Положение о защите персональных данных, с листом ознакомления сотрудников под роспись (п. 8 ст. 86 Трудового кодекса РФ; ст. 5.39 КоАП РФ).
В должностном регламенте ответственных за защиту персональных данных должна быть прописана ответственность (п. 8 ст. 86 Трудового кодекса РФ). В трудовом договоре (контракте) должна быть отражена ответственность работника за разглашение указанных сведений.
Приказ о назначении ответственных лиц за работу с персональными данными (способы обработки, перечень действий с персональными данными, перечень лиц, допущенных к персональным данным, требования Федеральных законов, иных актов, с указанием ответственности за нарушения) (п. 6 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).
Положение (инструкция) о конфиденциальной информации (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
— перечень информации (закрытая информация; для служебного пользования);
— ограничение доступа;
— методы и способы её защиты.
Журнал пропуска на территорию. Необходимость ведения журнала устанавливается Актом оператора (цель, способы фиксации и состав информации, перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение журнала и сохранность, сроки обработки персональных данных, сведения о порядке пропуска на территорию и т. п.) (подп. а п. 7, п. 8 Постановления Правительства РФ от 15 сентября 2008 г. № 687.
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).
Письменное согласие субъекта персональных данных на обработку, передачу третьему лицу (за исключением, если заключен трудовой договор, или обработка осуществляется на основании Федерального закона). Возможность ознакомления субъекта персональных данных с документами и материалами, непосредственно затрагивающими его права и свободы. Ведение учёта обращений граждан о выполнении их законных прав (ст. 9, ст. 14 Федерального закона № 152-ФЗ).
Осуществление продвижения товаров и услуг на рынке, политическая агитация (согласие субъекта персональных данных) (ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Меры по обеспечению безопасности персональных данных (п. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»): организационные; технические.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах:
- а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- б) разработка системы защиты персональных данных от предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- в) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- г) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
- з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- к) описание системы защиты персональных данных.
Назначение структурного подразделения или должностного лица (работника), ответственного за обеспечение безопасности персональных данных.
Список лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе.
Электронный журнал обращений запросов пользователей информационной системы (п.11-15 Постановления Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»);
Договор на обработку персональных данных третьим лицом (страховые компании, заказ билетов, гостиниц для командировок и т. п.) должен содержать пункт об обеспечении конфиденциальности и безопасности персональных данных при их обработке (п. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; ст. 88 Трудового кодекса РФ);
Документы, подтверждающие факт информирования лиц, осуществляющих обработку персональных данных без использования средств автоматизации. Документы должны содержать: категории персональных данных, особенности и правила осуществления обработки в соответствии с установленными нормативными правовыми актами, а также локальными правовыми актами организации при их наличии (п. 6 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
При использовании типовых форм документов, в которых предполагается или допускается включение персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
- а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
- в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (п. 7 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
Определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ при обработке персональных данных без использования средств автоматизации должны быть (п. 13 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
Меры, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором (п. 8 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
При обработке биометрических персональных данных необходим: утвержденный порядок передачи материальных носителей и доступа к ним; установленный срок эксплуатации материального носителя; учет количества экземпляров материальных носителей; регистрация фактов несанкционированной записи (п. 5, 6, 8, 9 Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»)
Перечень документов и справок, представляемых представителям уполномоченного органа исполнительной власти, может быть уточнен и дополнен в процессе проведения проверки (пп.1 п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).