Чтобы компания собирала личные данные клиентов и других физлиц законно, нужно подготовить документы для Роскомнадзора по персональным данным (ПДн). Ведомство регулярно проводит проверки, и если у вас не окажется нужных бумаг, последствия будут серьезными. Мы расскажем, какие документы достаточно просто оформить и хранить в организации, а какие вы обязаны отправлять в РКН.
Какие документы должны быть в организации
Чтобы пройти проверку, у вас должен быть полный пакет документов для Роскомнадзора по персональным данным. Ст.ст.18.1 и 19 ФЗ от 27.07.2006 №152-ФЗ обязывает операторов формировать внутреннюю документацию и подтверждать выполнение требований. Без этого проверка закончится штрафом и предписанием.
Основные документы:
- Политика обработки персональных данных — открытый документ с целями обработки, правами субъектов и мерами защиты.Должна быть доступна всем субъектам ПДн — физлицам, чьи данные обрабатываются.
- Локальные акты:
- порядок уничтожения данных;
- регламенты работы с запросами субъектов;
- инструкции для сотрудников, имеющих доступ к данным;
- договоры поручения обработки с подрядчиками.
- Приказы руководителя:
- о назначении ответственного за обработку ПДн;
- о перечне сотрудников, допущенных к работе с данными;
- о местах хранения бумажных носителей.
- Формы согласий субъектов:
- на обработку персональных данных;
- на передачу третьим лицам;
- на распространение данных.
- Документы по информационной безопасности:
- перечень всех информационных систем с персональными данными;
- акт их классификации;
- план мероприятий по защите;
- инструкции по парольной защите, резервному копированию и реагированию на инциденты.
- Журналы учета:
- обращений субъектов;
- материальных носителей (машинных и съемных);
- мероприятий по контролю;
- инструктажей сотрудников;
- ознакомления работников с Политикой, Положением об обработке и требованиями закона.
Это минимальный перечень. Полный список документов зависит от нескольких факторов: в какой сфере работает ваш бизнес, какие данные и в каком объеме вы обрабатываете. Также значение имеет уровень защищенности ПДн — он устанавливается с учетом положений Постановления Правительства РФ от 1 ноября 2012 г. №1119.
Какие документы нужно направить в Роскомнадзор
Представленные выше документы просто должны быть в вашей организации, в РКН они не отправляются. Но их могут запросить при проверке — документарной или выездной.
Какие направлять документы по обработке персональных данных в Роскомнадзор и когда:
- Уведомление о начале обработки ПДн — подается до того, как компания приступит к сбору персданных.
- Уведомление об изменении сведений, содержащихся в уведомлении о начале обработки — направляется до 15 числа месяца, следующего за месяцем, когда данные поменялись.
- Уведомление об утечке ПДн — отправляется в РКН в течение 24 часов с момента выявления инцидента.
- Уведомление о результатах расследования инцидента — направляется в течение 72 часов после обнаружения утечки.
- Уведомление о намерении осуществлять трансграничную передачу ПДн — отправляется до начала такой передачи.
- Уведомление об осуществлении трансграничной передачи — после начала отправки данных в другую страну.
Важно! Если не уведомите РКН о начале работы с ПДн, компанию могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП РФ). За неуведомление об утечке предусмотрен более крупный штраф — до 3 млн рублей (ч.11 ст.13.11 КоАП РФ).
Заключение
Соблюдение требований к перечню документов по персональным данным — это гарантия того, что ваша компания сможет законно работать и без проблем пройти проверку Роскомнадзора. Это защитит ваш бизнес от штрафов, репутационных рисков и споров с клиентами. Чем системнее выстроена работа с ПДн, тем надежнее ваша правовая позиция и спокойнее развитие компании.