Персональные данные: какие документы для их обработки нужны компаниям

Чтобы корректно работать с персональными данными и обрабатывать их без нарушений, необходимо быть осведомленными относительно требований законодательства в этой области и исполнять их надлежащим образом. В статье ниже мы изучим основные положения, которые необходимо знать для обработки ПД в 2024 году, а также приведем размеры штрафных санкций, с которыми можно столкнуться, если не учитывать установленные законом обязанности.

В 2024 году все компании и индивидуальные предприниматели, являющиеся операторами обработки персональных данных, должны:

1. Заняться организацией системы обработки ПД, их учета, хранения согласно всем положениям действующего, регулярно изменяющегося законодательства.
2. Осуществить внедрение регламентов работы с ПД.
3. Создать документы, которые нужны для корректного взаимодействия с ПД (согласно ФЗ №152 и иным подзаконным актам).
4. Внедрить систему отчетности перед РКН, которая должна функционировать на регулярной основе.

Обязательства по работе с персональными данными как внутренними (работников), так и внешними (клиенты, учащиеся, пациенты и т.д.) — это функционал, которые каждая компания или ИП должны соблюдать. Нарушения в этой части могут приводить к крупным штрафам — от 300 тысяч рублей до 18 миллионов (в зависимости от тяжести правонарушения). Теперь давайте перейдем к ответственности и ее конкретным формам.

Ответственность и штрафы по персональным данным

Ответственность за нарушение законодательства о персональных данных установлена статьей 13.11 КоАП и предусматривает следующие штрафы.

Документы для работы с персональными данными

1. Акт о выявлении нарушений в сфере защиты персональных данных
2. Акт об уничтожении машинных носителей персональных данных
3. Акт об уничтожении персональных данных
4. Акт определения необходимого уровня защищенности информационной системы персональных данных
5. Акт оценки вреда, который может быть причинен субъекту персональных данных
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
7. Журнал сдачи и приема под охрану помещений
8. Журнал учета лиц, допущенных к работе с персональными данными в информационных системах
9. Журнал учета машинных носителей персональных данных
10. Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн
11. Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ
12. Журнал учета обращений субъектов ПДн
13. Журнал учета процедур резервного копирования
14. Журнал учета средств защиты информации
15. Журнал учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными
16. Заявление о предоставлении выписки из реестра операторов
17. Инструкция администратора информационной безопасности
18. Инструкция ответственного за организацию обработки персональных данных
19. Инструкция по применению антивирусных средств защиты
20. Инструкция по работе с машинными носителями, содержащими персональные данные
21. Инструкция по учету лиц, допущенных к работе с персональными данными
22. Инструкция по физической охране и контролю доступа в помещения
23. Инструкция работников обслуживающих информационные системы персональных данных
24. Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными
25. Лист ознакомления
26. Матрица доступа к ИСПДн
27. Обязательство о неразглашении персональных данных работников
28. Отзыв согласия на обработку персональных данных
29. Отказ от согласия на обработку персональных данных
30. План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн
31. Политика конфиденциальности персональных данных пользователей сайта
32. Политика оператора в отношении обработки персональных данных
33. Положение о комиссии по обеспечению безопасности персональных данных
34. Положение о парольной защите при обработке персональных данных
35. Положение о порядке уничтожения персональных данных
36. Положение об обработке персональных данных
37. Положение об организации видеонаблюдения
38. Положение об ответственности работников, допущенных к обработке персональных данных
39. Правила выявления инцидентов информационной безопасности информационных систем персональных данных
40. Правила оборудования помещений используемых для обработки персональных данных
41. Правила оценки вреда, который может быть причинен субъекту персональных данных
42. Правила рассмотрения обращений субъектов персональных данных
43. Приказ о назначении администратора информационной безопасности
44. Приказ о назначении ответственного за организацию обработки персональных данных
45. Приказ о создании комиссии по уничтожению персональных данных
46. Приказ об утверждении комиссии по обеспечению безопасности персональных данных
47. Приказ об утверждении локальных нормативных актов
48. Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей
49. Приказ об утверждении политики оператора в отношении обработки персональных данных
50. Протокол заседания комиссии по обеспечению безопасности персональных данных
51. Регламент резервного копирования и восстановления информации в ИСПДн
52. Согласие на обработку персональных данных
53. Согласие на обработку персональных данных несовершеннолетнего
54. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения
55. Согласие на передачу персональных данных работника третьей стороне
56. Согласие на получение персональных данных от третьих лиц
57. Согласие сотрудника на осуществление видеонаблюдения на рабочем месте
58. Уведомление о намерении осуществлять обработку персональных данных
59. Уведомление о прекращении обработки персональных данных
60. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Обращаем ваше внимание, что приведенный перечень документов — не является исчерпывающим и может видоизменяться в зависимости от специфики вашей деятельности и целей обработки персональных данных. Поэтому каждый случай необходимо разбирать в индивидуальном порядке.

Вы можете поручить вопрос корректного взаимодействия с персональными данными экспертам юридических компаний, которые профилируются на этой теме. Они подготовят для вас необходимый пакет документов, проведут регистрационные действия в РКН и подробно проконсультируют по любым вопросам в части ПД.

Рекомендуем не затягивать с исполнением обязанности и не дожидаться крупных штрафов, о доверить решение вопроса профессионалам.