Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации.
Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?
• Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;
• Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;
• Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;
• Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;
• Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;
• Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;
• Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
• Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
• Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;
• Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;
• Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;
• Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;
• Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;
• Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;
• Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;
• Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;
• Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.
Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось.
Какие документы нужно сделать?
• правила обработки персональных данных. Может быть частью положения;
• правила рассмотрения запросов субъектов персональных данных. Также часть положения;
• правила осуществления внутреннего контроля. Часть положения;
• правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;
• перечень информационных систем персональных данных. Стоит сделать;
• перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;
• перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;
• перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;
• должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;
• типовое обязательство о неразглашении. Сделайте обязательно;
• типовая форма согласия на обработку персональных данных. Сделайте обязательно;
• порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.
Продолжение следует...
 |
| Валентина Михайловна Валевская. Осенний натюрморт |
Вступайте в группу ВК: https://vk.com/kshudrova
Модель доступа к ПДн - такого раньше нигде не встречал. Обычно правила доступа включают в политику или положение по защите ПДн. Бывают частные политики/положения по допуску пользователей к ресурсам, системам.
ОтветитьУдалитьК документам по ПП 211: РКН почему то хочет видеть именно отдельные документы с таким названием. Когда оператор начинает объединять, оптимизировать все в один документ - РКН может "обнаружить" нарушение.
ОтветитьУдалитьХорошо бы в явном виде разделить те документы, которые должны быть в бумажном виде от свидетельств выполнения мероприятий, которые могут быть в электронном виде. Я в одной из статей проводил такой анализ - если в требовании явно написано "утверждает", "подписывает", "назначает", "издает" и т.п. то это должно быть в бумажном виде. А если написано "регистрирует", "ведет учет", "определяет", "осуществляет" - то можно как бумажном, так и в электронном виде.
ОтветитьУдалитьКоллеги, а поручение на обработку ПДн - это всегда отдельный документ? Или формулировки поручения могут быть включены в договор гражданско-правового характера? Интересует, например, оформление этих взаимоотношений между страховщиком и страховыми агентами.
ОтветитьУдалить