Ведение деятельности с применением персональных данных сотрудников, клиентов и иных субъектов права требует строгого соответствия нормам Федерального закона № 152-ФЗ «О персональных данных».
Наличие полного и актуализированного пакета правоустанавливающих, регламентирующих и распорядительных документов существенно снижает риск привлечения организации к ответственности, включая применение административных штрафов значительных размеров. На миллионы рублей.
Базовые регламенты по обработке персональных данных
Разработка и утверждение внутренней политики оператора по обработке персональных данных, а также порядка обработки и защиты персональных данных, являются обязательными условиями для всех юридических лиц и индивидуальных предпринимателей, осуществляющих сбор, хранение, передачу или иную обработку персональных данных.
Регламенты определяют цели обработки данных, перечень обрабатываемых сведений, порядок их передачи третьим лицам, а также принимаемые технические и организационные меры по обеспечению безопасности.
Регламенты определяют цели обработки данных, перечень обрабатываемых сведений, порядок их передачи третьим лицам, а также принимаемые технические и организационные меры по обеспечению безопасности.
Локальные нормативные акты и положения об обработке данных
Обязательными к разработке являются локальные акты, непосредственно регулирующие процедуры доступа, хранения, уничтожения и деперсонализации персональных данных, включая Положение о защите персональных данных работников, порядок предоставления согласия и отзыва согласия субъектов, а также инструкции по допуску к базам данных и ведению журналов учета обращений.
В ЛНА фиксируются права и обязанности сотрудников, ответственных за обработку информации.
В ЛНА фиксируются права и обязанности сотрудников, ответственных за обработку информации.
Документы информирования и согласия субъектов персональных данных
С целью соблюдения принципов прозрачности обработки, в организации должны быть предусмотрены унифицированные формы уведомления субъектов персональных данных о факте обработки, а также бланки письменного согласия на обработку соответствующих сведений.
Данные документы оформляются при приеме новых работников, заключении гражданско-правовых и лицензионных договоров, а также в иных юридически значимых ситуациях, определяемых спецификой деятельности организации.
Данные документы оформляются при приеме новых работников, заключении гражданско-правовых и лицензионных договоров, а также в иных юридически значимых ситуациях, определяемых спецификой деятельности организации.
Реестр операторов и согласование с контрагентами
Законодательство (п. 1 ст. 22 ФЗ № 152) предусматривает обязанность ряда операторов подавать уведомление о намерении обработки персональных данных с последующим внесением в реестр Роскомнадзора.
Кроме того, при передаче данных третьим лицам составляются договоры о поручении обработки персональных данных, включающие положения о конфиденциальности и ответственности. Составление и хранение сопроводительной документации является обязательным условием корректного взаимодействия с подрядчиками и партнёрами.
Системное ведение и регулярное обновление полного комплекта документов, регламентирующих обработку персональных данных, выступает ключевым инструментом минимизации юридических и финансовых рисков, а также защиты интересов организации в рамках действующего правового поля.
Кроме того, при передаче данных третьим лицам составляются договоры о поручении обработки персональных данных, включающие положения о конфиденциальности и ответственности. Составление и хранение сопроводительной документации является обязательным условием корректного взаимодействия с подрядчиками и партнёрами.
Системное ведение и регулярное обновление полного комплекта документов, регламентирующих обработку персональных данных, выступает ключевым инструментом минимизации юридических и финансовых рисков, а также защиты интересов организации в рамках действующего правового поля.
ВАЖНО!
Нас спрашивают: я работаю сам на себя как ИП и веду пациентов, данные не обрабатываю с помощью автоматизации, веду медицинские карты в бумажном виде. Это значит, я не должен подавать уведомление в Роскомнадзор?
Отвечаем: все медицинские организации являются операторами персональных данных. Вы обязательно должны быть зарегистрированы в ЕГИСЗ. Поэтому этот пункт 152 ФЗ к вам не относится.
Более того, уведомить Роскомнадзор вы должны ДО начала обработки персональных данных. Это значит (актуально для новых территорий РФ), если вас еще не в ЕГИСЗ, нужно сейчас подавать уведомление в Роскомнадзор, а потом уже регистрироваться в ЕГИСЗ. В противном случае, можно нарваться на штраф в 300 000 рублей.
За использование сервисов, зарегистрированных не на территории РФ можно получить штраф до 6 000 000 рублей. Речь, например, о довольно популярном сервисе google документов.
Более того, уведомить Роскомнадзор вы должны ДО начала обработки персональных данных. Это значит (актуально для новых территорий РФ), если вас еще не в ЕГИСЗ, нужно сейчас подавать уведомление в Роскомнадзор, а потом уже регистрироваться в ЕГИСЗ. В противном случае, можно нарваться на штраф в 300 000 рублей.
За использование сервисов, зарегистрированных не на территории РФ можно получить штраф до 6 000 000 рублей. Речь, например, о довольно популярном сервисе google документов.
Если нужно быстро подготовить документы или просто подать уведомление в Роскомнадзор, обращайтесь в юридический отдел Медиатора: https://mediator-med.ru/podderzhka
Мы разработаем для вашей организации все необходимые документы по персональным данным и дадим рекомендации, как работать, чтобы минимизировать риск штрафов.
Какой список документов мы разработаем?
1 Положение об обработке персональных данных
2 Положение «Организация защиты персональных данных», включая шаблоны:
– перечень персональных данных, обрабатываемых
– акт классификации ИСПДн
– Форма журнала учета СКЗИ
– Шаблон «Согласие на обработку персональных данных»
– Шаблон «Журнал учета согласий субъектов персональных данных»
– Шаблон «Обязательство о неразглашении персональных данных»
– Шаблон «Отзыв согласия на обработку персональных данных»
– Форма уведомления об уничтожении
– Форма «Перечень должностей, имеющих доступ к персональным данным»
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
– Форма «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Форма журнала учета носителей информации, содержащих персональные данные
– Перечень персональных данных обрабатываемых
3 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах
4 Разработа журналов
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
5 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
6 Политика и согласие для сайта.
2 Положение «Организация защиты персональных данных», включая шаблоны:
– перечень персональных данных, обрабатываемых
– акт классификации ИСПДн
– Форма журнала учета СКЗИ
– Шаблон «Согласие на обработку персональных данных»
– Шаблон «Журнал учета согласий субъектов персональных данных»
– Шаблон «Обязательство о неразглашении персональных данных»
– Шаблон «Отзыв согласия на обработку персональных данных»
– Форма уведомления об уничтожении
– Форма «Перечень должностей, имеющих доступ к персональным данным»
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
– Форма «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Форма журнала учета носителей информации, содержащих персональные данные
– Перечень персональных данных обрабатываемых
3 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах
4 Разработа журналов
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
5 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
6 Политика и согласие для сайта.
Это примерный список, который адаптируется под конкретную деятельность организации. Хотите получить готовый пакет документов по персональным данным?
Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka
