Действующее законодательство не содержит полного перечня документов для обработки персональных данных в организации, но примерный составить можно.
Каждый оператор самостоятельно с учетом специфики своей деятельности и способов обработки разрабатывает и утверждает пакет необходимых документов.
Ниже представлен примерный перечень документов, которые подтвердят исполнение оператором обязательные требования законодательства о персональных данных. В случае их отсутствия можно говорить о том, что деятельность оператора в части обработки персональных данных не соответствует или частично не соответствует этим требованиям.
Некоторые документы из перечня можно объединить в один. Например, политика в отношении обработки персональных данных может включать вопросы хранения и уничтожения персональных данных. Тогда отдельное положение о хранении и уничтожении не потребуется. Но по своему опыту скажу — удобнее делать отдельный документ по каждому вопросу.
Оформлять по внутренним правилам документооборота вашей организации. Важно помнить, что все локальные нормативные акты утверждаются приказами. Опять же на выбор: оформить один приказ об утверждении всех ЛНА, либо отдельным приказом утверждать каждое положение или типовую форму. Ознакомить сотрудников под подпись — само собой.
№ | Название документа | Нормативное основание |
---|---|---|
1 | Уведомление об обработке персональных данных | ч. 1 ст. 22 Закона № 152-ФЗ Форма на сайте РКН |
2 | Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных | ч. 7 ст. 22 Закона № 152-ФЗ Форма на сайте РКН |
3 | Уведомление о прекращении обработки персональных данных | ч. 7 ст. 22 Закона № 152-ФЗ Форма на сайте РКН |
4 | Уведомление о намерении осуществлять трансграничную передачу ПД | ч.3 ст. 12 Закона № 152-ФЗ Форма на сайте РКН |
5 | Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных | ч.3.1 ст. 21 Закона № 152-ФЗ Форма на сайте РКН |
6 | Перечень персональных данных, подлежащих защите | Гл. 14 Трудового кодекса РФ |
7 | Перечень сотрудников, допущенных к обработке персональных данных | Гл. 14 Трудового кодекса РФ |
8 | Должностные инструкции сотрудников, обрабатывающих персональные данные по ролям: пользователь, администратор и т. п. | Гл. 14 Трудового кодекса РФ |
9 | Положение об обработке и защите персональных данных работников. | Гл. 14 Трудового кодекса РФ |
10 | Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Только для юридических лиц | п. 1 ч. 1 ст. 18.1, ст. 22.1 Закона № 152-ФЗ |
11 | Политика в отношении обработки персональных данных. | п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ |
12 | Положение об обработке персональных данных в информационных системах с перечнем информационных систем обработки персональных данных | п. 2 ч. 2 ст. 19 Закона № 152-ФЗ |
13 | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации | п.п. 3, 8, 15 Постановления № 687 |
14 | Положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными, если применимо | ч. 7 ст. 5 Закона № 152-ФЗ |
15 | Положение о порядке хранения и уничтожения материальных носителей персональных данных | п. 13 Постановления № 687 |
16 | Правила рассмотрения обращений субъектов персональных данных | ст.18.1 Закона № 152-ФЗ |
17 | План внутренних проверок состояния и защиты персональных данных | п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ |
18 | Акт оценки вреда, который может быть причинен субъектам персональных данных | п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ п. 4. Приказа РКН № 178 |
19 | Модель угроз безопасности в информационных системах | п. 1 ч. 2 ст. 19 Закона № 152-ФЗ, п. 6 Постановления № 1119 |
20 | Журнал учета машинных носителей персональных данных | п. 5 ч. 2 ст. 19 Закона № 152-ФЗ п. 17 Постановления № 1119 |
21 | Положение об уничтожении персональных данных, акт об уничтожении персональных данных | ч. 7 ст. 21 Закона № 152-ФЗ Приказ РКН № 179 |
22 | Форма письменного согласия субъекта на обработку его персональных данных | ст. 9, ст.18.1 Закона № 152-ФЗ |
23 | Форма согласия субъекта для распространения персональных данных | ст. 10.1 Закона № 152-ФЗ |
24 | Договоры/поручения с третьими лицами, которым оператор поручает обработку персональных данных, или которым передает персональные данные, если применимо | ч. 3 ст. 6 Закона № 152-ФЗ |
У разных операторов свой перечень документов
Обратите внимание, что перечень документов зависит даже от организационной формы деятельности оператора.
Так, пункт 1 части 1 статьи 18.1 Закона № 152-ФЗ прямо указывает:
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
Это означает, что оператор-индивидуальный предприниматель, или самозанятый может не издавать приказ об ответственном лице. Хотя рекомендую это делать, т.к. в уведомлении о намерении осуществлять обработку персональных данных ответственное лицо все равно указывается.
Гораздо интереснее вопрос о необходимости издавать индивидуальными предпринимателем локальные акты по всем другим вопросам обработки персональных данных. Смотрим пункт 2 части 1 статьи 18.1 Закона № 152-ФЗ:
издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных…
Поэтому, если оператор не юридическое лицо, то такие акты издавать в силу закона не обязательно. Что странно и, возможно, это баг нормы, но закон мы читаем буквально. И буквально из него следует такой вывод.
Например, в части 2 статьи 18.1 Закона № 152-ФЗ содержится требование о публикации политики обработки ПД на сайте. Возникает вопрос: если сайт администрирует физлицо, нужно ему публиковать политику? Ведь как мы увидели выше, он не обязан ее издавать. Практику по этому вопросу не встречал, поэтому если увидите, поделитесь в канале.
Упоминаемые нормативные акты:
- Трудовой кодекс РФ, глава 14.
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства РФ от 16 января 2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»