Опубликовано

Какие документы должны быть у каждого оператора персональных данных?

Оператор персональных данных – это любая компания, индивидуальный предприниматель или физическое лицо, которые собирают, хранят, передают или иным образом обрабатывают персональные данные на территории Российской Федерации.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ ˮО персональных данныхˮ с изменениями от 01.09.2022 практически все компании должны уведомить Роскомнадзор об обработке персональных данных и, соответственно, внести о себе сведения в реестр операторов персональных данных.

Не нужно уведомлять Роскомнадзор об обработке персональных данных только в трех случаях:

  1. если обрабатываемые персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  2. если персональные данные обрабатываются без использования средств автоматизации (то есть без компьютеров, ноутбуков, планшетов, телефонов, только на бумаге от руки);
  3. если персональные данные обрабатываются в целях обеспечения транспортной безопасности Российской Федерации.

Во всех остальных случаях компании обязаны внести сведения об операторе персональных данных в реестр, уведомив Роскомнадзор об обработке.

Однако, это еще не все. После внесения в реестр операторов персональных данных на каждого оператора возлагается определенная ответственность по правильной и законной организации обработки персональных данных. Что, прежде всего, предполагает наличие у каждого оператора персональных данных специального комплекта документов.

Каждому оператору персональных данных необходимо иметь в наличии следующие документы:

  1. Согласие на обработку персональных данных;
  2. Приказ о назначении ответственного за обработку;
  3. Политика обработки персональных данных;
  4. Согласие на обработку персональных данных, разрешенных субъектом для распространения;
  5. Информированное согласие пользователя сайта;
  6. Положение об обработке и защите персональных данных;
  7. Последствия отказа предоставить персональные данные;
  8. Соглашение о неразглашении информации, содержащей персональные данные;
  9. Перечень форм, содержащих персональные данные;
  10. Правила рассмотрения запросов субъектов персональных данных;
  11. Правила осуществления внутреннего контроля;
  12. Модель угроз безопасности;
  13. Договор поручения на обработку персональных данных;
  14. Приказ о назначении ответственного за безопасность персональных данных;
  15. Приказ о хранении бумажных носителей персональных данных;
  16. Приказ об утверждении перечня персональных данных;
  17. Приказ о допуске к обработке персональных данных;
  18. Приказ об утверждении перечня ИСПДн;
  19. Приказ об определении контролируемой территории;
  20. Инструкция ответственного за организацию обработки персональных данных;
  21. Инструкция ответственного за обеспечение безопасности персональных данных;
  22. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
  23. Инструкция по проведению инструктажа допущенных к работе в ИСПДн;
  24. Инструкция пользователя ИСПДн;
  25. Инструкция по учёту и хранению съёмных носителей;
  26. Инструкция по резервному копированию и восстановлению;
  27. Инструкция по организации антивирусной защиты в ИСПДн;
  28. Инструкция пользователя при возникновении нештатной ситуации;
  29. Журнал учета запросов субъектов персональных данных;
  30. Журнал учета съемных носителей, содержащих персональные данные;
  31. Журнал учета прохождения первичного инструктажа;
  32. Журнал регистрации нарушения и восстановления работоспособности;
  33. Журнал учета прав доступа к ИСПДн;
  34. Журнал учета средств защиты информации;
  35. Журнал учета проверок контролирующими органами;
  36. Форма запроса о наличии и ознакомлении с персональными данными;
  37. Форма запроса на уточнение персональных данных;
  38. Форма запроса на уничтожение персональных данных;
  39. Форма запроса на блокирование персональных данных;
  40. Форма запроса с отзывом согласия на обработку персональных данных;
  41. Форма уведомления об устранении неправомерных действий с персональными данными;
  42. Форма уведомления об отказе внесения изменений в персональные данные субъекта;
  43. Форма уведомления органа по защите прав субъектов персональных данных;
  44. Акт определения уровня защищенности персональных данных;
  45. Акт оценки потенциального вреда субъектам персональных данных;
  46. Акт об уничтожении персональных данных.

Специалисты по персональным данным группы компаний Объединенные Юристы обладают большим опытом в разработке пакета документов для оператора персональных данных и всегда готовы Вам в этом помочь.

https://m.ulc.ru/vnesenie-v-reestr-operatorov-personalnyh-dannyh/

Гольская Екатерина,

юрист, специалист по лицензированию

группы Объединённые Юристы.