Оператор персональных данных – это любая компания, индивидуальный предприниматель или физическое лицо, которые собирают, хранят, передают или иным образом обрабатывают персональные данные на территории Российской Федерации.
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ ˮО персональных данныхˮ с изменениями от 01.09.2022 практически все компании должны уведомить Роскомнадзор об обработке персональных данных и, соответственно, внести о себе сведения в реестр операторов персональных данных.
Не нужно уведомлять Роскомнадзор об обработке персональных данных только в трех случаях:
- если обрабатываемые персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если персональные данные обрабатываются без использования средств автоматизации (то есть без компьютеров, ноутбуков, планшетов, телефонов, только на бумаге от руки);
- если персональные данные обрабатываются в целях обеспечения транспортной безопасности Российской Федерации.
Во всех остальных случаях компании обязаны внести сведения об операторе персональных данных в реестр, уведомив Роскомнадзор об обработке.
Однако, это еще не все. После внесения в реестр операторов персональных данных на каждого оператора возлагается определенная ответственность по правильной и законной организации обработки персональных данных. Что, прежде всего, предполагает наличие у каждого оператора персональных данных специального комплекта документов.
Каждому оператору персональных данных необходимо иметь в наличии следующие документы:
- Согласие на обработку персональных данных;
- Приказ о назначении ответственного за обработку;
- Политика обработки персональных данных;
- Согласие на обработку персональных данных, разрешенных субъектом для распространения;
- Информированное согласие пользователя сайта;
- Положение об обработке и защите персональных данных;
- Последствия отказа предоставить персональные данные;
- Соглашение о неразглашении информации, содержащей персональные данные;
- Перечень форм, содержащих персональные данные;
- Правила рассмотрения запросов субъектов персональных данных;
- Правила осуществления внутреннего контроля;
- Модель угроз безопасности;
- Договор поручения на обработку персональных данных;
- Приказ о назначении ответственного за безопасность персональных данных;
- Приказ о хранении бумажных носителей персональных данных;
- Приказ об утверждении перечня персональных данных;
- Приказ о допуске к обработке персональных данных;
- Приказ об утверждении перечня ИСПДн;
- Приказ об определении контролируемой территории;
- Инструкция ответственного за организацию обработки персональных данных;
- Инструкция ответственного за обеспечение безопасности персональных данных;
- Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
- Инструкция по проведению инструктажа допущенных к работе в ИСПДн;
- Инструкция пользователя ИСПДн;
- Инструкция по учёту и хранению съёмных носителей;
- Инструкция по резервному копированию и восстановлению;
- Инструкция по организации антивирусной защиты в ИСПДн;
- Инструкция пользователя при возникновении нештатной ситуации;
- Журнал учета запросов субъектов персональных данных;
- Журнал учета съемных носителей, содержащих персональные данные;
- Журнал учета прохождения первичного инструктажа;
- Журнал регистрации нарушения и восстановления работоспособности;
- Журнал учета прав доступа к ИСПДн;
- Журнал учета средств защиты информации;
- Журнал учета проверок контролирующими органами;
- Форма запроса о наличии и ознакомлении с персональными данными;
- Форма запроса на уточнение персональных данных;
- Форма запроса на уничтожение персональных данных;
- Форма запроса на блокирование персональных данных;
- Форма запроса с отзывом согласия на обработку персональных данных;
- Форма уведомления об устранении неправомерных действий с персональными данными;
- Форма уведомления об отказе внесения изменений в персональные данные субъекта;
- Форма уведомления органа по защите прав субъектов персональных данных;
- Акт определения уровня защищенности персональных данных;
- Акт оценки потенциального вреда субъектам персональных данных;
- Акт об уничтожении персональных данных.
Специалисты по персональным данным группы компаний Объединенные Юристы обладают большим опытом в разработке пакета документов для оператора персональных данных и всегда готовы Вам в этом помочь.
https://m.ulc.ru/vnesenie-v-reestr-operatorov-personalnyh-dannyh/
Гольская Екатерина,
юрист, специалист по лицензированию
группы Объединённые Юристы.