10 Марта 2011
Перечень обязательных документов для юридического лица по обработке персональных данных (ПДн)

28 февраля 2011 года состоялся семинар «Актуальные вопросы по организации защиты персональных данных», организатором которого выступил Красноярский Союз Риэлторов, а программу подготовило наше агентство недвижимости. Ниже можно ознакомиться с перечнем нормативных правовых актов в области персональных данных.

Перечень обязательных документов для юридического лица по обработки ПДн

· Приказ о создании комиссии по защите персональных данных с наделением ее полномочий по проведению мероприятий, касающихся организации защиты персональных данных. В комиссию рекомендуется включать руководителей, юристов. Председателем комиссии целесообразно назначить руководителя.

· Приказ об утверждении Положения об обработке и защите персональных данных. В Положении рекомендуется отразить следующее: порядок получения, обработки, использования, хранения и гарантии конфиденциальности ПДн, цель и задачи организации в области защиты ПДн, понятие и состав ПДн, наименование организации, порядок получения и обработки ПнД, место и вид хранения ПДн, способ защиты, права и обязанности и ответственность субъекта ПДн и оператора.

· Письменное согласие субъектов ПДн на их обработку, которое должно соответствовать установленным требованиям ч. 4 ст. 9 Федерального закона «О персональных данных»

· Приказ(ы) о возложении персональной ответственности за защиту ПДн. В приказе рекомендуется привести список конкретных лиц, ответственных за защиту обрабатываемых в организации ПДн.

· Разрешительные документы о допуске конкретных сотрудников к обработке ПДн. Приказы или иные разрешительные документы должны включать списки сотрудников Оператора и временно привлекаемых лиц, допущенных к обработке ПДн. Работа с ПДн лицом, не включенным в разрешительные документы, не допускается.

· Уведомление об обработке ПДн

· Должностные инструкции сотрудников, имеющих отношение к обработке ПДн. Должностные инструкции сотрудников, дополненные положениями о необходимости соблюдения утвержденного Положения об обработке и защите ПДн, и Инструкции о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн.

· Журнал обращений по ознакомлению с ПДн. Журнал можно вести в в произвольной форме. В журнале необходимо фиксировать все обращения субъектов ПДн (дата, Ф.И.О., адрес) по ознакомлению с их ПДн, дату направления запрашиваемых данных почтовой связью или предоставления лично заявителю. В случае отзыва данных субъектом ПДн или выявления их несоответствия, в журнале должны быть сделаны соответствующие записи. По каждому обращению необходимо указывать, когда и каким образом на него было отреагировано. Хранение журналов должно исключать несанкционированный доступ к ним.

· Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн. В Инструкции рекомендуется отразить следующее: требования по обеспечению конфиденциальности документов, содержащих ПДн, определение ПДн, когда обеспечение конфиденциальности ПДн не требуется, необходимость получения согласия субъекта ПДн или наличия иного законного основания на их обработку, порядок ведения перечней ПДн, нормативные документы, определяющие основные требования и мероприятия по обеспечению безопасности ПДн, общие правила хранения и передачи ПДн, ответственность за защиту ПДн, порядок ознакомления с Инструкцией, порядок обеспечения безопасности при обработке и хранении ПДн без использования средств автоматизации и с использованием средств автоматизации, порядок уничтожения или обезличивания ПДн, порядок учета.