Какие документы нужны для организации защиты персональных данных? Образцы бумаг
Сегодня, когда нужная информация распространяется молниеносно через социальные сети, государственные органы и общественность стали обращать пристальное внимание на защиту конфиденциальности участников этого процесса.
В России данный вопрос также не остался без внимания. Контроль за соблюдением Федерального закона №152-ФЗ «О персональных данных» (далее по тексту – Закон) был особенно ужесточен в последнее время.
Скрыть содержание
- Какие документы нужны в организации, работающей с массивами?
- Определение и содержание: как написать?
Техническое задание Инструкция План мероприятий Акт проверки состояния Соглашение, согласие, заявление План внутренних проверок состояния системы Предписание о разработке Иск за моральный вред ДоговорКакие документы нужны в организации, работающей с массивами?
Условно подобного рода документацию можно распределить по 3 направлениям:
- Организационного характера: положение, приказы, письма.
- Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
- Методического свойства: например, правила обработки персональных данных.
Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.
Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.
Обязательный перечень
Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:
- техническое задание, инструкция или положение о порядке обработки данных;
- план мероприятий по обеспечению информационной безопасности;
- соглашение (согласие, заявление) на обработку сведений о владельце;
- приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.
Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.
О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.
Дополнительный список
К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.
Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.
Определение и содержание: как написать?
Техническое задание
Техническое задание – это первый этап в создании самостоятельной системы защиты конфиденциальных сведений на предприятии. В нем указывается обычно техническое описание элементов охраны.При составлении тех задания нужно четко понимать цели компании в сфере обработки персональных данных. Очевидно, что техзадание одного из основных сотовых операторов на российском рынке телекоммуникаций будет в корне отличаться от техзадания маленькой турфирмы, обрабатывающей документы десяти – двадцати человек в месяц. В то же время в техническом задании должны быть учтены все требования Закона.
Содержание технического задания:
- общая информация о проекте;
- назначение и цели проектирования;
- характеристики объекта;
- требования к проекту в целом;
- требования к подсистемам;
- состав и содержание выполняемых работ по проекту;
- порядок контроля и приемки проекта;
- требования к содержанию мероприятий по вводу проекта в действие.
Скачать образец технического задания для создания системы защиты персональных данных
Инструкция
В инструкции указываются конкретные действия компании для обеспечения сохранности конфиденциальной информации, в том числе и технические алгоритмы (пропускная система, внедрение паролей и уровней доступа, защита от кибератак, программное обеспечение и локализация серверов и т.д.).
Зачастую крупные компании, обладающие крупными массивами накопленных персональных данных, такие как банки, сотовые операторы, авиакомпании, органы статистики, налоговой, подвергаются нападениям хакеров, старающихся взломать систему защиты и получить доступ к паролям и финансовому положению клиентов компаний. Поэтому подобный документ имеет первостепенное значение для указанных организаций.
Например, страховое общество может добавить в такую инструкцию:
- нормы о целях защиты персональных данных застрахованных лиц;
- определить список документов, в которых имеются персональные данные (анкета заявителя, номера его телефонов, копия паспорта, технического паспорта на автомобиль, правоустанавливающие документы на квартиру или дом и т.д.);
- указать работников, которые имеют доступ к таким данным и ответственны за их разглашение и т.д.;
- описать режим и порядок работы с персональными данными клиентов (как их собирать, обрабатывать, хранить и уничтожать).
Содержание инструкции:
- общие положения;
- понятия и определения;
- условия и порядок обработки информации;
- меры по защите;
- перечень организационных и технических документов;
- приложения в виде образцов типовых документов: приказы, договора, форма согласия на обработку данных.
- Скачать бланк инструкции по защите персональных данных
- Скачать образец инструкции по защите персональных данных
Пошаговую инструкцию по реализации защиты персональных данных в различных организациях мы привели в отдельном материале.
План мероприятий
Если какой-либо банк, обладающий тысячами документов со служебными сведениями своих клиентов, будет налаживать или совершенствовать систему защиты, то потребуется составить подробный перечень всех действий. И указать сроки их выполнения. То есть представить на утверждение правления многоступенчатую систему защиты информации. При этом совокупность мероприятий будет подразделяться на организационную и техническую деятельность.
Содержание плана мероприятий:
- ссылка на документ, которым был утвержден план;
- перечень мероприятий, с указанием сроков, ответственных лиц и отметки об исполнении.
- Скачать бланк плана мероприятий по защите персональных данных
- Скачать образец плана мероприятий по защите персональных данных
Акт проверки состояния
Дополнительный документ, составляемый при разработке положения или инструкции об организации защиты персональных данных.
Составителям инструкции рекомендуется сначала проверить систему в компании на текущий период, проанализировать допущенные ошибки, а затем учесть их при разработке инструкции.Содержание акта:
- сведения о должностном лице, утверждающем акт;
- вводная часть: описание оснований для проверки;
- объекты проверки;
- текущее состояние защиты конфиденциальных сведений;
- выявленные нарушения;
- необходимые меры защиты.
- Скачать бланк акта проверки состояния защиты персональных данных
- Скачать образец акта проверки состояния защиты персональных данных
Соглашение, согласие, заявление
Соглашение, заявление на защиту и обработку персональных данных – один из важнейших документов. Его необходимость определена в силу положений части 1 статьи 9 Закона. Только имея такое согласие, оператор, обрабатывающий сведений, может защитить себя впоследствии от обвинений в несанкционированном доступе к конфиденциальной информации.
На заявлении должна быть проставлена подпись владельца персональных данных. Можно также получить согласие через интернет, путем заполнения специальной формы на сайте компании. Указанное согласие лучше всего подписывать взаимосвязано с договором на защиту и обработку персональных данных.
В этом случае при подписании подобного документа компания, получающая доступ к информации о заявителе, почти гарантированно получает иммунитет от юридического преследования при обработке. Необходимо только постараться детально описать всевозможные эксцессы, вследствие которых сохранность сведений о клиенте может оказаться под угрозой.
Содержание согласия:
- Ф.И.О. лица, дающего согласие;
- определение персональных данных;
- выражение согласия на обработку;
- подпись лица.
- Скачать бланк соглашения на обработку персональных данных
- Скачать образец соглашения на обработку персональных данных
План внутренних проверок состояния системы
Для постоянного контроля за защитой конфиденциальных данных требуется периодически проверять систему защиты на предприятии. С этой целью рекомендуется разработать план проведения проверок, в том числе плановых и внеплановых, для выявления «слабых звеньев» в системе защиты.
Содержание плана:
- ссылка на документ, которым был утвержден план;
- перечень мероприятий, с указанием сроков, ответственных лиц и отметки об исполнении.
- Скачать бланк плана внутренних проверок состояния защиты персональных данных
- Скачать образец плана внутренних проверок состояния защиты персональных данных
Предписание о разработке
Документ является информирующим актом, в котором указывается, что компания является оператором обработки персональных данных и подпадает под требования Закона. В связи с этим, на предприятии требуется обеспечить создание системы защиты персональных данных.
Содержание предписания:
- указание получателя предписания;
- обоснование необходимости защиты конфиденциальных сведений по законодательству;
- контактная информация;
- подпись должностного лица.
- Скачать бланк предписания о разработке системы защиты персональных данных
- Скачать образец предписания о разработке системы защиты персональных данных
Иск за моральный вред
Составляется иск по правилам общего искового производства. Например, если газета или другое печатное издание, публикуя сведения о происшествиях в школе, укажет имена и класс обучения учеников без согласия их законных представителей, то это будет основанием для подачи иска об устранении нарушений закона о защите персональных данных и возмещении морального ущерба.
Содержание искового заявления:
- указание на суд, определение истца, ответчика и третьих лиц;
- описание ситуации;
- ссылка на нормы законодательства, которые были нарушены;
- ссылка на доказательства своих требований;
- просьба о вынесении судебного решения;
- подпись заявителя;
- перечень прилагаемых документов.
- Скачать бланк искового заявления о незаконном использовании персональных данных и взыскании компенсации за моральный вред
- Скачать образец искового заявления о незаконном использовании персональных данных и взыскании компенсации за моральный вред
Из наших отдельных публикаций вы также сможете узнать о том, что такое политика обработки и защиты ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.Договор
В системе защиты персональных данных важно заручиться согласием владельцев конфиденциальных сведений и лиц, обрабатывающих эти сведения. Все юридические детали подобного согласия, процедуры его получения и возможной ответственности за утечку сведений лучше заранее оговорить в специальном договоре.
Содержание договора:
- преамбула;
- общие положения;
- права и обязанности сторон;
- гарантии, форс-мажор и иные условия;
- подписи и печати сторон;
- приложения к договору.
- Скачать бланк договора об обработке персональных данных
- Скачать образец договора об обработке персональных данных
В случае, когда предприятие в связи со своей основной деятельностью не может отнести обработку персональных данных к исключениям, указанным в ст. 1 и 22 Закона, оно обязано предоставить все необходимые документы в Роскомнадзор. Только тогда требования законодательства будут считаться выполненными, и при проведении проверки на компанию не будет наложен штраф.