Документы по защите ПДн

в организации (по 152-ФЗ)

Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора. Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).

✔ Настоящий приказ определяет состав комиссии, которая будет руководствоваться Положением о комиссии по защите персональных данных и контролировать выполнение законодательных требований в данной области.

⇒ Именно данный приказ является началом процесса по приведению Компании в соответствие требованиям закона №152-ФЗ «О персональных данных». Данный документ выпускается один раз; при изменении состава комиссии по защите персональных данных выпускается другой приказ.

Ст.18.1 Федерального закона №152 «О персональных данных»

✔ Настоящий документ устанавливает ответственность третьего лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчика персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.

⇒ Согласно поручению на обработку персональных данных 152-ФЗ, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.

Выполняемые требования законодательства:

❑ п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"

❑ ст.86-87 ТК РФ

❑ п.1 ст.53 Федерального закона № 126-ФЗ «О связи»

❑ п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

❑ п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Регламент допуска сотрудников и третьих лиц к обработке персональных данных (ПДн)

В нем описывается порядок:

• однократного или постоянного допуска сотрудников и третьих лиц к работе с ПДн;
• прекращения или расширения доступа к персональным данным .

Для сотрудников оператора порядок доступа к ПДн определяется в соответствующем регламенте. На территории России право доступа к персональным данным работника имеет только тот персонал, которому это необходимо для выполнения должностных обязанностей. При этом каждый сотрудник, обрабатывающий ПД, должен быть проинформирован о правилах и особенностях проводимой обработки. Все они описываются в нормативно-правовых актах, регулирующих этот процесс, и внутренних документах оператора.

Дополнительно оператором назначается лицо, ответственное за организацию обработки ПДн оператора способствует регламентации доступа к персональным данным работников. В круг обязанностей данного сотрудника входит ведение контроля над соблюдением установленных требований и оперативное сообщение о вероятных нарушениях.

Как осуществляется порядок доступа к ПДн работника

Лицо, получившее доступ к персональным данным, должно иметь в своем распоряжении уникальный логин и пароль, позволяющие выполнять необходимые операции (исключительно в предписанном порядке) в соответствующей информационной системе. Следует учитывать, что логин и пароль (т. е., идентификаторы) такого сотрудника относятся к категории конфиденциальной информации. Поэтому разглашение их третьим лицам недопустимо. Сотрудник должен быть проинформирован об этих требованиях конфиденциальности и строго соблюдать их. Также он должен понимать риски нарушений указанных требований и осознавать свою ответственность, возникающую вследствие разглашения.

✔ Настоящий регламент устанавливает и описывает процедуры определения уровней защищенности персональных данных, моделирования актуальных угроз безопасности персональных данных, определения ущерба и составления требований по обеспечению безопасности персональных данных.

⇒ Также регламентом описывается процедура пересмотра уровней защищенности персональных данных.

Выполняемые требования законодательства

❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

✔ Данный документ необходим для установления требований, которые необходимо соблюдать для обеспечения безопасности персональных данных. 

⇒ В настоящем документе описаны требования к системе защиты персональных данных, порядок ее реализации.

Выполняемые требования законодательства

• ❑  п.3) ч.1 ст.18.1; ст.19 Федерального закона №152 "О персональных данных"
• ❑  Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
• ❑  Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• ❑  Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
• ❑  Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Настоящая политика является публичным документом, поэтому в ней не указываются иные внутренние локальные акты оператора персональных данных.

Если смотреть формально, то для того, чтобы выполнить требования закона и различных площадок, достаточно, чтобы документ соответствовал следующим требованиям:

• был издан приказом или подписан генеральным директором / индивидуальным предпринимателем;
• назывался Политика конфиденциальности, Политика в отношении обработки персональных данных или другим названием
• в тексте должно быть название организации / физического лица, адрес и контактные данные
• в тексте должно упоминаться, что документ разработан в соответствии с Федеральным законом от 27.07.2007 г. № 152-ФЗ «О персональных данных».

Выполнив требований выше, вы формально выполните требования закона, будете защищены от штрафов со стороны Роскомнадзора, а также сможете пройти модерацию сторонних сервисов.

Но есть рекомендации к содержанию Политики обработки персональных данных, выпущенные Молодежной Палатой при Консультативном совете Роскомнадзора.

С использованием рекомендаций Политика конфиденциальности получается более клиентоориентированной и правильной.

Если учитывать эти рекомендации, то в тексте Политики обработки персональных данных должно быть:

• основные понятия из 152-ФЗ «О персональных данных»
• основные права физических лиц при обработке их персональных данных
• обязанности оператора персональных данных и физических лиц
• цели сбора персональных данных
• описание правовых основания обработки персональных данных
• состав и категории обрабатываемых персональных данных
• категории физических лиц, чьи персональные данные обрабатываются
• порядок и условия обработки персональных данных
• наименование и контакты оператора персональных данных
• условия обновления Политики и дата последнего обновления

Выполняемые требования законодательства

• п.2) ч.1 и ч.2 ст.18.1 Федерального закона №152 "О персональных данных"

✔ Настоящее положение устанавливает требования к процессам обработки персональных данных, определяет правила хранения и использования персональных данных.

⇒ В положении учитываются права субъекта персональных данных и ответственность оператора персональных данных при нарушении прав субъекта. Данный документ является одним из основополагающих при соблюдении требований законодательства в области персональных данных.

Выполняемые требования законодательства

• ❑ ст.5; п.6 ч.1 ст.14; п.2) ч.1 ст.18.1; ч.3, 4 ст.21 Федерального закона №152 "О персональных данных"
• ❑ ч.6 Постановления правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
• ❑ ст.86-90 ТК РФ

✔ Настоящий документ устанавливает обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных.

⇒ Лицом, ответственным за организацию обработки персональных данных, чаще всего является специалист отдела кадров, так как в обязанности первого входит донесение требований законодательства и внутренних актов по обработке и защите персональных данных до сотрудников. Если лицом, ответственным за организацию обработки персональных данных, назначается сторонняя юридическая компания или системный интегратор, то документ будет называться не инструкцией, а положением.

⇒ В обязанности лица, ответственного за организацию обработки персональных данных, входит контроль за соблюдением правил и принципов обработки персональных данных согласно законодательству, взаимодействие с субъектами персональных данных (физическими лицами) и Роскомнадзором.

Выполняемые требования законодательства

• п. 1), 6) ч.1 ст.18.1; п.7.1) ч.3 ст.22; ст.22.1 Федерального закона №152 "О персональных данных"

✔ Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных.

⇒ Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.

Выполняемые требования законодательства

• ч.5 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
• ч.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

✔ Данным приказом назначается администратор безопасности информационных систем персональных данных и менеджер обработки персональных данных.

⇒ Первый занимается вопросами безопасности персональных данных, второй организацией обработки персональных данных. Оба лица выбираются из состава Комиссии по приведению в соответствие с требованиями законодательства в области персональных данных. В качестве менеджера обработки может выступать юридическое лицо.

Выполняемые требования законодательства

• пп. 1), 6), п.1 ст.18.1, ст.22.1 Федерального закона №152 "О персональных данных"
• п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

✔ Документ перечисляет адреса офисов и помещения в них, где возможна обработка персональных данных.

⇒ Описываются общедоступные помещения, в которых также ведется обработка персональных данных, но доступ к которым имеет неограниченный круг лиц (зона регистрации, операционный зал и т.д.).

Выполняемые требования законодательства

• п.8.12 гл.II Приказа ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

✔ Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования. 

⇒ Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.

⇒ На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).

Выполняемые требования законодательства

• Абзац 2 п.9, п.10 Приказа ФТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

✔ Настоящий документ содержит перечень информационных систем персональных данных и их характеристики, которые определены законодательством Российской Федерации.

⇒ При проведении проверок государственных органов показывайте настоящий документ как определяющий информационные системы персональных данных и их характеристики. В данном документе также перечислены сотрудники, имеющие доступ к той или иной системе.

Выполняемые требования законодательства

• Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• п.10)
• ст.3 Федерального закона №152 "О персональных данных"
• Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
• Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
• ч.4 ст.98 Федерального закона № 273-ФЗ "Об образовании в Российской Федерации"

Документ согласия на обработку персональных данных является одним из основополагающих при выполнении требований законодательства в области персональных данных.

Согласие на обработку персональных данных является одним из самых популярных законных условий для обработки персональных данных в России. Поэтому с работников, клиентов и других физических лиц компании чаще всего собирают документ согласия на обработку персональных данных в письменном виде, в электронном, а также любым другим способом.

Выполняемые требования законодательства

• ч.2 ст.5; п. 1) ч.1. ст.6; ст.7; ст.8; ст.9; ч.1, 3 ст.10; п.1 ч.2 ст.10; ст.10.1; ст.11;, ст.12; ч.2 ст.15;, ч.3 ст.18; ч.3-6 ст.21 Федерального закона №152 "О персональных данных"
• ст.86-89 ТК РФ
• ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
• п.17 ч.2 ст.8; п.9 ч.2 ст.9 Федерального закона №138-ФЗ "О лотереях"

✔ Настоящий документ определяет обязанности, права и ответственность Комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных. Этот документ позволит точно определить список возможных действий Комиссии и ее членов.

⇒ Именно Комиссия будет разрабатывать необходимую правовую документацию по защите персональных данных, проводить внутренние проверочные мероприятия, определять класс информационных систем обработки персональных данных и определять необходимые технические средства защиты информации.

При проведении проверок Роскомнадзора настоящий документ предъявляется, как определяющий и описывающий разрешенные действия данной Комиссии.

✔ Настоящий документ содержит категории субъектов персональных данных, состав обрабатываемых персональных данных, цели и основания для обработки, а также условия прекращения обработки персональных данных.

⇒ В перечне указывается информация о всех категориях субъектов персональных данных (физических лиц), чьи персональные данные обрабатываются в организации.

Этот документ является ключевым во всем процессе приведения организации в соответствие требованиям законодательства в области персональных данных.

Данный перечень должен быть утвержден на основании Приказа организации

Выполняемые требования законодательства

• ❑ ч.1, 2, 4, 5, 6, 7 ст.5; ст.8; ч.4 ст.9; ч.1 ст.10; ч.1 ст.11; ч. 2-5), 9) п.3 ст.22 Федерального закона №152 "О персональных данных"
• ❑ ст.86-87 ТК РФ
• ❑ ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
• ❑ ч.5 ст.41 Федерального закона "О прокуратуре Российской Федерации"
• ❑ абзац третий ст.1 Федерального закона № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации"
• ❑ ч.2 ст.53 Федерального закона № 126-ФЗ «О связи»
• ❑ ч.4 ст.98 Федерального закона № 273-ФЗ «Об образовании в Российской Федерации»

✔ С помощью настоящего перечня легко определить, кто имеет доступ к персональным данным. При проведении проверки Роскомнадзор будет изучать данный документ одним из первых.

⇒ Помимо сотрудников, в данном документе указываются контрагенты, от которых получаются персональные данные и которым передаются персональные данные на обработку, а также приводится основание для передачи данных на обработку.

Выполняемые требования законодательства

• ❑ п.8 ч.2 ст.19, ч.3 ст.6 Федерального закона №152 "О персональных данных"
• ❑ п.6 ч.2, ст.13 ч.3 Постановления Правительства № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
• ❑ п. в) ст.13 Постановления Правительства № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

✔ Документ подготавливает Комиссия по приведению в соответствие требованиям законодательства в области персональных данных.

⇒ В плане указываются мероприятия по выполнению требований закона №152-ФЗ "О персональных данных" и других нормативных документов в определенной последовательности: аудит, уведомление об обработке персональных данных, определение уровней защищенности персональных данных, разработка организационно-распорядительной документации и системы защиты персональных данных.

Выполняемые требования законодательства

❑ Ст.18.1 Федерального закона №152 "О персональных данных"

✔ Документ необходим для того, чтобы сотрудник, получивший доступ к обработке персональных данных, принял на себя ответственность за их обработку и разглашение. Обязательство подписывается новым сотрудником при оформлении на работу.

Выполняемые требования законодательства

• ❑ ст.7, ч.1 ст.24 Федерального закона №152 "О персональных данных"
• ❑ ст.90 ТК РФ ч.4 ст.12 Федерального закона № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации"
• ❑ ч.1 ст.12 Федерального закона № 143-ФЗ "Об актах гражданского состояния"
• ❑ ч.5 ст.5 Федерального закона № 178-ФЗ «О государственной социальной помощи»
• ❑ ч.5 ст.14 Федерального закона № 58-ФЗ «О системе государственной службы Российской Федерации»

Выполняемые требования законодательства

• п. 3) ч.1 ст.18.1; п.2), 3) ч.2 ст.19; п.7) ч.3 ст.22 Федерального закона №152 "О персональных данных"
• Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

✔ Настоящий документ устанавливает ответственность лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчик персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.

⇒ По документу, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных, ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.

Выполняемые требования законодательства

• ❑ п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
• ❑ ст.86-87 ТК РФ
• ❑ п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
• ❑ п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• ❑ п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

✔ Техническое задание является первым шагом в построении требований к системе защиты персональных данных.

⇒ Документ включает в себя описание необходимых подсистем защиты, которые должны будут нейтрализовать выявленные актуальные угрозы безопасности персональных данных и выполнить требования по обеспечению безопасности персональных данных, установленные нормативными актами для соответствующего уровня защищенности персональных данных.

Выполняемые требования законодательства

• ❑ Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

✔ Данным документом для каждой информационной системы персональных данных определяется уровень защищенности персональных данных, обрабатываемых в ней.

⇒ От определенного уровня защищенности зависит количество мер по обеспечению безопасности персональных данных, которые необходимо реализовать. Чем ниже уровень защищенности, тем больше требований необходимо выполнить.

Выполняемые требования законодательства

• ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Выполняемые требования законодательства

• ❑ п.5) ч.1 ст.18.1 Федерального закона №152 "О персональных данных"
• ❑ ч.2 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
• ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

✔ Настоящий документ определяет актуальные угрозы безопасности персональных данных.

⇒ На основании определения актуальных угроз можно снизить количество необходимых мер по обеспечению безопасности персональных данных. Модель угроз безопасности персональных данных готовится на основании информации о бизнес-процессах, ИТ-инфраструктуре и уже применяемых средств защиты, а также о допущенных к обработке сотрудников и третьих лиц.

Выполняемые требования законодательства

• ❑ п.1) п.2 ст.19 Федерального закона №152 "О персональных данных"
• ❑ "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
• ❑ "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
• ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• ❑ Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
• ❑ Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
• ❑ Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

✔ Подача в Роскомнадзор Уведомления об осуществлении обработки персональных данных является одним из основных требований к оператору персональных данных. При этом в Федеральном законе №152-ФЗ "О персональных данных" также прописаны случаи, при которых подача уведомления не обязательна.

⇒ По итогам получения и обработки Уведомления, Роскомнадзор включает оператора в Реестр операторов персональных данных. В случае необходимости изменения сведений в Реестре операторов персональных данных, в Роскомнадзор необходимо подать Информационное письмо о внесении изменений в сведения, содержащиеся в реестре операторов персональных данных.

Выполняемые требования законодательства

• ❑ ст.22 Федерального закона №152 "О персональных данных"
• ❑ Приказ Роскомнадзора №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных"
• ❑ ч.2 ст.2 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
• ❑ Приказ Минкомсвязи РФ от 28.08.2015 №315 "О внесении изменений в административный регламент федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "ведение реестра операторов, осуществляющих обработку персональных данных", утвержденный приказом министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 №346"

✔ Настоящим регламентом определяется последовательность резервного копирования и восстановления персональных данных при их обработке в информационных системах персональных данных. 

⇒ Резервные копии, содержащие персональные данные, и план резервного копирования указываются в журнале резервных копий и плане резервного копирования персональных данных. 

Выполняемые требования законодательства

• ❑  п.7) ч.2 ст.19 Федерального закона №152 "О персональных данных"
• ❑  п.8.11. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

• ❑  План резервного копирования персональных данных
• ❑  Журнал восстановления данных учета создания и использования резервных копий персональных данных

✔ Настоящий регламент описывает последовательность действий по реагированию на запросы субъектов персональных данных.

⇒ Количество возможных категорий запросов субъектов персональных данных ограниченно, каждой категории запросов в документе выделяется соответствующая глава. В приложения к данному документу представлены варианты запросов для заполнения субъектом персональных данных и журнал учета запросов субъектов персональных данных.

Выполняемые требования законодательства

• ❑ ст.14, 15, 16, 17, 18, 20 Федерального закона №152 "О персональных данных"
• ❑ ч.6 ст.1 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"

• ❑ Запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных
• ❑ Запрос субъекта персональных данных на предоставление доступа к своим персональным данным
• ❑ Запрос субъекта персональных данных в случае выявления недостоверных персональных данных
• ❑ Запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными
• ❑ Запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных
• ❑ Форма запроса на блокирование персональных данных
• ❑ Форма запроса на уничтожение персональных данных
• ❑ Форма запроса на уточнение персональных данных

✔ Настоящим регламентом описываются процессы по разовому и постоянному допуску сотрудников и третьих лиц к персональным данным.

⇒ Также в данном документе описываются процессы по прекращению доступа к персональным данным и расширению доступа. 

Выполняемые требования законодательства

• ❑  п.6 ч.2, п.13 ч.3 Постановления Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
• ❑ п.8.2. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 

✔ Настоящим приказом утверждается инструкция, по которой сотрудники обязаны правильно работать с персональными данными и следить за их защитой и за работой средств защиты информации, установленными на их компьютерах

Выполняемые требования законодательства

• ❑  ст.19 Федерального закона №152 "О персональных данных" 
• ❑  ст.86 ТК РФ 

✔ Настоящий регламент определяет процедуры учета, хранения и уничтожения носителей персональных данных. 

⇒ Помимо этого, указываются возможные виды носителей персональных данных, бумажные и электронно-магнитные, и способы их уничтожения.

Выполняемые требования законодательства

• ❑  п.5) ч.2 ст.19 Федерального закона №152 "О персональных данных" 
• ❑  Постановление Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" 
• ❑  п.8.4. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 
• ❑  Постановление Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» 
• ❑  ч. б) ст.13 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 

✔ Данный документ устанавливает обязанности, права и ответственность пользователей информационных систем персональных данных. 

⇒ Так, настоящим документом закреплены требования по соблюдению политики "чистого стола", реагировании на инциденты безопасности. 

✔ Настоящий документ определяет порядок осуществления трансграничной передачи персональных данных в соответствии с требованиями законодательства в области персональных данных.

⇒ Помимо этого, в регламенте описаны критерии, определяющие возможность осуществления трансграничной передачи, а также представлена информация по локализации баз данных на территории РФ.

Приложения к документу: протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных.

Выполняемые требования законодательства

• ❑  Статья 12 Федерального закона № 152-ФЗ «О персональных данных»
• ❑  Статья 2 Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

✔ Настоящий документ определяет последовательность проведения контрольных внутренних мероприятий по соответствию требованиям законодательства в области персональных данных и последовательность действий при возникновении инцидентов информационной безопасности.

⇒ Помимо этого, в регламенте указываются последовательность действий по обновлению и актуализации внутренних локальных актов, касающихся обработки и защиты персональных данных.

• ❑ План внутренних проверок соблюдения требований законодательства в области персональных данных
• ❑ План пересмотра внутренних нормативных актов по персональным данным
• ❑ Журнал учета инцидентов безопасности, связанных с персональными данными
• ❑ Заявка на расследование инцидента безопасности, связанного с персональными данными
• ❑ Протокол расследования инцидента безопасности, связанного с персональными данными
• ❑ Протокол пересмотра внутренних нормативных актов по персональным данным
• ❑ Протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных
• ❑ Акт проведения расследования инцидента безопасности, связанного с персональными данными
• ❑ Акт пересмотра внутренних нормативных актов по персональным данным
• ❑ Акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных

Выполняемые требования законодательства

• ❑ п.4) ч.1 ст.18.1; п.6), 9) ч.2 ст.19; ч.4 ст.22.1 Федерального закона №152 "О персональных данных"
• ❑ п.15, 17 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• ❑ п.6 Приказа ФСТЭК №21" Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн) определяет порядок учета лиц, допущенных к работе с персональными данными, порядок их допуска и прекращения такого допуска.

Инструкция по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных (ИСПДн) разрабатывается с целью обеспечения безопасности персональных данных, определяет порядок проведения инструктажа работников ответственным за организацию обработки персональных данных.

Инструкция пользователя информационной системы персональных данных (ИСПДн) определяет права, обязанности и ответственность пользователя по соблюдению порядка обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, ставшей ему известной (или доступной для обработки) в процессе работы.

Инструкция по учёту и хранению съёмных носителей персональных данных нужна для определения порядка работы со съёмными носителями персональных данных. С данной инструкцией знакомятся под роспись и выполняют её все лица, допущенные к обработке персональных данных в соответствии с приказом о допуске к обработке персональных данных.

Инструкция по резервному копированию и восстановлению определяет действия, связанные с функционированием технических и программных средств автоматизированной информационной системы (АИС) и системы защиты персональных данных.

Инструкция по организации антивирусной защиты в информационных системах персональных данных (ИСПДн) разрабатывается в целях защиты персональных данных в информационных системах персональных данных от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения.

Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания работоспособности в случае реализации рассматриваемых угроз.

Документ предназначен для поэкземплярного учета таких носителей, и разработан в соответствии с инструкцией по учёту и хранению съёмных носителей.

Журнал учета прохождения первичного инструктажа работниками ведется оператором в качестве меры, направленной на учет прохождения первичного инструктажа работниками допущенными к обработке персональных данных на основании приказа о допуске к обработке персональных данных.

Журнал регистрации нарушения и восстановления работоспособности ведется оператором в качестве меры, направленной на учет событий нарушения работоспособности оборудования или ИСПДн, даты и времени обнаружения события, причин нарушения, информации о предпринятых мерах по восстановлению работоспособности оборудования или ИСПДн.

Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) создается и поддерживается в актуальном состоянии оператором на основании приказа о допуске к обработке персональных данных, а также инструкции по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн).

Журнал учёта средств защиты информации ведется оператором в качестве меры, направленной на учет средств защиты информации, эксплуатационной и технической документации к ним, а также лиц производящих установку средств защиты информации.

Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.

Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.

В документе для каждой категории субъектов персональных данных (работники, клиенты, соискатели и т.п.) и для каждого способа обработки персональных данных указывается присвоенная степень вреда (низкий, умеренный, средний, значительный, высокий, чрезвычайно высокий). Степень тяжести вреда обычно зависит от идентифицирующего потенциала, количества персональных данных и количества субъектов персональных данных.

Порядок уничтожения персональных данных должен соответствовать установленным законом правилам: после процесса уничтожения информация не должна иметь возможность быть восстановленной. При этом сам процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев. После завершения процедуры создается акт, подписываемый членами комиссии и руководителем.