Обработка персональных данных: Документы, которые обязана вести каждая организация в соответствии с новыми требованиями Роскомнадзора и 152-ФЗ

Обработка персональных данных: Документы, которые обязана вести каждая организация в соответствии с новыми требованиями Роскомнадзора и 152-ФЗ

23.11.2023   |   Разное  |   0Оставить комментарий
В настоящее время каждая компания обязана:

- организовать систему обработки, учета, хранения персональных данных в соответствии с новыми требованиями Роскомнадзора и ФЗ №152 «О персональных данных»;
- ввести соответствующие регламенты работы с персональными данными;
- разработать документы, необходимые для организации работы с персональными данными по их обработке, учету, хранению;
- своевременно отчитываться перед Роскомнадзором в соответствии с новыми требованиями.
Обработка персональных данных: Документы, которые обязана вести каждая организация в соответствии с новыми требованиями Роскомнадзора и 152-ФЗ

Обязанность по обработке персональных данных как внутренних (сотрудников), так и внешних (клиентов, пациентов, гостей, участников мероприятий, партнеров и тд) - теперь неотъемлемая часть обязанностей каждого юридического лица. Каждый руководитель должен понимать, что вопрос обработки персональных данных, их учета и хранения теперь неотделим от рабочих задач: кадровых, бухгалтерских, юридических и иных обязанностей. 

За нарушение законодательства о персональных данных предусмотрены штрафы от 300 до 18 млн. руб.


Ответственность и штрафы за нарушение закона о персональных данных

Ответственность за нарушение законодательства персональных данных установлена статьей 13.11 КоАП РФ и предусматривает следующие штрафы


Штрафы за нарушение закона о персональных данных

Должностное лицо

ИП

Юридическое лицо

Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством

40 000


повторно
100 000

300 000

150 000


повторно
500 000

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных

12 000

20 000

60 000

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

12 000

30 000

80 000

Невыполнение оператором в сроки, установленные законодательством требования субъекта персональных данных либо уполномоченного органа об уточнении персональных данных, их блокировании или уничтожении

20 000


повторно
50 000

40 000


повторно
100 000

90 000


повторно
500 000

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерные действия в отношении персональных данных

20 000

40 000

100 000

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных

12 000

Невыполнение оператором при сборе персональных данных, в том числе сети «Интернет», предусмотренной законодательством обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ

200 000

повторно
800 000

40 000


повторно
100 000

6 000 000


повторно
до 18 000 000


Если у вас есть вопросы по работе с персональными данным, Вы можете получить бесплатную консультацию экспертов АО «Консалтинг онлайн» или запросить разработку документов для Вашей организации



Документы для организации работы с персональными данными

Наименование документа

Основание

1.

Акт о выявлении нарушений в сфере защиты персональных данных

ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г

2.

Акт об уничтожении машинных носителей персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

3.

Акт об уничтожении персональных данных

п.2 Приказа Роскомнадзора № 179 от 28.10.22 г.

4.

Акт определения необходимого уровня защищенности информационной системы персональных данных

ч. 9 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

5.

Акт оценки вреда, который может быть причинен субъекту персональных данных

ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

6.

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

п. 2 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.; п. 9 Приказа ФСБ РФ № 378 от 10.07.14 г.

7.

Журнал сдачи и приема под охрану помещений

п. 2 приложения к Постановлению Правительства РФ № 1119, п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.

8.

Журнал учета лиц, допущенных к работе с персональными данными в информационных системах

ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.

9.

Журнал учета машинных носителей персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

10.

Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн

п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

11.

Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ

п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.

12.

Журнал учета обращений субъектов ПДн

п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.

13.

Журнал учета процедур резервного копирования

8.5 Приказа ФСТЭК России № 21 от 18.02.13 г.

14.

Журнал учета средств защиты информации

п. 4 Приказа ФСБ РФ № 378 от 10.07.14 г.

15.

Журнале учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными

ч. 6 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

16.

Заявление о предоставлении выписки из реестра операторов

Приказ Роскомнадзора № 94 от 30.05.17 г.

17.

Инструкция администратора информационной безопасности

п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

18.

Инструкция ответственного за организацию обработки персональных данных

ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

19.

Инструкция по применению антивирусных средств защиты

п. 8.6 Приказа ФСТЭК России № 21 от 18.02.13 г.;

20.

Инструкция по работе с машинными носителями, содержащими персональные данные

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

21.

Инструкция по учету лиц, допущенных к работе с персональными данными

ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.

22.

Инструкция по физической охране и контролю доступа в помещения

п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.

23.

Инструкция работников обслуживающих информационные системы персональных данных

ч. 2 и 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

24.

Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными

6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

25.

Лист ознакомления

ст. 22 ТК РФ

26.

Матрица доступа к ИСПДн

п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.

27.

Обязательство о неразглашении персональных данных работников

ст. 7 ФЗ № 152-ФЗ от 27.07.06 г.

28.

Отзыв согласия на обработку персональных данных

п. 2 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

29.

Отказ от согласия на обработку персональных данных

п. 1 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.;

30.

План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн

п. 3 ст. 18.1 и п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

31.

Политика конфиденциальности персональных данных пользователей сайта

ст. 7 и п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

32.

Политика оператора в отношении обработки персональных данных

п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

33.

Положение о комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.

34.

Положение о парольной защите при обработке персональных данных

п. 8.1 и 8.11 Приказа ФСТЭК России № 21 от 18.02.13 г.

35.

Положение о порядке уничтожения персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г.

36.

Положение об обработке персональных данных

ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

37.

Положение об организации видеонаблюдения

п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

38.

Положение об ответственности работников, допущенных к обработке персональных данных

ст. 90 ТК РФ

39.

Правила выявления инцидентов информационной безопасности информационных систем персональных данных

п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.

40.

Правила оборудования помещений используемых для обработки персональных данных

ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.

41.

Правила оценки вреда, который может быть причинен субъекту персональных данных

ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

42.

Правила рассмотрения обращений субъектов персональных данных

п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.

43.

Приказ о назначении администратора информационной безопасности

п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.

44.

Приказ о назначении ответственного за организацию обработки персональных данных

ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

45.

Приказ о создании комиссии по уничтожению персональных данных

ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г.

ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.

46.

Приказ об утверждении комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.

47.

Приказ об утверждении локальных нормативных актов

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

48.

Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей

п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.

49.

Приказ об утверждении политики оператора в отношении обработки персональных данных

п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.

50.

Приказ об утверждении списка помещений, предназначенных для обработки персональных данных

ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.

51.

Протокол заседания комиссии по обеспечению безопасности персональных данных

п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.

52.

Регламент резервного копирования и восстановления информации в ИСПДн

8.5 Приказа ФСТЭК России № 21 от 18.02.13 г.

53.

Согласие на обработку персональных данных

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

54.

Согласие на обработку персональных данных несовершеннолетнего

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

55.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

ст. 9 и 10.1 ФЗ № 152-ФЗ от 27.07.06 г.

56.

Согласие на передачу персональных данных работника третьей стороне

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

57.

Согласие на получение персональных данных от третьих лиц

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

58.

Согласие сотрудника на осуществление видеонаблюдения на рабочем месте

ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.

59.

Уведомление о намерении осуществлять обработку персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

60.

Уведомление о прекращении обработки персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

61.

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Приказ Роскомнадзора № 180 от 28.10.22

Если у вас есть вопросы по работе с персональными данным, Вы можете получить бесплатную консультацию экспертов АО «Консалтинг онлайн» или запросить разработку документов для Вашей организации



Консалтинг Онлайн Источник материала
1724 просмотра Обсудить на форуме
Подпишись на рассылку

Комментарии (0)


    Оставить комментарий




    Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
    Регистрируйтесь бесплатно.