Какие документы нужны для организации защиты персональных данных? Образцы бумаг

Сегодня, когда нужная информация распространяется молниеносно через социальные сети, государственные органы и общественность стали обращать пристальное внимание на защиту конфиденциальности участников этого процесса.

В России данный вопрос также не остался без внимания. Контроль за соблюдением Федерального закона №152-ФЗ «О персональных данных» (далее по тексту – Закон) был особенно ужесточен в последнее время.

Скрыть содержание

Какие документы нужны в организации, работающей с массивами?

Условно подобного рода документацию можно распределить по 3 направлениям:

  • Организационного характера: положение, приказы, письма.
  • Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
  • Методического свойства: например, правила обработки персональных данных.

Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.

Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.

Обязательный перечень

Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:

  1. техническое задание, инструкция или положение о порядке обработки данных;
  2. план мероприятий по обеспечению информационной безопасности;
  3. соглашение (согласие, заявление) на обработку сведений о владельце;
  4. приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.

Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.

О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.

Дополнительный список

К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.

Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.

Определение и содержание: как написать?

Техническое задание

Техническое задание – это первый этап в создании самостоятельной системы защиты конфиденциальных сведений на предприятии. В нем указывается обычно техническое описание элементов охраны.

При составлении тех задания нужно четко понимать цели компании в сфере обработки персональных данных. Очевидно, что техзадание одного из основных сотовых операторов на российском рынке телекоммуникаций будет в корне отличаться от техзадания маленькой турфирмы, обрабатывающей документы десяти – двадцати человек в месяц. В то же время в техническом задании должны быть учтены все требования Закона.

Содержание технического задания:

  1. общая информация о проекте;
  2. назначение и цели проектирования;
  3. характеристики объекта;
  4. требования к проекту в целом;
  5. требования к подсистемам;
  6. состав и содержание выполняемых работ по проекту;
  7. порядок контроля и приемки проекта;
  8. требования к содержанию мероприятий по вводу проекта в действие.

Скачать образец технического задания для создания системы защиты персональных данных

Инструкция

В инструкции указываются конкретные действия компании для обеспечения сохранности конфиденциальной информации, в том числе и технические алгоритмы (пропускная система, внедрение паролей и уровней доступа, защита от кибератак, программное обеспечение и локализация серверов и т.д.).

Зачастую крупные компании, обладающие крупными массивами накопленных персональных данных, такие как банки, сотовые операторы, авиакомпании, органы статистики, налоговой, подвергаются нападениям хакеров, старающихся взломать систему защиты и получить доступ к паролям и финансовому положению клиентов компаний. Поэтому подобный документ имеет первостепенное значение для указанных организаций.

Например, страховое общество может добавить в такую инструкцию:

  1. нормы о целях защиты персональных данных застрахованных лиц;
  2. определить список документов, в которых имеются персональные данные (анкета заявителя, номера его телефонов, копия паспорта, технического паспорта на автомобиль, правоустанавливающие документы на квартиру или дом и т.д.);
  3. указать работников, которые имеют доступ к таким данным и ответственны за их разглашение и т.д.;
  4. описать режим и порядок работы с персональными данными клиентов (как их собирать, обрабатывать, хранить и уничтожать).

Содержание инструкции:

  • общие положения;
  • понятия и определения;
  • условия и порядок обработки информации;
  • меры по защите;
  • перечень организационных и технических документов;
  • приложения в виде образцов типовых документов: приказы, договора, форма согласия на обработку данных.

Пошаговую инструкцию по реализации защиты персональных данных в различных организациях мы привели в отдельном материале.

План мероприятий

Если какой-либо банк, обладающий тысячами документов со служебными сведениями своих клиентов, будет налаживать или совершенствовать систему защиты, то потребуется составить подробный перечень всех действий. И указать сроки их выполнения. То есть представить на утверждение правления многоступенчатую систему защиты информации. При этом совокупность мероприятий будет подразделяться на организационную и техническую деятельность.

Содержание плана мероприятий:

  1. ссылка на документ, которым был утвержден план;
  2. перечень мероприятий, с указанием сроков, ответственных лиц и отметки об исполнении.

Акт проверки состояния

Дополнительный документ, составляемый при разработке положения или инструкции об организации защиты персональных данных.

Составителям инструкции рекомендуется сначала проверить систему в компании на текущий период, проанализировать допущенные ошибки, а затем учесть их при разработке инструкции.

Содержание акта:

  1. сведения о должностном лице, утверждающем акт;
  2. вводная часть: описание оснований для проверки;
  3. объекты проверки;
  4. текущее состояние защиты конфиденциальных сведений;
  5. выявленные нарушения;
  6. необходимые меры защиты.

Соглашение, согласие, заявление

Соглашение, заявление на защиту и обработку персональных данных – один из важнейших документов. Его необходимость определена в силу положений части 1 статьи 9 Закона. Только имея такое согласие, оператор, обрабатывающий сведений, может защитить себя впоследствии от обвинений в несанкционированном доступе к конфиденциальной информации.

На заявлении должна быть проставлена подпись владельца персональных данных. Можно также получить согласие через интернет, путем заполнения специальной формы на сайте компании. Указанное согласие лучше всего подписывать взаимосвязано с договором на защиту и обработку персональных данных.

В этом случае при подписании подобного документа компания, получающая доступ к информации о заявителе, почти гарантированно получает иммунитет от юридического преследования при обработке. Необходимо только постараться детально описать всевозможные эксцессы, вследствие которых сохранность сведений о клиенте может оказаться под угрозой.

Содержание согласия:

  1. Ф.И.О. лица, дающего согласие;
  2. определение персональных данных;
  3. выражение согласия на обработку;
  4. подпись лица.

План внутренних проверок состояния системы

Для постоянного контроля за защитой конфиденциальных данных требуется периодически проверять систему защиты на предприятии. С этой целью рекомендуется разработать план проведения проверок, в том числе плановых и внеплановых, для выявления «слабых звеньев» в системе защиты.

Содержание плана:

  1. ссылка на документ, которым был утвержден план;
  2. перечень мероприятий, с указанием сроков, ответственных лиц и отметки об исполнении.

Предписание о разработке

Документ является информирующим актом, в котором указывается, что компания является оператором обработки персональных данных и подпадает под требования Закона. В связи с этим, на предприятии требуется обеспечить создание системы защиты персональных данных.

Содержание предписания:

  1. указание получателя предписания;
  2. обоснование необходимости защиты конфиденциальных сведений по законодательству;
  3. контактная информация;
  4. подпись должностного лица.

Иск за моральный вред

Составляется иск по правилам общего искового производства. Например, если газета или другое печатное издание, публикуя сведения о происшествиях в школе, укажет имена и класс обучения учеников без согласия их законных представителей, то это будет основанием для подачи иска об устранении нарушений закона о защите персональных данных и возмещении морального ущерба.

Содержание искового заявления:

  1. указание на суд, определение истца, ответчика и третьих лиц;
  2. описание ситуации;
  3. ссылка на нормы законодательства, которые были нарушены;
  4. ссылка на доказательства своих требований;
  5. просьба о вынесении судебного решения;
  6. подпись заявителя;
  7. перечень прилагаемых документов.
Из наших отдельных публикаций вы также сможете узнать о том, что такое политика обработки и защиты ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.

Договор

В системе защиты персональных данных важно заручиться согласием владельцев конфиденциальных сведений и лиц, обрабатывающих эти сведения. Все юридические детали подобного согласия, процедуры его получения и возможной ответственности за утечку сведений лучше заранее оговорить в специальном договоре.

Содержание договора:

  1. преамбула;
  2. общие положения;
  3. права и обязанности сторон;
  4. гарантии, форс-мажор и иные условия;
  5. подписи и печати сторон;
  6. приложения к договору.

В случае, когда предприятие в связи со своей основной деятельностью не может отнести обработку персональных данных к исключениям, указанным в ст. 1 и 22 Закона, оно обязано предоставить все необходимые документы в Роскомнадзор. Только тогда требования законодательства будут считаться выполненными, и при проведении проверки на компанию не будет наложен штраф.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий