Новости

Какой список документов по персональным данным должен быть в организации, чтобы не нарваться на миллионные штрафы

Ведение деятельности с применением персональных данных сотрудников, клиентов и иных субъектов права требует строгого соответствия нормам Федерального закона № 152-ФЗ «О персональных данных».

Наличие полного и актуализированного пакета правоустанавливающих, регламентирующих и распорядительных документов существенно снижает риск привлечения организации к ответственности, включая применение административных штрафов значительных размеров. На миллионы рублей.

Базовые регламенты по обработке персональных данных

Разработка и утверждение внутренней политики оператора по обработке персональных данных, а также порядка обработки и защиты персональных данных, являются обязательными условиями для всех юридических лиц и индивидуальных предпринимателей, осуществляющих сбор, хранение, передачу или иную обработку персональных данных.

Регламенты определяют цели обработки данных, перечень обрабатываемых сведений, порядок их передачи третьим лицам, а также принимаемые технические и организационные меры по обеспечению безопасности.

Локальные нормативные акты и положения об обработке данных

Обязательными к разработке являются локальные акты, непосредственно регулирующие процедуры доступа, хранения, уничтожения и деперсонализации персональных данных, включая Положение о защите персональных данных работников, порядок предоставления согласия и отзыва согласия субъектов, а также инструкции по допуску к базам данных и ведению журналов учета обращений.

В ЛНА фиксируются права и обязанности сотрудников, ответственных за обработку информации.

Документы информирования и согласия субъектов персональных данных

С целью соблюдения принципов прозрачности обработки, в организации должны быть предусмотрены унифицированные формы уведомления субъектов персональных данных о факте обработки, а также бланки письменного согласия на обработку соответствующих сведений.

Данные документы оформляются при приеме новых работников, заключении гражданско-правовых и лицензионных договоров, а также в иных юридически значимых ситуациях, определяемых спецификой деятельности организации.

Реестр операторов и согласование с контрагентами

Законодательство (п. 1 ст. 22 ФЗ № 152) предусматривает обязанность ряда операторов подавать уведомление о намерении обработки персональных данных с последующим внесением в реестр Роскомнадзора.

Кроме того, при передаче данных третьим лицам составляются договоры о поручении обработки персональных данных, включающие положения о конфиденциальности и ответственности. Составление и хранение сопроводительной документации является обязательным условием корректного взаимодействия с подрядчиками и партнёрами.

Системное ведение и регулярное обновление полного комплекта документов, регламентирующих обработку персональных данных, выступает ключевым инструментом минимизации юридических и финансовых рисков, а также защиты интересов организации в рамках действующего правового поля.

ВАЖНО!

Нас спрашивают: я работаю сам на себя как ИП и веду пациентов, данные не обрабатываю с помощью автоматизации, веду медицинские карты в бумажном виде. Это значит, я не должен подавать уведомление в Роскомнадзор?

Отвечаем: все медицинские организации являются операторами персональных данных. Вы обязательно должны быть зарегистрированы в ЕГИСЗ. Поэтому этот пункт 152 ФЗ к вам не относится.

Более того, уведомить Роскомнадзор вы должны ДО начала обработки персональных данных. Это значит (актуально для новых территорий РФ), если вас еще не в ЕГИСЗ, нужно сейчас подавать уведомление в Роскомнадзор, а потом уже регистрироваться в ЕГИСЗ. В противном случае, можно нарваться на штраф в 300 000 рублей.

За использование сервисов, зарегистрированных не на территории РФ можно получить штраф до 6 000 000 рублей. Речь, например, о довольно популярном сервисе google документов.

Если нужно быстро подготовить документы или просто подать уведомление в Роскомнадзор, обращайтесь в юридический отдел Медиатора: https://mediator-med.ru/podderzhka

Мы разработаем для вашей организации все необходимые документы по персональным данным и дадим рекомендации, как работать, чтобы минимизировать риск штрафов.

Какой список документов мы разработаем?

1 Положение об обработке персональных данных

2 Положение «Организация защиты персональных данных», включая шаблоны:

– перечень персональных данных, обрабатываемых

– акт классификации ИСПДн

– Форма журнала учета СКЗИ

– Шаблон «Согласие на обработку персональных данных»

– Шаблон «Журнал учета согласий субъектов персональных данных»

– Шаблон «Обязательство о неразглашении персональных данных»

– Шаблон «Отзыв согласия на обработку персональных данных»

– Форма уведомления об уничтожении

– Форма «Перечень должностей, имеющих доступ к персональным данным»

– Форма запроса субъекта ПДн на ознакомление с ПДн

– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки

– Форма «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»

– Форма журнала учета носителей информации, содержащих персональные данные

– Перечень персональных данных обрабатываемых

3 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах

4 Разработа журналов

– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»

– Журнал учета носителей информации, содержащих персональные данные

– Акт классификации ИСПДн

– Журнал учета СКЗИ

5 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:

– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей

– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации

– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных

– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных

– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных

– Инструкцию ответственного за организацию обработки персональных данных

– Инструкцию по обработке персональных данных без использования средств автоматизации

– Инструкция ответственного за эксплуатацию информационных систем персональных данных

– Инструкцию по обработке персональных данных без использования средств автоматизации

– Правила рассмотрения запросов субъектов персональных данных или их представителей

– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей

– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований

– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

6 Политика и согласие для сайта.

Это примерный список, который адаптируется под конкретную деятельность организации. Хотите получить готовый пакет документов по персональным данным?

Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka

2025-06-06 05:00 Юридическая безопасность Персональные данные