День второй. Проверки.

Итак. Документы, которые мы в дальнейшем рассмотрим, можно поделить на две категории: документы, требуемые регуляторами при проверках, и дополнительные документы. 

Первый список документов взят с сайта Роскомнадзора. Необходимость каждого из них объясняется регулятором ссылками на ФЗ-152 и его подзаконные акты (некоторые, к сожалению, уже отменены). 

Возможно, читая этот список, будет не очень понятно, какую именно бумажку мы должны ввести внутри организации и в дальнейшем предоставить проверяющему. Но, думаю, когда у нас будет пакет шаблонов, мы сможем сопоставить их этим требованиям. 

Собственно сам список:

  1. Копия Уведомления об обработке персональных данных.
  2. Копии документов, подтверждающих наличие у оператора согласия субъектов на обработку их персональных данных.
  3. Копии документов, подтверждающих возможность обработки персональных данных без получения согласия субъектов.
  4. Договор оператора персональных данных с третьими лицами на обработку персональных данных.
  5. Документы, подтверждающие наличие оснований для обработки персональных данных без обеспечения их конфиденциальности.
  6. Документы, подтверждающие наличие у оператора права требовать от субъекта обязательного предоставления своих персональных данных.
  7. Документы, устанавливающие порядок обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в том числе определяющие правовые основания такой обработки.
  8. Документы, устанавливающие порядок обработки биометрических персональных данных.
  9. Письменное согласие субъекта персональных данных на обработку его биометрических персональных данных.
  10. Документы, дающие оператору правовые основания осуществлять обработку биометрических персональных данных без получения письменного согласия субъекта персональных данных на их обработку.
  11. Документы, определяющие порядок трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
  12. Документы, дающие оператору право осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных.
  13. Документы, подтверждающие предоставление субъекту персональных данных по его просьбе информации.
  14. Документы, определяющие порядок действий оператора в случае отказа субъекта предоставить свои персональные данные.
  15. Документы, устанавливающие порядок действий оператора с персональными данными, полученными от третьих лиц.
  16. Документы, подтверждающие реализацию мер по обеспечению безопасности персональных данных.
  17. Документы, подтверждающие выполнение мер по исключению несанкционированного, в том числе случайного, доступа к персональным данным. (наличие помещения, выделенного для обработки персональных данных (наименование, номер); наличие перечня лиц имеющих допуск в помещение; наличие приказа о назначение сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационной системе).
  18. Документы, подтверждающие наличие существенного условия об обеспечении конфиденциальности персональных данных и безопасности персональных данных при их обработке в информационной системе, в случае, если оператор поручает обработку персональных данных в информационной системе третьим лицам.
  19. Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом.
  20. Документы, подтверждающие наличие электронного журнала обращений пользователей на получение персональных данных из информационной системы.
  21. Распечатки копий экранов, содержащие поля для заполнения персональными данными.
  22. Документы, подтверждающие Наличие и порядок обмена персональными данными при их обработке в информационных системах.
  23. Приказ о составе комиссии по классификации информационных систем персональных данных (копия).
  24. Акт оператора о классификации информационных систем персональных данных (копия).
  25. Наличие модели угроз безопасности персональных данных (только при наличии специальных информационных систем).
  26. Правила обработки персональных данных, осуществляемых без средств автоматизации.
  27. Копия шаблонов документов, содержащих персональные данные (формы, бланки и поля заполнения), определенных оператором, заверенных оператором.
  28. Документы, подтверждающие наличие отдельных материальных носителей для каждой категории персональных данных.
  29. Документы, подтверждающие информирование сотрудников, обрабатывающих персональные данные о Правилах их обработки.
  30. Типовые формы, в которые предполагается или допускается включение персональных данных. Соответствие этих форм обязательным требованиям.
  31. Журнал (реестры, книги) для пропуска субъекта персональных данных на территорию оператора. Соблюдение обязательных требований к указанным документам.
  32. Документы, подтверждающие соблюдение порядка уничтожения или обезличивания части персональных данных.
  33. Документы, определяющие места хранения персональных данных (материальных носителей).
  34. Документы, определяющие перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации.
  35. Документы, подтверждающие организацию раздельного хранения персональных данных различных категорий.
  36. Документы, подтверждающие соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
  37. Наличие Порядка хранения и использования персональных данных работников.
  38. Соблюдение требований при передаче персональных данных работника.
Метки: ,