Документы по обработке персональных данных для операторов

|

Действующее законодательство не содержит полного перечня документов для обработки персональных данных в организации, но примерный составить можно.

Каждый оператор самостоятельно с учетом специфики своей деятельности и способов обработки разрабатывает и утверждает пакет необходимых документов.

Ниже представлен примерный перечень документов, которые подтвердят исполнение оператором обязательные требования законодательства о персональных данных. В случае их отсутствия можно говорить о том, что деятельность оператора в части обработки персональных данных не соответствует или частично не соответствует этим требованиям.

Некоторые документы из перечня можно объединить в один. Например, политика в отношении обработки персональных данных может включать вопросы хранения и уничтожения персональных данных. Тогда отдельное положение о хранении и уничтожении не потребуется. Но по своему опыту скажу — удобнее делать отдельный документ по каждому вопросу.

Оформлять по внутренним правилам документооборота вашей организации. Важно помнить, что все локальные нормативные акты утверждаются приказами. Опять же на выбор: оформить один приказ об утверждении всех ЛНА, либо отдельным приказом утверждать каждое положение или типовую форму. Ознакомить сотрудников под подпись — само собой.

Название документаНормативное основание
1Уведомление об обработке персональных данныхч. 1 ст. 22 Закона № 152-ФЗ
 
Форма на сайте РКН
2Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данныхч. 7 ст. 22 Закона № 152-ФЗ
Форма на сайте РКН
3Уведомление о прекращении обработки персональных данныхч. 7 ст. 22 Закона № 152-ФЗ
Форма на сайте РКН
4Уведомление о намерении осуществлять трансграничную передачу ПДч.3 ст. 12 Закона № 152-ФЗ
Форма на сайте РКН
5Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данныхч.3.1 ст. 21 Закона № 152-ФЗ
Форма на сайте РКН
6Перечень персональных данных, подлежащих защитеГл. 14 Трудового кодекса РФ
7Перечень сотрудников, допущенных к обработке персональных данныхГл. 14 Трудового кодекса РФ
8Должностные инструкции сотрудников, обрабатывающих персональные данные по ролям: пользователь, администратор и т. п.Гл. 14 Трудового кодекса РФ
9Положение об обработке и защите персональных данных работников.Гл. 14 Трудового кодекса РФ
10Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Только для юридических лицп. 1 ч. 1 ст. 18.1, ст. 22.1 Закона № 152-ФЗ
11Политика в отношении обработки персональных данных. п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ
12Положение об обработке персональных данных в информационных системах с перечнем информационных систем обработки персональных данныхп. 2 ч. 2 ст. 19 Закона № 152-ФЗ
13Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизациип.п. 3, 8, 15 Постановления № 687
14Положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными, если применимоч. 7 ст. 5 Закона № 152-ФЗ
15Положение о порядке хранения и уничтожения материальных носителей персональных данныхп. 13 Постановления № 687
16Правила рассмотрения обращений субъектов персональных данныхст.18.1 Закона № 152-ФЗ
17План внутренних проверок состояния и защиты персональных данныхп. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ
18Акт оценки вреда, который может быть причинен субъектам персональных данныхп. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ
п. 4. Приказа РКН № 178
19Модель угроз безопасности в информационных системахп. 1 ч. 2 ст. 19 Закона № 152-ФЗ,
п. 6 Постановления № 1119
20Журнал учета машинных носителей персональных данныхп. 5 ч. 2 ст. 19 Закона № 152-ФЗ
п. 17 Постановления № 1119
21Положение об уничтожении персональных данных, акт об уничтожении персональных данныхч. 7 ст. 21 Закона № 152-ФЗ
Приказ РКН № 179
22Форма письменного согласия субъекта на обработку его персональных данныхст. 9, ст.18.1 Закона № 152-ФЗ
23Форма согласия субъекта для распространения персональных данныхст. 10.1 Закона № 152-ФЗ
24Договоры/поручения с третьими лицами, которым оператор поручает обработку персональных данных, или которым передает персональные данные, если применимоч. 3 ст. 6 Закона № 152-ФЗ
Приблизительный перечень документов для обработки персональных данных

У разных операторов свой перечень документов

Обратите внимание, что перечень документов зависит даже от организационной формы  деятельности оператора.

Так, пункт 1 части 1 статьи 18.1 Закона № 152-ФЗ прямо указывает:

назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.

Это означает, что оператор-индивидуальный предприниматель, или самозанятый может не издавать приказ об ответственном лице. Хотя рекомендую это делать, т.к. в уведомлении о намерении осуществлять обработку персональных данных ответственное лицо все равно указывается.

Гораздо интереснее вопрос о необходимости издавать индивидуальными предпринимателем локальные акты по всем другим вопросам обработки персональных данных. Смотрим пункт 2 части 1 статьи 18.1 Закона № 152-ФЗ:

издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных…

Поэтому, если оператор не юридическое лицо, то такие акты издавать в силу закона не обязательно. Что странно и, возможно, это баг нормы, но закон мы читаем буквально. И буквально из него следует такой вывод.

Например, в части 2 статьи 18.1 Закона № 152-ФЗ содержится требование о публикации политики обработки ПД на сайте. Возникает вопрос: если сайт администрирует физлицо, нужно ему публиковать политику? Ведь как мы увидели выше, он не обязан ее издавать. Практику по этому вопросу не встречал, поэтому если увидите, поделитесь в канале.

Упоминаемые нормативные акты:

  1. Трудовой кодекс РФ, глава 14.
  2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  3. Постановление Правительства РФ от 15 сентября 2008 г.  687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  4. Постановление Правительства РФ от 1 ноября 2012 г.  1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  5. Постановление Правительства РФ от 16 января 2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
  6. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
  7. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»