Документы по персональным данным, необходимые в 2025 году

Как еще может называться данный документ:

• Политика обработки персональных данных
• Политика в отношении обработки данных
• Privacy policy

Зачем нужен документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

• Согласие на распространение персональных данных

Зачем нужен документ:

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

• Согласие на обработку персональных данных
• Согласие пользователя

Зачем нужен документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

• Правила обработки персональных данных

Зачем нужен документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

• Правила рассмотрения запросов субъектов персональных данных или их представителей

Зачем нужен документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

• Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

• Поручение обработки персональных данных
• Договор на обработку персональных данных
• Договор обработки персональных данных
• Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

• Перечень информационных систем персональных данных

Зачем нужен документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

• Приказ об определении границ контролируемой зоны и требований к ее безопасности

Зачем нужен документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Как еще может называться данный документ:

• Инструкция ответственного за организацию обработки персональных данных в ИСПДн

Зачем нужен документ:

Инструкция ответственного за организацию обработки персональных данных определяет ответственность, права и обязанности ответственного за организацию обработки персональных данных. Ответственный за организацию обработки персональных данных осуществляет внутренний контроль за соблюдением оператором законодательства о персональных данных. Ответственный за организацию обработки персональных данных назначается приказом руководителя.

Как еще может называться данный документ:

• Инструкция ответственного за обеспечение безопасности персональных данных в ИСПДн

Зачем нужен документ:

Инструкция ответственного за обеспечение безопасности персональных данных определяет общие функции, ответственность, права и обязанности ответственного за обеспечение безопасности персональных данных информационных систем персональных данных. Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя.

Зачем нужен документ:

Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн) определяет порядок учета лиц, допущенных к работе с персональными данными, порядок их допуска и прекращения такого допуска.

Зачем нужен документ:

Инструкция по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных (ИСПДн) разрабатывается с целью обеспечения безопасности персональных данных, определяет порядок проведения инструктажа работников ответственным за организацию обработки персональных данных.

Как еще может называться данный документ:

• Инструкция пользователя ИСПДн по работе с персональными данными

Зачем нужен документ:

Инструкция пользователя информационной системы персональных данных (ИСПДн) определяет права, обязанности и ответственность пользователя по соблюдению порядка обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, ставшей ему известной (или доступной для обработки) в процессе работы.

Зачем нужен документ:

Инструкция по учёту и хранению съёмных носителей персональных данных нужна для определения порядка работы со съёмными носителями персональных данных. С данной инструкцией знакомятся под роспись и выполняют её все лица, допущенные к обработке персональных данных в соответствии с приказом о допуске к обработке персональных данных.

Как еще может называться данный документ:

• Инструкция по резервирования и восстановления работоспособности технических средств , программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации информационной системы персональных данных

Зачем нужен документ:

Инструкция по резервному копированию и восстановлению определяет действия, связанные с функционированием технических и программных средств автоматизированной информационной системы (АИС) и системы защиты персональных данных.

Как еще может называться данный документ:

• Инструкция по антивирусной защите в информационных системах персональных данных

Зачем нужен документ:

Инструкция по организации антивирусной защиты в информационных системах персональных данных (ИСПДн) разрабатывается в целях защиты персональных данных в информационных системах персональных данных от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения.

Зачем нужен документ:

Инструкция пользователя информационной системы персональных данных (ИСПДн) при возникновении нештатных ситуаций необходима для определения возможных аварийных ситуаций, связанных с функционированием информационных систем персональных данных, а также меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.

Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания работоспособности в случае реализации рассматриваемых угроз.

Как еще может называться данный документ:

• Журнал учёта обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных

Зачем нужен документ:

Журнал учета запросов субъектов персональных данных, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по уточнению, блокированию, уничтожению персональных данных при обращении к нему субъекта персональных данных . Документ разработан в соответствии с правилами рассмотрения запросов субъектов персональных данных.

Как еще может называться данный документ:

• Журнал учета мобильных технических средств

Зачем нужен документ:

Журнал учета съемных носителей, содержащих персональные данные, ведется оператором в качестве меры, направленной на обеспечение сохранности съемных носителей персональных данных. Хранить съемные носители с персональными данными (флеш-карты, внешние жесткие диски, мобильные устройства и т.п.) необходимо в сейфах, если персональные данные на самих носителях содержатся не в зашифрованном виде.

Документ предназначен для поэкземплярного учета таких носителей, и разработан в соответствии с инструкцией по учёту и хранению съёмных носителей.

Зачем нужен документ:

Журнал учета прохождения первичного инструктажа работниками ведется оператором в качестве меры, направленной на учет прохождения первичного инструктажа работниками допущенными к обработке персональных данных на основании приказа о допуске к обработке персональных данных.

Зачем нужен документ:

Журнал регистрации нарушения и восстановления работоспособности ведется оператором в качестве меры, направленной на учет событий нарушения работоспособности оборудования или ИСПДн, даты и времени обнаружения события, причин нарушения, информации о предпринятых мерах по восстановлению работоспособности оборудования или ИСПДн.

Зачем нужен документ:

Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) ведется оператором в качестве меры, направленной на учет лиц, допущенных к работе с персональными данными, их должности, объема прав и времени доступа.

Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) создается и поддерживается в актуальном состоянии оператором на основании приказа о допуске к обработке персональных данных, а также инструкции по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн).

Зачем нужен документ:

Журнал учёта средств защиты информации ведется оператором в качестве меры, направленной на учет средств защиты информации, эксплуатационной и технической документации к ним, а также лиц производящих установку средств защиты информации.

Зачем нужен документ:

Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.

Зачем нужен документ:

Данная форма разработана на основании ст. 14 Закона «О персональных данных» №152-ФЗ, в соответствии с которой субъект персональных данных имеет право, а оператор обязан предоставить информацию, касающуюся обработки персональных данных такого субъекта, в частности, такую как факт обработки, основания и цели обработки, способы обработки, срок хранения персональных данных.

Зачем нужен документ:

Данная форма разработана на основании ст. 14 Закона «О персональных данных» №152-ФЗ, в соответствии с которой субъект персональных данных имеет право, а оператор обязан уточнить обрабатываемые персональные данные такого субъекта, то есть внести в них определенные корректировки по запросу субъекта персональных данных.

Зачем нужен документ:

Данная форма разработана на основании ст. 14 Закона «О персональных данных» №152-ФЗ, в соответствии с которой субъект персональных данных имеет право, а оператор обязан уничтожить персональные данные такого субъекта, за исключением случаев предусмотренных законодательством.

Зачем нужен документ:

Данная форма разработана на основании ст. 14 Закона «О персональных данных» №152-ФЗ, в соответствии с которой субъект персональных данных имеет право, а оператор обязан заблокировать персональные данные такого субъекта по его запросу, за исключением случаев предусмотренных законодательством. Под блокировкой понимается намеренное создание невозможности доступа и использования персональных данных.

Зачем нужен документ:

Данная форма разработана на основании ст. 5 и ст. 21 Закона «О персональных данных» №152-ФЗ, в соответствии с которой субъект персональных данных имеет право, а оператор обязан прекратить обработку персональных данных такого субъекта по его запросу.

Зачем нужен документ:

Данная форма предназначена для информирования субъекта персональных данных в случае нарушения обработки его персональных данных о том, что допущенные нарушения устранены оператором.

Зачем нужен документ:

Данная форма предназначена для информирования субъекта персональных данных в случае не предоставлении им необходимых документов, подтверждающих запрашиваемые изменения о невозможности внести изменения в его персональные данные.

Зачем нужен документ:

Данная форма предназначена для информирования государственного органа по защите прав субъектов персональных данных о существенных условиях осуществляемой оператором обработки персональных данных, таких как цели обработки, основания обработки, виды персональных данных.

Зачем нужен документ:

Акт определения уровня защищенности персональных данных является одним из документов, содержащий сведения о реализуемых требованиях к защите персональных данных. Акт определения уровня защищенности персональных данных составляется для каждой информационной системы персональных данных (ИСПДн).

Структура данного документа включает в себя: обрабатываемые в ИСПДн персональные данные, объем обрабатываемых персональных данных, тип актуальных угроз для ИСПДн, уровень защищенности персональных данных.

Как еще может называться данный документ:

• Протокол оценки вреда

Зачем нужен документ:

Акт оценки потенциального вреда субъектам персональных данных предназначен для оформления результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных.

В документе для каждой категории субъектов персональных данных (работники, клиенты, соискатели и т.п.) и для каждого способа обработки персональных данных указывается присвоенная степень вреда (низкий, умеренный, средний, значительный, высокий, чрезвычайно высокий). Степень тяжести вреда обычно зависит от идентифицирующего потенциала, количества персональных данных и количества субъектов персональных данных.

Зачем нужен документ:

Порядок уничтожения персональных данных должен соответствовать установленным законом правилам: после процесса уничтожения информация не должна иметь возможность быть восстановленной. При этом сам процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев. После завершения процедуры создается акт, подписываемый членами комиссии и руководителем.