Помощь в составлении документов по защите персональных данных
Спаси свою фирму от штрафов.
Уполномоченный орган по защите прав субъектов персональных данных введет реестр операторов Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ст. 22 ФЗ «О персональных данных»)
У Вас есть организация или ИП?
Вы приняли на работу сотрудников?
У вас есть сайт с обратной связью?
Не хотите платить огромные штрафы?
Как узнать, попадает ли деятельность организации под действие закона №152-ФЗ "О персональных данных"?
Да, если:
- На сайте установлена Yandex.Metrica или Google Analytics
- Бизнес-процессы подразумевают ввод в систему паспортных данных
- Компания имеет программу лояльности клиентов
- Собираются и хранятся мобильные телефоны клиентов
- На сайте или в офисе организации запрашиваются данные о клиенте
- Используются любые другие механизмы сбора персональных данных сотрудников, клиентов и партнеров
Защита персональных данных
под ключ
Решения для всех сегментов бизнеса от экспертов.
208 595 000 руб. - сумма штрафов, от которых мы защитили наших клиентов в рамках закона №152-ФЗ «О персональных данных"
Продукты и услуги по защите персональных данных
Персональные данные- любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам
1 этап
Подготовка документов по защите персональных данных.
1. Приказ о назначении комиссии по защите персональных данных
Настоящий приказ определяет состав комиссии, которая будет руководствоваться Положением о комиссии и контролировать выполнение законодательных требований в области защиты персональных данных. Именно данный приказ является началом процесса по приведению
Компании в соответствие требованиям закона №152-ФЗ «О персональных данных». Данный документ выпускается один раз; при изменении состава комиссии выпускается другой приказ. Настоящий приказ определяет состав комиссии, которая будет руководствоваться Положением о комиссии и контролировать выполнение законодательных требований в области защиты персональных данных.
Выполняемые требования законодательства
Ст.18.1 Федерального закона №152 «О персональных данных»
Как еще называют этот документ?
- Приказ о защите персональных данных
- Приказ о назначении комиссии по приведению в соответствие требованиям законодательства в области персональных данных
- Приказ об обработке персональных данных
- Приказ о начале обработки персональных данных
- Приказ о введении режима обработки персональных данных
- Приказ о создании комиссии по защите информации
- Приказ о проведении работ по защите персональных данных
- Приказ о создании комиссии для проведения классификации
- Приказ о создании постоянно действующей экспертной комиссии по защите информации
3. План мероприятий по защите персональных данных
Документ подготавливает Комиссия по приведению в соответствие требованиям законодательства в области персональных данных. В плане указываются мероприятия по выполнению требований закона №152-ФЗ "О персональных данных" и других нормативных документов в определенной последовательности: аудит, уведомление об обработке персональных данных, определение уровней защищенности персональных данных, разработка организационно-распорядительной документации и системы защиты персональных данных.
Как еще называют этот документ?
- План мероприятий по приведению в соответствие требованиям законодательства в области персональных данных
- План мероприятий по персональным данным
- План мероприятий по обеспечению безопасности персональных данных
- План мероприятий по обеспечению защиты персональных данных
- План мероприятий по организации защиты персональных данных
5. Перечень обрабатываемых персональных данных
Настоящий документ содержит категории субъектов персональных данных, состав обрабатываемых персональных данных, цели и основания для обработки, а также условия прекращения обработки персональных данных.
В перечне указывается информация о всех категориях субъектов персональных данных (физических лиц), чьи персональные данные обрабатываются в организации.
Этот документ является ключевым во всем процессе приведения организации в соответствие требованиям законодательства в области персональных данных.
Выполняемые требования законодательства
- ч.1, 2, 4, 5, 6, 7 ст.5; ст.8; ч.4 ст.9; ч.1 ст.10; ч.1 ст.11; ч. 2-5), 9) п.3 ст.22 Федерального закона №152 "О персональных данных"
- ст.86-87 ТК РФ
- ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
- ч.5 ст.41 Федерального закона "О прокуратуре Российской Федерации"
- абзац третий ст.1 Федерального закона № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации"
- ч.2 ст.53 Федерального закона № 126-ФЗ «О связи»
- ч.4 ст.98 Федерального закона № 273-ФЗ «Об образовании в Российской Федерации»
Как еще называют этот документ?
- Перечень персональных данных
- Перечень персональных данных, обрабатываемых в информационных системах
- Перечни персональных данных, обрабатываемых в администрации
- Перечень персональных данных, подлежащих защите
- Перечень персональных данных сотрудника
- Перечень субъектов персональных данных
- Перечень персональных данных, подлежащих защите
- Перечень ПДн
7. Согласие на обработку персональных данных
Данный документ является одним из основополагающих при выполнении требований законодательства в области персональных данных. С каждого физического лица, чьи данные вы обрабатываете, вы должны (помимо случаев, указанных в ч.1 ст.6 Федерального закона №152-ФЗ "О персональных данных") получать такое согласие в письменной форме либо в электронном виде с применением электронно-цифровой подписи. В настоящем документе устанавливается: физическое лицо, передающее персональные данные на обработку, перечень передаваемых персональных данных, перечень персональных данных, являющихся общедоступными, цель обработки персональных данных, основание для обработки персональных данных, действия (операции), совершаемые с персональными данными, третьи лица, которым поручается обработка персональных данных, срок или условие прекращения обработки персональных данных. Согласие может подписывать законный представитель субъекта персональных данных (физического лица). В случае передачи персональных данных третьим лицам необходимо получить с субъекта персональных данных согласие на передачу персональных данных третьему лицу.
Выполняемые требования законодательства
- ч.2 ст.5; п. 1) ч.1. ст.6; ст.7; ст.8; ст.9; ч.1, 3 ст.10; п.1 ч.2 ст.10; ст.11;, ст.12; ч.2 ст.15;, ч.3 ст.18; ч.3-6 ст.21 Федерального закона №152 "О персональных данных"
- ст.86-89 ТК РФ
- ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
- п.17 ч.2 ст.8; п.9 ч.2 ст.9 Федерального закона №138-ФЗ "О лотереях"
Как еще называют этот документ?
- Заявление на обработку персональных данных
- Форма согласия на обработку персональных данных
- Согласие на обработку персональных данных работника
- Согласие лица на обработку персональных данных
- Договор-согласие об обработке персональных данных
- Письменное согласие на обработку персональных данных
- Согласие законного представителя на обработку персональных данных
- Согласие на обработку персональных данных в школе
- Согласие на передачу персональных данных третьему лицу
- Согласие на обработку персональных данных на сайте
9. Технический паспорт информационных систем персональных данных
Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования. Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.
На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).
Выполняемые требования законодательства
- абзац 2 п.9, п.10 Приказа ФТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Характеристики информационной системы персональных данных
- Информация о контролируемой зоне
- Схема информационной системы персональных данных
11. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
Данным приказом назначается администратор безопасности информационных систем персональных данных и менеджер обработки персональных данных. Первый занимается вопросами безопасности персональных данных, второй организацией обработки персональных данных. Оба лица выбираются из состава Комиссии по приведению в соответствие с требованиями законодательства в области персональных данных. В качестве менеджера обработки может выступать юридическое лицо.
Выполняемые требования законодательства
- пп. 1), 6), п.1 ст.18.1, ст.22.1 Федерального закона №152 "О персональных данных"
- п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Приказ о назначении ответственного за обеспечение безопасности персональных данных
13. Инструкция лица, ответственного за организацию обработки персональных данных
Настоящий документ устанавливает обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных. Лицом, ответственным за организацию обработки персональных данных, чаще всего является специалист отдела кадров, так как в обязанности первого входит донесение требований законодательства и внутренних актов по обработке и защите персональных данных до сотрудников. Если лицом, ответственным за организацию обработки персональных данных, назначается сторонняя юридическая компания или системный интегратор, то документ будет называться не инструкцией, а положением.
В обязанности лица, ответственного за организацию обработки персональных данных, входит контроль за соблюдением правил и принципов обработки персональных данных согласно законодательству, взаимодействие с субъектами персональных данных (физическими лицами) и Роскомнадзором.
Выполняемые требования законодательства
- п. 1), 6) ч.1 ст.18.1; п.7.1) ч.3 ст.22; ст.22.1 Федерального закона №152 "О персональных данных"
Как еще называют этот документ?
- Инструкция менеджера обработки персональных данных
- Положение о лице, ответственном за организацию обработки персональных данных
15. Политика в отношении обработки персональных данных
Настоящая политика является публичным документом, поэтому в ней не указываются иные внутренние локальные акты оператора персональных данных.
Данный документ должен располагаться на сайте или в видном месте офисного помещения, в котором осуществляется прием и обслуживание субъектов персональных данных.
Если данный документ будет отсутствовать на сайте, Роскомнадзор может привлечь владельца сайта к ответственности.
Выполняемые требования законодательства
- ч.2 ст.18.1 Федерального закона №152 "О персональных данных"
Как еще называют этот документ?
- Политика обработки персональных данных
- Политика в области обработки персональных данных
17. Регламент определения уровней защищенности персональных данных
Настоящий регламент устанавливает и описывает процедуры определения уровней защищенности персональных данных, моделирования актуальных угроз безопасности персональных данных, определения ущерба и составления требований по обеспечению безопасности персональных данных.
Также регламентом описывается процедура пересмотра уровней защищенности персональных данных.
Выполняемые требования законодательства
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Правила определения уровней защищенности
- Правила классификации информационных систем персональных данных
- Правила классификации ИСПДн
2. Положение о комиссии по защите персональных данных
Настоящий документ определяет обязанности, права и ответственность Комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных. Этот документ позволит точно определить список возможных действий Комиссии и ее членов.
Именно Комиссия будет разрабатывать необходимую правовую документацию по защите персональных данных, проводить внутренние проверочные мероприятия, определять класс информационных систем обработки персональных данных и определять необходимые технические средства защиты информации.
При проведении проверок Роскомнадзора настоящий документ предъявляется, как определяющий и описывающий разрешенные действия данной Комиссии.
Как еще называют этот документ?
- Положение о комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных
- Положение о комиссии по классификации информационных систем обработки персональных данных
- Положение о комиссии по персональным данным
4. Перечень должностей и третьих лиц, допущенных к обработке персональных данных
С помощью настоящего перечня легко определить, кто имеет доступ к персональным данным. При проведении проверки Роскомнадзор будет изучать данный документ одним из первых. Помимо сотрудников, в данном документе указываются контрагенты, от которых получаются персональные данные и которым передаются персональные данные на обработку, а также приводится основание для передачи данных на обработку.
Выполняемые требования законодательства
- п.8 ч.2 ст.19, ч.3 ст.6 Федерального закона №152 "О персональных данных"
- п.6 ч.2, ст.13 ч.3 Постановления Правительства № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
- п. в) ст.13 Постановления Правительства № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Список сотрудников, имеющих доступ к персональным данным
- Перечень лиц, допущенных к обработке персональных данных
- Перечень лиц, допущенных к персональным данным
- Перечень сотрудников, допущенных к обработке персональных данных
- Перечень работников, обрабатывающих персональные данные
6. Соглашение о соблюдении безопасности персональных данных
Настоящий документ устанавливает ответственность лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчик персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных. По документу, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных, ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.
Выполняемые требования законодательства
- п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
- ст.86-87 ТК РФ
- п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
- п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Договор с контрагентом по персональным данным, Соглашение о конфиденциальности с контрагентом, Поручение на обработку персональных данных,Соглашение о соблюдении конфиденциальности персональных данных
8. Перечень средств защиты информации
Настоящий документ содержит перечень средств защиты информации, применяемых в компании. В данном перечне указываются названия средств защиты, их количество, компания-производитель, категория средства защиты и информация о наличии сертификатов ФСТЭК и ФСБ.
Выполняемые требования законодательства
- п. 3) ч.1 ст.18.1; п.2), 3) ч.2 ст.19; п.7) ч.3 ст.22 Федерального закона №152 "О персональных данных"
- Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Перечень применяемых средств защиты
- Перечень средств защиты персональных данных
- Журнал учета СЗИ
10. Перечень помещений для обработки персональных данных
Документ перечисляет адреса офисов и помещения в них, где возможна обработка персональных данных. Описываются общедоступные помещения, в которых также ведется обработка персональных данных, но доступ к которым имеет неограниченный круг лиц (зона регистрации, операционный зал и т.д.).
Выполняемые требования законодательства
- п.8.12 гл.II Приказа ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- План помещений для обработки персональных данных
- Список помещений, где обрабатываются персональные данные
- Перечень помещений, где введен режим защиты персональных данных
12. Инструкция администратора безопасности
Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных. Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.
Выполняемые требования законодательства
- ч.5 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
- ч.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Инструкция администратора безопасности персональных данных
- Инструкция администратора безопасности
- Инструкция администратора безопасности информационных систем персональных данных
14. Положение об обработке персональных данных
Настоящее положение устанавливает требования к процессам обработки персональных данных, определяет правила хранения и использования персональных данных. В положении учитываются права субъекта персональных данных и ответственность оператора персональных данных при нарушении прав субъекта. Данный документ является одним из основополагающих при соблюдении требований законодательства в области персональных данных.
Выполняемые требования законодательства
- ст.5; п.6 ч.1 ст.14; п.2) ч.1 ст.18.1; ч.3, 4 ст.21 Федерального закона №152 "О персональных данных"
- ч.6 Постановления правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
- ст.86-90 ТК РФ
Как еще называют этот документ?
- Положение об обработке персональных данных работников
- Положение о порядке обработки персональных данных
- Положение об особенностях обработки персональных данных
- Положение о хранении персональных данных
16. Положение по защите персональных данных
Данный документ необходим для установления требований, которые необходимо соблюдать для обеспечения безопасности персональных данных. В настоящем документе описаны требования к системе защиты персональных данных, порядок ее реализации.
Выполняемые требования законодательства
- п.3) ч.1 ст.18.1; ст.19 Федерального закона №152 "О персональных данных"
- Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
- Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
Как еще называют этот документ?
- Положение о защите персональных данных
- Положение об обеспечении безопасности персональных данных
- Положение по защите персональных данных работников
- Положение по защите персональных данных 2016
- Положение о защите персональных данных организации
- Положение о защите персональных данных ДОУ
18. Поручение на обработку персональных данных
Настоящий документ устанавливает ответственность третьего лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчика персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных. Согласно документу, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.
Выполняемые требования законодательства
- п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
- ст.86-87 ТК РФ
- п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
- п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Список сотрудников, имеющих доступ к персональным данным
- Перечень лиц, допущенных к обработке персональных данных
- Перечень лиц, допущенных к персональным данным
- Перечень сотрудников, допущенных к обработке персональных данных
- Перечень работников, обрабатывающих персональные данные
2 этап
Определение уровней защищенности персональных данных
1. Модель угроз безопасности персональных данных
Настоящий документ определяет актуальные угрозы безопасности персональных данных. На основании определения актуальных угроз можно снизить количество необходимых мер по обеспечению безопасности персональных данных.
Модель угроз готовится на основании информации о бизнес-процессах, ИТ-инфраструктуре и уже применяемых средств защиты, а также о допущенных к обработке сотрудников и третьих лиц.
Выполняемые требования законодательства
- п.1) п.2 ст.19 Федерального закона №152 "О персональных данных"
- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
- Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Как еще называют этот документ?
- Базовая модель угроз безопасности персональных данных
- Частная модель угроз безопасности персональных данных
- Типовая модель угроз безопасности персональных данных
3. Акт определения уровней защищенности персональных данных
Данным документом для каждой информационной системы персональных данных определяется уровень защищенности персональных данных, обрабатываемых в ней. От определенного уровня защищенности зависит количество мер по обеспечению безопасности персональных данных, которые необходимо реализовать. Чем ниже уровень защищенности, тем больше требований необходимо выполнить.
Выполняемые требования законодательства
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Акт определения уровня защищенности ИСПДн
- Акт классификации ИСПДн
- Акт классификации информационных систем персональных данных
2. Протокол определения ущерба субъекту персональных данных
Данным протоколом Комиссия по приведению в соответствие с требованиями законодательства в области персональных данных определяет возможный ущерб субъекту персональных данных из-за реализации актуальных угроз безопасности персональных данных, определенных в Модели угроз.
Выполняемые требования законодательства
- п.5) ч.1 ст.18.1 Федерального закона №152 "О персональных данных"
- ч.2 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Протокол определения вреда субъекту персональных данных
- Протокол оценки возможного вреда
- Протокол оценки возможного вреда субъектам ПДн при их обработке в ИСПДн
4. Техническое задание на систему защиты персональных данных
Техническое задание является первым шагом в построении требований к системе защиты персональных данных. Документ включает в себя описание необходимых подсистем защиты, которые должны будут нейтрализовать выявленные актуальные угрозы безопасности персональных данных и выполнить требования по обеспечению безопасности персональных данных, установленные нормативными актами для соответствующего уровня защищенности персональных данных.
Выполняемые требования законодательства
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
- Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Как еще называют этот документ?
- Техническое задание на систему защиты информации
- ТЗ на СЗПДн
3 этап
Подача Уведомления о начале обработки персональных данных
Уведомление об обработке персональных данных
Подача в Роскомнадзор Уведомления об обработке персональных данных является одним из основных требований к оператору персональных данных. При этом в Федеральном законе №152-ФЗ "О персональных данных" также прописаны случаи, при которых подача уведомления не обязательна.
По итогам получения и обработки Уведомления, Роскомнадзор включает оператора в Реестр операторов персональных данных. В случае необходимости изменения сведений в Реестре операторов персональных данных, в Роскомнадзор необходимо подать Информационное письмо о внесении изменений в сведения, содержащиеся в реестре операторов персональных данных.
Роскомнадзор требует, чтобы Уведомление об обработке персональных данных заполнялось через электронную форму на его сайте, после чего распечатывалось и отправлялось бы в соответствующий территориальный отдел Роскомнадзора.
С декабря 2016 года форма Уведомления изменилась. В нее добавились обязательные поля для указания сведений об информационных системах персональных данных и местонахождении баз данных с персональными данными.
Выполняемые требования законодательства
- ст.22 Федерального закона №152 "О персональных данных"
- Приказ Роскомнадзора №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных"
- ч.2 ст.2 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
- Приказ Минкомсвязи РФ от 28.08.2015 №315 "О внесении изменений в административный регламент федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "ведение реестра операторов, осуществляющих обработку персональных данных", утвержденный приказом министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 №346"
Как еще называют этот документ?
- Уведомление о начале обработки персональных данных
- Уведомление об обработке (о намерении осуществлять обработку) персональных данных
- Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
- Уведомление в Роскомнадзор
4 этап
Разработка организационно-распорядительной документации
1. Приказ об утверждении инструкции пользователя информационных систем персональных данных
Настоящим приказом утверждается инструкция, по которой сотрудники обязаны правильно работать с персональными данными и следить за их защитой и за работой средств защиты информации, установленными на их компьютерах
Выполняемые требования законодательства
- ст.19 Федерального закона №152 "О персональных данных"
- ст.86 ТК РФ
Как еще называют этот документ?
- Приказ об утверждении инструкции по работе с СКЗИ
- Инструкция по работе с персональными данными
- Инструкция по защите персональных данных
3. Регламент учета, хранения и уничтожения носителей персональных данных
Настоящий регламент определяет процедуры учета, хранения и уничтожения носителей персональных данных. Помимо этого, указываются возможные виды носителей персональных данных, бумажные и электронно-магнитные, и способы их уничтожения.
Выполняемые требования законодательства
- п.5) ч.2 ст.19 Федерального закона №152 "О персональных данных"
- Постановление Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
- п.8.4. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Постановление Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
- ч. б) ст.13 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Инструкция по обработке персональных данных без использования средств автоматизации
- Инструкция по работе со съемными носителями, содержащими персональные данные
- Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
- Журнал учета съемных носителей
- Порядок уничтожения носителей персональных данных
5. Регламент реагирования на запросы субъектов персональных данных
Настоящий регламент описывает последовательность действий по реагированию на запросы субъектов персональных данных. Количество возможных категорий запросов субъектов персональных данных ограниченно, каждой категории запросов в документе выделяется соответствующая глава. В приложения к данному документу представлены варианты запросов для заполнения субъектом персональных данных и журнал учета запросов субъектов персональных данных.
Приложения к документу
- Запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных
- Запрос субъекта персональных данных на предоставление доступа к своим персональным данным
- Запрос субъекта персональных данных в случае выявления недостоверных персональных данных
- Запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными
- Запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных
Выполняемые требования законодательства
- ст.14, 15, 16, 17, 18, 20 Федерального закона №152 "О персональных данных"
- ч.6 ст.1 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Как еще называют этот документ?
- Инструкция по работе с обращениями субъектов персональных данных
- Журнал учета обращений физических лиц
- Журнал регистрации запросов и обращений субъектов персональных данных
7. Регламент проведения контрольных мероприятий
Настоящий документ определяет последовательность проведения контрольных внутренних мероприятий по соответствию требованиям законодательства в области персональных данных и последовательность действий при возникновении инцидентов информационной безопасности. Помимо этого, в регламенте указываются последовательность действий по обновлению и актуализации внутренних локальных актов, касающихся обработки и защиты персональных данных.
Приложения к документу
- План внутренних проверок соблюдения требований законодательства в области персональных данных
- План пересмотра внутренних нормативных актов по персональным данным
- Журнал учета инцидентов безопасности, связанных с персональными данными
- Заявка на расследование инцидента безопасности, связанного с персональными данными
- Протокол расследования инцидента безопасности, связанного с персональными данными
- Протокол пересмотра внутренних нормативных актов по персональным данным
- Протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных
- Акт проведения расследования инцидента безопасности, связанного с персональными данными
- Акт пересмотра внутренних нормативных актов по персональным данным
- Акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных
Выполняемые требования законодательства
- п.4) ч.1 ст.18.1; п.6), 9) ч.2 ст.19; ч.4 ст.22.1 Федерального закона №152 "О персональных данных"
- п.15, 17 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- п.6 Приказа ФСТЭК №21" Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Инструкция о порядке проведения разбирательств по фактам нарушений
- Акт о проведении контрольных мероприятий
2. Инструкция пользователя информационных систем персональных данных
Данный документ устанавливает обязанности, права и ответственность пользователей информационных систем персональных данных. Так, настоящим документом закреплены требования по соблюдению политики "чистого стола", реагировании на инциденты безопасности.
Как еще называют этот документ?
- Инструкция пользователя информационной системы персональных данных
- Инструкция сотрудников, допущенных к обработке персональных данных
- Инструкция по обеспечению безопасности рабочих мест обработки персональных данных
4. Регламент допуска сотрудников и третьих лиц к обработке персональных данных
Инструкция пользователя информационных систем персональных данных
Настоящим регламентом описываются процессы по разовому и постоянному допуску сотрудников и третьих лиц к персональным данным. Также в данном документе описываются процессы по прекращению доступа к персональным данным и расширению доступа.
Выполняемые требования законодательства
- п.6 ч.2, п.13 ч.3 Постановления Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
- п.8.2. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Положение о разграничении прав доступа к персональным данным
- Матрица доступа сотрудников к персональным данным
- Матрица доступа к персональным данным
- Инструкция по доступу к персональным данным
6. Регламент резервного копирования персональных данных
Настоящим регламентом определяется последовательность резервного копирования и восстановления персональных данных при их обработке в информационных системах персональных данных. Резервные копии, содержащие персональные данные, и план резервного копирования указываются в журнале резервных копий и плане резервного копирования персональных данных.
Приложения к документу
- План резервного копирования персональных данных
- Журнал восстановления данных учета создания и использования резервных копий персональных данных
Выполняемые требования законодательства
- п.7) ч.2 ст.19 Федерального закона №152 "О персональных данных"
- п.8.11. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
- Порядок резервирования и восстановления работоспособности информационных систем
8. Регламент по трансграничной передаче данных
Настоящий документ определяет порядок осуществления трансграничной передачи персональных данных в соответствии с требованиями законодательства в области персональных данных.
Помимо этого, в регламенте описаны критерии, определяющие возможность осуществления трансграничной передачи, а также представлена информация по локализации баз данных на территории РФ.
Приложения к документу
Протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных.
Выполняемые требования законодательства
Выполняемые требования законодательства
Статья 12 Федерального закона № 152-ФЗ «О персональных данных»
Статья 2 Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Как еще называют этот документ?
- Регламент по трансграничной передаче персональных данных,
- Инструкция по трансграничной передаче персональных данных,
- Руководство по трансграничной передаче персональных данных.
Защита персональных данных онлайн
Если вы собираете, храните, используете или передаёте персональные данные, вы должны выполнять требования Федерального закона № 152-ФЗ «О персональных данных».
Пермь
Бухгалтерская компания «Константа»
Адрес: 614068, г. Пермь, ул. Петропавловская, д. 103, оф. 19/1
Эл. почта: constanta59@bk.ru
Телефоны:
8 (342) 237-08-00;
8 (342) 278-12-90
Режим работы: Пн.-Пт. с 9 до 18 часов,
перерыв на обед с 13 до 14 часов