Какие документы нужны для обработки персональных данных

Требования закона к обработке персональных данных

Федеральный закон от 27.07.2006 152-ФЗ «О персональных данных» (далее — 152-ФЗ) обязывает любого оператора персональных данных (ПДн) принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

Существует распространенное заблуждение, что оператором ПДн являются только те организации, кто направил в Роскомнадзор соответствующее уведомление, но с точки зрения закона это совсем не так. Исходя из законодательного определения, любое юридическое лицо с момента своего создания фактически начинает обработку персональных данных своих учредителей, членов руководящих органов и т.д.

Ранее в законе содержался ряд исключений, позволявших не подавать в Роскомнадзор уведомление об обработке ПДн, но в настоящее время практически все такие исключения утратили свою силу. Ответственность за ненаправление уведомления в Роскомнадзор была кратно увеличена и теперь составляет от 100 000 до 300 000 рублей для юридического лица.

По сути, никакого исчерпывающего перечня внутренних документов не существует, но есть нормы закона и подзаконных актов, которые подразумевают принятие оператором ПДн таких внутренних документов.

В статьях 18.1 и 19 152-ФЗ закреплен перечень обязанностей любого оператора ПДн, а выполнение этих обязанностей должно подтверждаться соответствующими документами в случае проверки уполномоченным государственным органом (Роскомнадзор).

Перечень документов

На основании анализа нормативных правовых актов и сложившейся практики, можно сформулировать примерный (!) минимальный перечень внутренних документов оператора ПДн:

1. Бланк согласия на обработку персональных данных (ч. 4 ст. 9 ФЗ о ПДн);
2. Бланк согласия на распространение персональных данных (ст. 10.1 ФЗ о ПДн, Приказ Роскомнадзора 18);
3. Приказ о назначении лица, ответственного за организацию обработки персональных данных + инструкция ответственного;
4. Приказ о допуске работников к обработке персональных данных;
5. Приказ о допуске работников в защищаемые помещения (может быть объединен с приказом о допуске к обработке);
6. Инструкция пользователя информационной системы персональных данных;
7. Инструкция по проведению антивирусного контроля;
8. Положение об обработке персональных данных + приказ об утверждении, ведомость ознакомления работников, обязательства работников о неразглашении конфиденциальной информации;
9. Политика в отношении обработки персональных данных + приказ об утверждении (можно без приказа);
10. Документы о поставке и применении технических средств защиты информации (разрабатываются совместно с поставщиком технических средств): договор оказания услуг по технической защите информации; модель угроз; техническое задание на установку технических средств защиты информации; копии лицензий на осуществление деятельности по технической защите информации и сертификатов соответствия на применяемые технические средства; акт установки технических средств защиты; акт проверки готовности и соответствия системы обязательным требованиям; приказ о вводе информационной системы персональных данных в эксплуатацию; журнал учета криптографических ключей;
11. Приказ о назначении комиссии по определению уровня защищенности персональных данных в информационной системе персональных данных + Акт определения уровня защищенности (при невозможности создать комиссию — акт ответственного за организацию обработки персональных данных) (Постановление Правительства 1119);
12. Акт оценки возможного вреда субъектам персональных данных (Приказ Роскомнадзора 178);
13. План внутренних проверок безопасности персональных данных и уровня защищенности информационных систем;
14. Журнал учета мероприятий по контролю безопасности персональных данных;
15. Журнал учета машинных носителей персональных данных;
16. Журнал учета обращений субъектов персональных данных;
17. Акты уничтожения персональных данных (Приказ Роскомнадзора 179);
18. Журнал ознакомления работников с положениями законодательства и локальными актами по вопросам обработки персональных данных (+ возможны также документы о прохождении сотрудниками обучения в специализированных организациях);
19. Журнал учета посетителей (не обязателен, но при организации пропускного режима или необходимости учета посетителей может вестись) (Постановление Правительства 687);
20. Уведомление об обработке персональных данных + информационные сообщения о внесении изменений в ранее направленное уведомление (заполняется на сайте Роскомнадзора).

Что важно учесть при подготовке документов по ПДн

Утвержденных бланков перечисленных в перечне документов нет, но к некоторым из них установлены требования к содержанию, которые нужно учитывать при их составлении.

Повторимся, что этот перечень примерный, в зависимости от характера деятельности организации может возникнуть необходимость разработки и иных внутренних документов по вопросам обработки ПДн, например, положения об обезличивании ПДн, дополнительных приказов и инструкций при наличии структурных подразделений у организации и т.д.

Первоочередными документами для любой организации являются политика обработки ПДн, которая должна быть опубликована на своем сайте или страницах в социальных сетях, а также уведомление об обработке ПДн, направляемое в Роскомнадзор. За отсутствие этих документов прямо предусмотрена административная ответственность по ст. 13.11 КоАП РФ. Остальные же документы нужны при проверке Роскомнадзора.

Уведомление в Роскомнадзор направляется один раз, а потом при необходимости в него вносятся изменения. Никакой специальной отчетности в Роскомнадзор для операторов ПДн не предусмотрено.

Можно заранее узнать о том, что именно будет проверять Роскомнадзор, ознакомившись с ведомственным Приказом от 24.12.2021 253, в котором сформулирован перечень обязательных требований, подлежащих государственному контролю.