Какие документы должен вести ответственный за ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Ответственный за организацию обработки персональных данных — это не только «формальное лицо», назначенное приказом. По сути, именно он должен организовать и вести основной пакет документации по ПДн, чтобы у компании было чем подтвердить соответствие 152-ФЗ.

Перечень документов, которые должен вести (или контролировать) ответственный за ПДн

1. Приказы и распорядительные документы

   • приказ о назначении ответственного;

   • приказы об утверждении политики, перечня ПДн, перечня ИСПДн;

   • приказы о назначении комиссии по уничтожению ПДн.

2. Политика обработки персональных данных

   • публичный документ (размещается на сайте или предоставляется по запросу), утверждённый руководителем.

3. Согласия субъектов ПДн

   • формы согласий (бумажные или электронные);

   • журналы/реестр регистрации согласий и их отзывов.

4. Перечни и реестры

   • перечень обрабатываемых персональных данных;

   • перечень информационных систем ПДн (ИСПДн);

   • реестр процессов обработки (цели, субъекты, категории данных).

5. Локальные акты и регламенты

   • положение об обработке и защите ПДн;

   • порядок хранения и уничтожения ПДн;

   • порядок реагирования на инциденты;

   • правила доступа сотрудников к ПДн.

6. Документы по безопасности

   • модель угроз и меры защиты;

   • акты проверки защищённости (если применимо);

   • журналы регистрации инцидентов.

7. Архивные и учётные документы

   • акты об уничтожении ПДн;

   • акты о передаче ПДн (например, курьерским службам, подрядчикам);

   • договоры с обработчиками ПДн (аутсорс, доставка, бухгалтерия).

8. Документы по взаимодействию с субъектами и Роскомнадзором

   • журнал регистрации запросов субъектов ПДн;

   • копии ответов субъектам (о предоставлении информации, удалении данных и др.);

   • переписка и акты взаимодействия с Роскомнадзором.

9. Обучение сотрудников

   • программы инструктажа;

   • журналы ознакомления работников с локальными актами;

   • акты о проведении обучения по ПДн.

Обоснование по законодательству

• 152-ФЗ «О персональных данных»:

  • ст. 18.1 — оператор обязан принимать меры, включая издание документов, определяющих политику и локальные акты;

  • ст. 22.1 — ответственное лицо обеспечивает соблюдение требований закона и информирует работников;

  • ст. 21 — оператор обязан предоставлять субъекту ПДн сведения о его данных.

• Разъяснения Роскомнадзора: оператор должен иметь пакет организационно-распорядительных документов, подтверждающих соответствие 152-ФЗ.

Типичные ошибки организаций

• Ограничиваются только приказом о назначении и политикой ПДн.

• Не ведут журналы согласий и запросов субъектов.

• Не составляют акты об уничтожении ПДн.

• Не оформляют договоры с подрядчиками, которым передаются ПДн.

Рекомендации и выводы

1. Ответственный за ПДн должен контролировать наличие и актуальность всего пакета документов, подтверждающего соблюдение 152-ФЗ.

2. Минимум: политика, приказы, согласия, регламенты, акты об уничтожении и журналы запросов субъектов.

3. В крупных компаниях список расширяется за счёт документов по ИСПДн, моделям угроз, актам проверок защищённости.

4. Все документы должны храниться централизованно и быть доступны для проверки Роскомнадзора.

Если вы хотите, чтобы у вашей компании был полный и правильно оформленный комплект документов, а ответственный за ПДн мог реально выполнять свои обязанности, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных. Мы включим все приказы, регламенты, журналы и формы актов, чтобы при проверке у вас было полное документальное подтверждение соответствия закону.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге