Документы, регламентирующие обработку персональных данных | Какие документы регламентируют обработку и защиту ПДн в РФ

Главная — Бизнес-задачи — Защита персональных данных — Обработка персональных данных — Документы, регламентирующие обработку персональных данных

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Документы, регламентирующие обработку персональных данных, принимаются на уровне государства и его органов и на уровне организаций, признаваемых в установленном законом порядке операторами персональных данных. Выполнение содержащихся в них требований проверяется Роскомнадзором и другими уполномоченными органами.

Нормативно-правовые документы

Российское законодательство признает приоритет норм международного права над национальным, в случае если страной ратифицированы международные документы, регламентирующие определенную сферу. Это могут быть соглашения или конвенции. В области обработки персональных данных таких наднациональных норм нет. Внутреннее законодательство может соответствовать международному, тем не менее первенство в выборе способов обработки персональных данных остается за ним.

Основным документом, определяющим правила обработки данных, является Федеральный закон «О персональных данных». Также определенные нормы, содержащие правила обработки данных работников, есть в Трудовом кодексе РФ. Вопросы защиты данных, предоставляемых лицами, получившими услуги медицинских учреждений, частично регламентируются нормами закона «Об охране здоровья граждан». Для государственных служащих актуальными являются нормы Постановления Правительства Российской Федерации № 211.

Нормы технической защиты информационных систем персональных данных и условия их обработки следует искать в Постановлении Правительства № 1119. Оно определяет степень защищенности систем, в которых происходит обработка данных. Больше технических регламентов надо искать в нормативных актах ФСТЭК России и ФСБ РФ. Интересно, что с момента появления в российском правовом поле понятия обработки ПД было принято более 3 000 различных актов, включая письма и разъяснения, регламентирующие эти вопросы. Большая часть из них принимается в отношении региональных исполнительных органов.

Документы муниципальных и государственных органов

Исходя из норм Постановления Правительства РФ № 211, государственный или муниципальный орган обязан разработать и утвердить собственный перечень стандартов, регламентирующих правила обработки персональных данных.

Это следующие документы:

Правила обработки. Они определяют процедуры, направленные на выявление нарушений закона в этой сфере, категории субъектов, правила обработки, хранения и уничтожения данных;
Правила рассмотрения запросов, направляемых субъектами данных;
Правила работы с обезличенной информацией;
Перечень имеющихся в распоряжении государственного или муниципального органа информационных систем;
Перечень сведений, обработка которых происходит исходя из требований кадрового документооборота и выполнения обязанностей по оказанию государственных услуг;
Перечень должностей ответственных госслужащих;
Должностной регламент ответственного лица;
Типовое обязательство о неразглашении ПД;
Формы согласия и разъяснения последствий отказа от предоставления сведений для обработки;
Порядок доступа к информации.

Основные документы обязательно публикуются на сайте органа. Контроль над их существованием, содержанием и выполнением производится и в рамках государственной исполнительной вертикали, и уполномоченными органами.

Документы организации

На уровне компании в рамках реализации норм законодательства, определяющего правила обработки персональных данных, разрабатывается собственный пакет документов. Обычно это Положение об условиях обработки, приказы о назначении лица, ответственного за организацию этой работы, и форма согласия на обработку. Иногда перечень расширяется, если за образец принимается система, действующая для государственных организаций.

Положение

Оно является основополагающим документом, определяющим права и обязанности организации и субъекта персональных данных в области их обработки и защиты информации. Положение определяет все допустимые для компании способы обработки сведений, ее цель, права субъекта на информирование о порядке обработки, право на отзыв согласия и другие нормы. Здесь же могут быть перечислены имеющиеся угрозы безопасности, также освещаемые в модели угроз, являющейся документом, обязательным для технических служб. Утверждение положения происходит на уровне руководства компании.

Положение о персональных данных работников

Приказ

Приказ является первичным документом, определяющим сотрудника компании, на которого возложена обязанность по обеспечению практики обработки данных нормативных документов. Назначение такого лица является обязательным для разграничения сфер ответственности. Крупные компании, которые иногда создают подразделения, чья деятельность посвящена вопросам обеспечения безопасности персональных данных, готовят также положение о департаменте или управлении.

Согласие

Каждый человек, предоставляющий данные на обработку операторам, подписывает свое согласие на осуществление организацией этой деятельности. В согласии указываются способы и цели обработки. Форма его может быть разработана самостоятельно, можно воспользоваться форматами, рекомендованными для государственных органов или разработанными крупными корпорациями.

Отказ от выполнения требований документов, регламентирующих обработку персональных данных, как госорганами, так и частными компаниями приводит к административным штрафам и другим неблагоприятным последствиям. Непринятие на уровне фирмы собственного положения также станет основанием для вынесения предписания в ходе проверки.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.