты об обработке персональных данных
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Политика в отношении обработки персональных данных | ФЗ "О персональных данных", ст.18.1, ч.2, пп.2 | КоАП, ст.13.11, ч.3 | В случае сбора персональных данных с использованием информационных ресурсов в сети "Интернет" Политика должна быть опубликована на информационном ресурсе. К Политике должен быть обеспечен неограниченный доступ (ч.2 ст.18.1 ФЗ "О персональных данных) |
| 2 | Положение об обработке персональных данных | ФЗ "О персональных данных", ст.19, ч.2, пп.2 | ||
| 3 | Положение об обработке персональных данных работников | Трудовой кодекс РФ, ст.86, п.8 | Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области | |
| 4 | Положение о допуске к обработке персональных данных | ФЗ "О персональных данных", ст.6, п.3; | Определяет перечень сотрудников оператора, допущенных к обработке персональных данных, а также третьих лиц, обрабатывающих данные по поручению оператора | |
| 5 | Положение об обеспечении безопасности персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.3 | ||
| 6 | Положение об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям правовых актов | ФЗ "О персональных данных", ст.18.1, ч.1, пп.4 | ||
| 7 | Положение об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.5 | ||
| 8 | Положение об определении уровней защищенности персональных данных | ФЗ "О персональных данных", ст.19, ч.2, пп.1; | ||
| 9 | Положение о рассмотрении запросов субъектов персональных данных или их представителей | ФЗ "О персональных данных", ст. 20, ч.1 | ||
| 10 | Положение о работе с обезличенными персональными данными | Приказ Роскомнадзора от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных" | При обработке операторами, являющимися государственными или муниципальными органами. См. Методические рекомендации Роскомнадзора, утв. 13.12.2023 | |
| 11 | Инструкция по учету машинных носителей персональных данных | ФЗ "О персональных данных", ст.19, ч.2, п.5 | ||
| 12 | Инструкция о защите персональных данных от модификации или уничтожения вследствие несанкционированного доступа к ним | ФЗ "О персональных данных", ст.19., ч.2, п.7. | ||
| 13 | Перечень мер, устанавливаемых оператором для обеспечения сохранности персональных данных | Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", п.15 | КоАП, ст.13.11, ч.6 | При обработке персональных данных без использования средств автоматизации |
Документы, подтверждающие правовые основания обработки персональных данных
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Согласие на обработку персональных данных | ФЗ "О персональных данных", ст. 6, ч.1, п.1 | КоАП, ст.13.11, ч.1; | Если обработка персональных данных осуществляется с согласия субъекта персональных данных |
| 2 | Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения | ФЗ "О персональных данных", ст.10.1, ч.1 | КоАП, ст.13.11, ч.1; | Оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. См. ст. 10.1 Федерального закона "О персональных данных" |
| 3 | Согласие на включение в общедоступные источники персональных данных | ФЗ "О персональных данных", ст.8, ч.1 | КоАП, ст.13.11, ч.2; | Если оператор включает персональные данные в справочники, адресные книги и тд. В них с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных |
| 4 | Правовой акт, подтверждающий осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей | ФЗ "О персональных данных", ст.6, ч.1, п.2 | КоАП, ст.13.11, ч.1; | В случае обработки персональных данных на основании функций, полномочий и обязанностей оператора |
| 5 | Правовой акт, подтверждающий полномочия органов публичной власти и функции организаций, участвующих в предоставлении государственных и муниципальных услуг | ФЗ "О персональных данных", ст.6, ч.1, п.4 | КоАП, ст.13.11, ч.1; | Если обработка персональных данных необходима для исполнения полномочий органов публичной власти и функции организаций, участвующих в предоставлении государственных и муниципальных услуг |
| 6 | Договор, стороной которого которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных | ФЗ "О персональных данных", ст. 6, ч.1, п.5 | КоАП, ст.13.11, ч.1; | Если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных |
| 7 | Правовой акт (договор, акт государственного или муниципального органа), предусматривающий обработку персональных данных по поручению оператора | ФЗ "О персональных данных", ст. 6, ч.3 | КоАП, ст.13.11, ч.1; | Если обработка персональных данных осуществляется обработчиком по поручению оператора |
Уведомления уполномоченных органов
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Уведомление о намерении осуществлять обработку персональных данных | ФЗ "О персональных данных", ст.22, ч.1 | КоАП, ст.19.7; | Направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Не требуется уведомление об обработке персональных данных: - включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; - в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации; - обрабатываемых в случаях, предусмотренных законодательством о транспортной безопасности |
| 2 | Уведомление о намерении осуществлять трансграничную передачу персональных данных | ФЗ "О персональных данных", ст.12, ч.3 | КоАП, ст.19.7; | Направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом |
| 3 | Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных | ФЗ "О персональных данных", ст.21, ч.3.1, | КоАП, ст.13.11, ч.11 | Направляется в форме электронного документа |
| 4 | Уведомление о результатах внутреннего расследования | ФЗ "О персональных данных", ст.21, ч.3.1 | КоАП, ст.13.11, ч.11 | Направляется в форме электронного документа |
| 5 | Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных | ФЗ "О персональных данных", ст.22, ч.7 | КоАП, ст.19.7; | Оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. Направляется в форме электронного документа |
| 6 | Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных | ФЗ "О персональных данных", ст.22, ч.7 | КоАП, ст.19.7; | В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных. Направляется в форме электронного документа |
Документы по личному составу
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Приказ о назначении ответственного за организацию обработки персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.1 | Издается оператором, являющимся юридическим лицом вместе с инструкцией ответственного за организацию обработки персональных данных | |
| 2 | Документы, подтверждающие ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.5 | ||
| 3 | Документы, подтверждающие обучение работников, непосредственно осуществляющих обработку персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.5 | ||
| 4 | Приказ о назначении лица, ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных | Постановление Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", п.3 | Вместе с инструкцией ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных | |
| 5 | Перечень лиц, имеющих доступ в помещения для обработки персональных данных | Постановление Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", п.13; | КоАП, ст.13.11, ч.6 | Административная ответственность наступает в случае нарушения правил обработки персональных данных без использования средств автоматизации |
| 6 | Приказ о назначении лица, ответственного за реализацию мер, устанавливаемых оператором для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним | Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", п. 15 | КоАП, ст. 13.11, ч.6 | При обработке персональных данных без использования средств автоматизации |
| 7 | Уведомление работников оператора, осуществляющих обработку персональных данных без использования средств автоматизации | Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", п.6 | При обработке персональных данных без использования средств автоматизации | |
| 8 | Соглашение о неразглашении персональных данных | ФЗ "О персональных данных", ст.7; |
Акты и иные подтверждающие документы
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Акты, подтверждающие осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям правовых актов | ФЗ "О персональных данных", ст.18.1, ч.1, пп.4 | ||
| 2 | Акт оценки вреда, который может быть причинен субъектам персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.5 | Требования к акту определены Приказом Роскомнадзора от 27.10.2022 № 178 | |
| 3 | Акт определения уровней защищенности персональных данных | ФЗ "О персональных данных", ст.19, ч.2, п.2 | ||
| 4 | Акт оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных | ФЗ "О персональных данных", ст.19, ч.2, п.4 | ||
| 5 | Акт обезличивания персональных данных | ФЗ "О персональных данных", ст.5, ч.7 | ||
| 6 | Акт об уничтожении персональных данных | ФЗ "О персональных данных", ст.21, ч.7 | Требования к акту определены Приказом Роскомнадзора от 28 .10.2022 г. № 179 |
Реестры и перечени
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Перечень информационных систем персональных данных | ФЗ "О персональных данных", ст.18.1, ч.1, пп.2 | КоАП, ст.13.11, ч.8 | |
| 2 | Перечень машинных носителей персональных данных | ФЗ "О персональных данных", ст.19, ч.2, п.5 | ||
| 3 | Перечень помещений для обработки персональных данных | Постановление Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", п.13 | КоАП, ст.13.11, ч.6 | Административная ответственность наступает в случае нарушения правил обработки персональных данных без использования средств автоматизации |
| 4 | Перечень мест хранения материальных носителей персональных данных | Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", п.13 | КоАП, ст.13.11, ч.6 | В случае обработки персональных данных без использования средств автоматизации |
Взаимодействие с субъектами персональных данных
| № | Наименование акта | Правовая основа | Ответственность | Примечания |
|---|---|---|---|---|
| 1 | Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные и (или) дать согласие на их обработку | ФЗ "О персональных данных", ст.18.1, ч.2 | ||
| 2 | Положение о видеонаблюдении | ФЗ "О персональных данных", ст.18.1, ч.1, пп.6 | В случае осуществления видеонаблюдения на рабочих местах |
- ↑ Постановление Правительства РФ от 29.06.2021 № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"