- Положение о защите персональных данных, с листом ознакомления сотрудников под роспись (п. 8 ст. 86 Трудового кодекса РФ; ст. 5.39 КоАП РФ).
- В должностном регламенте ответственных за защиту персональных данных должна быть прописана ответственность (п. 8 ст. 86 Трудового кодекса РФ). В трудовом договоре (контракте) должна быть отражена ответственность работника за разглашение указанных сведений.
- Приказ о назначении ответственных лиц за работу с персональными данными (способы обработки, перечень действий с персональными данными, перечень лиц, допущенных к персональным данным, требования Федеральных законов, иных актов, с указанием ответственности за нарушения) (п. 6 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).
- Положение (инструкция) о конфиденциальной информации (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
- перечень информации (закрытая информация; для служебного пользования);
- ограничение доступа;
- методы и способы её защиты.
- Журнал пропуска на территорию. Необходимость ведения журнала устанавливается Актом оператора (цель, способы фиксации и состав информации, перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение журнала и сохранность, сроки обработки персональных данных, сведения о порядке пропуска на территорию и т.п.) (подп. а п. 7, п. 8 Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).
- Письменное согласие субъекта персональных данных на обработку, передачу третьему лицу (за исключением, если заключен трудовой договор, или обработка осуществляется на основании Федерального закона). Возможность ознакомления субъекта персональных данных с документами и материалами, непосредственно затрагивающими его права и свободы. Ведение учёта обращений граждан о выполнении их законных прав (ст. 9, ст. 14 Федерального закона № 152-ФЗ).
- Осуществление продвижения товаров и услуг на рынке, политическая агитация (согласие субъекта персональных данных) (ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
- Меры по обеспечению безопасности персональных данных (п. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»): организационные; технические.
- Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработка системы защиты персональных данных от предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Назначение структурного подразделения или должностного лица (работника), ответственного за обеспечение безопасности персональных данных.
Список лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе.
Электронный журнал обращений запросов пользователей информационной системы (п.11-15 Постановления Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»);
- Договор на обработку персональных данных третьим лицом (страховые компании, заказ билетов, гостиниц для командировок и т.п.) должен содержать пункт об обеспечении конфиденциальности и безопасности персональных данных при их обработке (п. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; ст. 88 Трудового кодекса РФ);
- Документы, подтверждающие факт информирования лиц, осуществляющих обработку персональных данных без использования средств автоматизации. Документы должны содержать: категории персональных данных, особенности и правила осуществления обработки в соответствии с установленными нормативными правовыми актами, а также локальными правовыми актами организации при их наличии (п. 6 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- При использовании типовых форм документов, в которых предполагается или допускается включение персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (п. 7 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- Определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ при обработке персональных данных без использования средств автоматизации должны быть (п. 13 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- Меры, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором (п. 8 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- При обработке биометрических персональных данных необходим: утвержденный порядок передачи материальных носителей и доступа к ним; установленный срок эксплуатации материального носителя; учет количества экземпляров материальных носителей; регистрация фактов несанкционированной записи (п. 5, 6, 8, 9 Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»)