четверг, 12 сентября 2019 г.

Документация по защите персональных данных

Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 
Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?
Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;
Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;
Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;
Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;
Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;
Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;
Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;
Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;
Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;
Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;
Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;
Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;
Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;
Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;
Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 
Какие документы нужно сделать?
правила обработки персональных данных. Может быть частью положения;
правила рассмотрения запросов субъектов персональных данных. Также часть положения;
правила осуществления внутреннего контроля. Часть положения;
правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;
перечень информационных систем персональных данных. Стоит сделать;
перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;
перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;
перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;
должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;
типовое обязательство о неразглашении. Сделайте обязательно;
типовая форма согласия на обработку персональных данных. Сделайте обязательно;
порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Валентина Михайловна Валевская. Осенний натюрморт
Вступайте в группу ВК: https://vk.com/kshudrova

4 комментария:

  1. Модель доступа к ПДн - такого раньше нигде не встречал. Обычно правила доступа включают в политику или положение по защите ПДн. Бывают частные политики/положения по допуску пользователей к ресурсам, системам.

    ОтветитьУдалить
  2. К документам по ПП 211: РКН почему то хочет видеть именно отдельные документы с таким названием. Когда оператор начинает объединять, оптимизировать все в один документ - РКН может "обнаружить" нарушение.

    ОтветитьУдалить
  3. Хорошо бы в явном виде разделить те документы, которые должны быть в бумажном виде от свидетельств выполнения мероприятий, которые могут быть в электронном виде. Я в одной из статей проводил такой анализ - если в требовании явно написано "утверждает", "подписывает", "назначает", "издает" и т.п. то это должно быть в бумажном виде. А если написано "регистрирует", "ведет учет", "определяет", "осуществляет" - то можно как бумажном, так и в электронном виде.

    ОтветитьУдалить
  4. Коллеги, а поручение на обработку ПДн - это всегда отдельный документ? Или формулировки поручения могут быть включены в договор гражданско-правового характера? Интересует, например, оформление этих взаимоотношений между страховщиком и страховыми агентами.

    ОтветитьУдалить