Перечень локально-распорядительных документов, регламентирующих деятельность оператора (государственные и муниципальные органы, юридические и физические лица) при обработке персональных данных

1. Приказ, копия протокола о назначении уполномоченного представителя юридического лица/ИП. Устав или Положение юридического лица.

2. Договоры   оператора   с третьими   лицами  на обработку   персональных данных. Например: с банком, социальное страхование и т.п. Наличие в договоре перечня действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требований к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона (ч. 3 ст. 6; ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

3. Документы по обработке персональных данных без использования средств автоматизации (Постановление Правительства Российской    Федерации    от 15.09.2008  № 687 «Об утверждении  Положения  об особенностях   обработки персональных    данных, осуществляемой  без использования    средств автоматизации»)

3.1. Соблюдение правил фиксации на одном материальном носителе персональных данных - цель обработки должна быть совместима (п. 5);

3.2. Документы, подтверждающие информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации. Документы должны содержать: категории персональных данных, особенности и правила осуществления обработки в соответствии с установленными нормативно- правовыми актами, а также локальными правовыми актами организации при их наличии (п. 6);

3.3. Типовые формы документов, предполагающих включение персональных данных: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы  (п. 7);

3.4.  Журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях. Необходимость ведения журнала устанавливается Актом оператора, содержащим: цель, способы фиксации и состав информации, перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение журнала и сохранность, сроки обработки персональных данных, сведения о порядке пропуска на территорию и т.п.  (п. 8);

3.5.  Осмотр мест хранения персональных данных (материальных носителей); утвержденный перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13);

3.6. Соблюдение оператором требований в части обеспечения раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации (п.14).

3.7. Соблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором (п. 15);

4. Документы, содержащие биометрические персональных данных, при наличии. Наличие согласия в письменной форме субъекта персональных данных, за исключением случаев обработки в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательствомРоссийской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию. (ст. 11 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

5. Наличие  документов, подтверждающих обеспечение  конфиденциальности персональных данных. Положение (инструкция) о конфиденциальной информации: перечень информации (закрытая информация; для служебного пользования); ограничение доступа;  методы и способы её защиты (ст. 7  Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

6. Документы, устанавливающие порядок хранения и использования персональных данных работников и документов, подтверждающих ознакомление работников и их представителей с данными документами работодателя.  (п. 8 ст. 86; ст. 87 Трудового кодекса  Российской Федерации).

7. Документы, подтверждающие трансграничную передачу персональных данных, при наличии (ст. 12  Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных")

7.1. Наличие трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (п. 1 ст. 12).

7.2. Наличие трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 4 ст. 12).

8. Документы, подтверждающие право обработки персональных данных. Например: договор, согласие и т.п. (ч. 1 ст. 6; ч. 1 ст. 15  Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных")

9. Утвержденная форма согласия субъекта персональных данных на обработку персональных данных и уведомление о получении персональных данных от третьих лиц (ч. 4 ст. 9; ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

Уведомление должно содержать (ч. 3 ст. 18): наименование либо фамилию, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемых пользователей персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных.

Согласие должно содержать (ч. 4 ст. 9): фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; подпись субъекта персональных данных.

10. Документы, подтверждающие поступление запросов на получение информации, касающейся обработки персональных данных субъекта, соблюдение сроков по предоставлению ответа субъекта- 30 дней (ч. 4 ст. 14; ч. 2 ст. 20 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

Проверка содержащейся информации в положительных ответах: подтверждение факта обработки персональных данных оператором;  правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Проверка сроков предоставления мотивированного отказа  (ч. 2 ст. 20).

11. Документы, подтверждающие, что обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки (п.4 ч.1 ст.5 Федерального закона от 27 июля 2006 г. №152-ФЗ "О персональных данных").

12. Документы, подтверждающие уничтожение персональных данных (ч. 5), прекращение обработки (ч. 4)  или блокирование (ч. 6) (ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных").

13. Документы, подтверждающие исполнение требования ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» об опубликовании или обеспечении доступа к документу, определяющему политику в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных.

14. Документы, подтверждающие исполнение требования ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» - при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона №152-ФЗ.

Перечень документов и справок, представляемых представителям уполномоченного органа исполнительной власти, может быть уточнен и дополнен в процессе проведения проверки (п.1 ч. 3 ст. 23 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ)

Время публикации: 22.12.2010 14:39
Последнее изменение: 02.03.2016 07:59