Что такое персональные данные?

Персональные данные — информация, прямо или косвенно соотносимая с конкретным физическим лицом, субъектом ПД (ст. 3 Закона от 27.07.2006 № 152-ФЗ). Любое действие с ПД (например, получение, размещение на носителе, распространение) представляет собой их обработку. Лицо, ее осуществляющее, признается оператором ПД.

Обработка ПД в общем случае законна, только если субъект ПД дал на то согласие. Но если оно не получено, то обработка возможна, в частности (ст. 6 Закона № 152-ФЗ):

  • для участия гражданина в судопроизводстве (исполнения судебного акта);
  • для реализации полномочий органом власти при оказании гражданину услуг;
  • в целях исполнения обязательств по договору (гражданско-правовому, трудовому), заключенному между оператором ПД и субъектом.

Согласие при этом может предусматривать или, наоборот, не предусматривать (запрещать) возможность распространения ПД (то есть, ознакомления с ними неопределенного круга лиц — в СМИ, онлайн).

Предусмотрена обработка следующих видов ПД:

  • общих (например, ФИО, номер телефона);
  • специальных (политическая позиция, расовая принадлежность);
  • биометрических (отпечаток пальцев, рисунок сетчатки глаз);
  • иных (не попадающих под вышеуказанные категории).

В целях обеспечения законности обработки ПД их оператор разрабатывает обширную документальную базу. Рассмотрим ее состав.

Список документов по персональным данным

К числу общераспространенных документов относятся:

Согласие на обработку

Если законом не предусмотрено иного, то обработка ПД становится законной только при получении от субъекта ПД рассматриваемого согласия. Оформляется оно письменно или в ином виде, позволяющем удостоверить факт его предоставления оператору ПД.

Приказ о назначении ответственного за организацию обработки ПД

Локальный нормативный акт, определяющий сотрудника, который контролирует соблюдение положений законодательства о ПД. Данный сотрудник доводит до других работников соответствующие положения, а также знакомит их с локальными нормативами по обеспечению защиты ПД.

Политика конфиденциальности

Локальный акт, регламентирующий издание оператором ПД документов, отражающих политику обработки ПД, содержащий перечень актов в области соответствующей обработки и актов, определяющих процедуры, которые обеспечивают профилактику и обнаружение нарушений закона о ПД.

Согласие на обработку ПД, разрешенных для распространения

При его наличии возможно распространение ПД в адрес неограниченного круга лиц (например, в составе публикации в СМИ, в интернете). Обычное согласие на обработку такое распространение может не разрешать (запрещать).

Информированное согласие пользователя сайта

Альтернативное наименование обычного согласия на обработку ПД. Чаще всего используется при взаимодействии с клиентами на сайтах медицинских и иных услуг, при оказании которых важна конфиденциальность.

Положение об обработке и защите ПД

Регламентирует порядок обработки ПД, права и обязанности сотрудников организации-оператора ПД, а также лиц, взаимодействующих с ней. Лица, на которых распространяется действие документа, удостоверяют свое ознакомление с ним под роспись.

Последствия отказа предоставить ПД

Содержит разъяснения для субъекта ПД о правовых последствиях непредоставления ПД (на основании согласия). Например — о невозможности оказать ту или иную услугу.

Соглашение о неразглашении информации, содержащей ПД

Устанавливает обязанности сотрудника организации-оператора ПД, имеющего должностной доступ к ПД. Прежде всего, это будут обязанности по обеспечению конфиденциальности соответствующих ПД.

Перечень форм, содержащих ПД

Содержит списки используемых оператором ПД типовых форм, при заполнении которых используются ПД.

Правила рассмотрения запросов

Регламентирует то, каким образом осуществляются регистрация и последующее рассмотрение полученных от субъектов ПД (их представителей) запросов в адрес оператора ПД.

Правила осуществления внутреннего контроля

Устанавливают порядок проведения проверки соответствия фактической обработки ПД тем требованиям, что определены законодательством и локальными нормативами.

Модель угроз безопасности

В соответствии с п. 1 ч. 2 ст. 19 Закона № 152-ФЗ, оператор ПД должен, обеспечивая безопасность ПД, определять в ходе их обработки угрозы безопасности. В этих целях формируется рассматриваемая модель угроз (с использованием, в частности, характеристик базовой модели, утвержденной ФСТЭК от 15.02.2008).

Договор поручения на обработку ПД

Заключается со сторонним оператором ПД, которым текущий оператор поручает обработку различных ПД. Положения о соответствующем поручении могут включаться в договоры о медосмотрах работников с медучреждениями, соглашения об оказании различных аутсорсинговых услуг. Такие положения будут обязывать принимающего ПД оператора обеспечивать конфиденциальность ПД.

Приказ о назначении ответственного за безопасность ПД

В соответствии с п. 14 Требований по постановлению Правительства России от 01.11.2012 № 1119, организация-оператор ПД в целях реализации 3-го уровня защищенности ПД (в соответствии с критериями по п. 11 Требований) назначает сотрудника, который отвечает за безопасность ПД в информационной системе. Для него также утверждается инструкция по практическому обеспечению безопасности.

Приказ о хранении бумажных носителей

Определяет места постоянного размещения документов и иных носителей ПД. Сотрудник, отвечающий за обработку ПД, с установленной периодичностью проверяет целостность носителей и обеспечивает условия для использования соответствующих мест их размещения. Приказ может дополняться локальным нормативом о перечнях оборудования по местам хранения ПД.

Приказ об утверждении перечня ПД

Определяет разновидности ПД, которые обрабатываются в рамках информационной системы оператора. Устанавливает срок хранения ПД по каждой утвержденной разновидности.

Приказ о допуске к обработке

Устанавливает перечень работников, которые в целях выполнения трудовой функции должны иметь доступ к ПД. Такие работники выполняют свои функции в соответствии с должностной инструкцией, требующей от них несения ответственности за обработку ПД.

Приказ об утверждении перечня ИСПДн

Определяет список информационных систем персональных данных, используемых оператором. Перечень систем утверждается в отношении всех технических средств для размещения баз ПД.

Приказ об определении контролируемой территории

Определяет границы пространства, в котором исключается неконтролируемое нахождение работников и посетителей организации-оператора ПД, а также постороннего транспорта и технических средств. Устанавливает, что все составляющие ИСПДн размещаются в границах контролируемой территории.

Инструкция ответственного за организацию обработки ПД

Ответственность, права, обязанности работника, который назначен ответственным за обработку ПД, прописываются в специальной инструкции. В ней должна присутствовать отсылка на действие приказа о назначении ответственного за обработку ПД.

Инструкция ответственного за обеспечение безопасности ПД

Ответственность, права, обязанности, а также должностные функции работника, назначенного ответственным за безопасность ПД, фиксируются в его локальной инструкции. В ней должна присутствовать ссылка на локальный норматив о назначении ответственного за безопасность ПД.

Инструкция по учету лиц, допущенных к работе в ИСПДн

Устанавливает порядок осуществления учета работников, которые допущены к обработке ПД в информационных системах оператора, осуществления и аннулирования допуска к такой деятельности.

Инструкция по проведению инструктажа допущенных к работе в ИСПДн

Работник, назначенный ответственным за обработку ПД, проводит инструктаж лиц, которые допущены к обработке ПД в информационных системах. Он сам при этом следует положениям отдельной инструкции, о которой идет речь (в ней должна быть отсылка на приказ о назначении работника ответственным за обработку ПД).

Инструкция пользователя ИСПДн

Устанавливает обязанности и полномочия сотрудника, управомоченного пользоваться информационной системой ПД, при получении ПД в ходе выполнения должностных обязанностей.

Инструкция по учёту и хранению съёмных носителей

Обязательна для использования всеми сотрудниками, которые допущены к обработке ПД на основании приказа о соответствующем допуске. Инструкция должна содержать отсылку на данный приказ.

Инструкция по резервному копированию и восстановлению

Устанавливает меры и средства обеспечения непрерывности функционирования и восстановления работы информационной системы ПД (технических средств, входящих в ее состав).

Инструкция по организации антивирусной защиты в ИСПДн

Регламентирует действия и порядок применения специального программного обеспечения, направленные на защиту ПД в информационных системах от несанкционированных действий, обусловленных активацией вирусов и иного вредоносного ПО. Может дополняться журналом проведения антивирусных проверок (и содержать регламенты по его заполнению).

Инструкция пользователя при возникновении нештатной ситуации

Обязательна для применения всеми пользователями информационной системы ПД. Регламентирует порядок обеспечения стабильной работы системы, а также действия пользователей при возникновении различных нештатных ситуаций (например, поломки технических средств, входящих в состав ИСПДн).

Журнал учета запросов

Фиксирует все обращения субъектов ПД, а также ответы сотрудников на такие обращения. Предметом запросов (результатом реагирования на них) может быть корректировка, блокировка, удаление ПД в соответствии с локальными правилами.

Журнал учета съемных носителей

Содержит учетные номера съемных носителей, на которых размещаются ПД. Используется в целях отслеживания движения и безопасного размещения соответствующих носителей.

Журнал учета прохождения первичного инструктажа

Работники, которые приказом руководителя допущены к обработке ПД, обязаны проходить первичный инструктаж по осуществлению такой обработки. В журнале отражаются даты проведения данного инструктажа, проставляются подписи работников, которые его прошли.

Журнал регистрации нарушения и восстановления работоспособности

Отражает факты нарушения функционирования технических средств, входящих в состав ИСПДн, а также восстановления их функционирования. Указывается дата, время выявления факта, причины возникновения нарушений, а также способы их устранения.

Журнал учёта прав доступа к ИСПДн

Руководство организации-оператора ПД издает положение о распределении прав доступа к ПД — содержащее перечни лиц, имеющих права доступа определенного уровня. В журнале подробно отражаются сведения о соответствующем уровне в привязке к конкретному работнику (показывается объем прав, время доступа). Документ может дополняться журналом учета логинов (присвоенных работникам, которым предоставлен доступ к ИСПДн).

Журнал учёта средств защиты информации

Содержит сведения о всех средствах защиты ПД, используемых организацией-оператором ПД. В журнале показывается место размещения каждого средства, отражаются их учетные номера.

Журнал учёта проверок контролирующими органами

Документ отражает факты получения запросов от контролирующих органов (прежде всего, Роскомнадзора) и предоставления ответов на них.

Форма запроса о наличии и ознакомлении с ПД

С помощью нее субъект ПД запрашивает у оператора сведения по обработке ПД — которые, в свою очередь, должны быть в обязательном порядке предоставлены. Это могут быть сведения о фактическом совершении обработки, основаниях, целях, способах ее осуществления.

Форма запроса на уточнение ПД

Субъект ПД вправе инициировать уточнение (корректировку) ПД, переданных оператору, и в этих целях он направляет в адрес оператора запрос с помощью рассматриваемой формы. Оператор обязан внести корректировки, отраженные в документе.

Форма запроса на уничтожение ПД

Если законом не предусмотрено иного, субъект ПД вправе в любой момент инициировать уничтожение ПД из информационной системы оператора. В этих целях направляется запрос по рассматриваемой форме.

Форма запроса на блокирование ПД

Блокирование ПД — запрет доступа к ним, а также их использования (при сохранении ПД в ИСПДн оператора). Осуществляется на основании запроса субъекта ПД с помощью рассматриваемой формы.

Форма запроса с отзывом согласия на обработку

Если законом не установлено иного, при получении отзыва согласия на обработку ПД оператор прекращает их обработку. Инициирование такого отзыва осуществляется посредством направления оператору запроса по рассматриваемой форме субъектом ПД.

Форма уведомления об устранении неправомерных действий с ПД

В случае выявления факта нарушения обработки ПД оператор направляет субъекту ПД сведения об этом, а также о том, что соответствующие нарушения устранены. В этих целях используется рассматриваемая форма.

Форма уведомления об отказе внесения изменений в персональные данные субъекта

При непредоставлении субъектом ПД документальных подтверждений обоснованности внесения корректировок ПД оператор отказывает в их осуществлении. В этих целях субъекту направляется уведомление по рассматриваемой форме.

Форма уведомления органа по защите прав субъектов ПД

В соответствии со ст. 22 Закона № 152-ФЗ оператор ПД обязан уведомить Роскомнадзор о намерении осуществить обработку ПД. В этих целях используется рассматриваемый документ.

Акт определения уровня защищённости

Составляется комиссией по определению защищенности ПД, формируемой на основании приказа руководителя. В акте, составляемом для каждой ИСПДн, фиксируется класс ПД, их объем при обработке, типы угроз, степень защищенности.

Акт оценки потенциального вреда субъектам ПД

Отражает итоги проведения оценки вреда, который может быть причинен субъектам ПД при нарушении положений законодательства о защите ПД. Степень потенциального вреда (от низкого до высокого) указывается в привязке к отдельным категориям субъектов ПД (работникам организации-оператора ПД, посетителям, клиентам).

Акт об уничтожении персональных данных

Факт удаления ПД подлежит документальному удостоверению. В этих целях комиссия, наделенная правомочиями по уничтожению ПД и соответствующему документированию, составляет специальный акт. Он подписывается членами комиссии и директором предприятия.

Какие еще документы подготовить?

К числу прочих документов, которые могут применяться при обеспечении оператором ПД выполнения требований законодательства, относятся:

Приказы

  • о проведении работ, направленных на защиту ПД;
  • об утверждении перечня работников, допущенных к обработке ПД;
  • о введении плана мероприятий по безопасности ПД;
  • о введении Положения о защите ПД;
  • о введении Положения об обработке ПД;
  • об Инструкции по обезличиванию ПД;
  • о перечне информационных систем ПД;
  • о перечнях ПД в привязке к типам ПО, в которых они обрабатываются;
  • о введении техпаспорта информационной системы ПД;
  • об установлении паролей на доступ к ИС, а также о введении журнала учета таких паролей;
  • об Инструкции по обеспечению парольной защиты в ИС;
  • о введении средств защиты;
  • о назначении ответственного за безопасность ИС;
  • о введении политики информационной безопасности;
  • об утверждении перечня мест размещения носителей ПД, а также об обеспечении распределенного размещения таких носителей;
  • о реализации конфиденциальности при обработке ПД;
  • об ответственных лицах за проведение работ по защите ПД;
  • о Положении по обработке ПД без средств автоматизации;
  • о Положении об автоматизированной обработке ПД;
  • о Положении об организации работы с ПД;
  • о введении перечня должностей сотрудников, отвечающих за мероприятия по обезличиванию ПД;
  • о введении перечня помещений, в которых осуществляется обработка ПД, а также о введении списка ответственных за организацию работы таких помещений;
  • о введении перечня оборудования по помещениям, где осуществляется обработка ПД;
  • об утверждении рабочих мест, на которых производится обработка ПД;
  • о введении перечня средств шифрования, а также о назначении ответственного за эксплуатации средств криптозащиты;
  • об утверждении журналов учета обращений субъектов ПД;
  • о формировании комиссии по защищенности ПД.

Положения

  • о порядке обработки ПД (с характеристиками технологического процесса такой обработки);
  • о разграничении прав доступа к ПД;
  • о защите ПД;
  • об обработке ПД;
  • о комиссии по защищенности ПД.

Планы

  • мероприятий по безопасности ПД;
  • внутренних проверок систем защиты ПД.

Инструкции

  • по обезличиванию ПД;
  • по обеспечению парольной защиты в ИС;
  • по обработке ПО без средств автоматизации;
  • по работе с запросами субъектов ПД;
  • по организации расследований в случаях выявления нарушений при обработке ПД.

Прочие регистры (журналы, книги)

Документы, составляемые для обеспечения однократного пропуска субъекта ПД на территорию ведения деятельности оператором (такие как, например, журнал корпоративной службы безопасности, контролирующей вход на предприятие).

Ограничение доступа к персональным данным

Операторам ПД запрещается раскрывать доступ к ПД третьим лицам и распространять их без согласия субъекта ПД, если законом не установлено иного (ст. 7 Закона № 152-ФЗ). Пример случая, когда согласие не требуется — передача сведений о работнике предприятия, когда это требуется для защиты его жизни и здоровья (ст. 88 ТК РФ). Оператор ПД принимает юридические и техническим меры для защиты доступа к ПД (ст. 19 Закона № 152-ФЗ).

При этом, сам субъект ПД в любой момент может запросить доступ к данным, а также к сведения о лицах, которые обладают доступом к ПД (ст. 14 Закона № 152-ФЗ). Так же как внести корректировки в ПД либо инициировать их удаление. Вместе с тем, доступ к ПД для их субъекта может быть ограничен в случаях, перечисленных в п. 8 ст. 14 Закона № 152-ФЗ (например, если обработка ПД осуществляется органами безопасности, или же если получение доступа субъектом ПД нарушает интересы третьих лиц).

Как обеспечить соответствие Закону № 152-ФЗ?

Главный критерий обеспечения деятельности компании соответствия многочисленным требованиям по Закону № 152-ФЗ — составление полного перечня документации, используемой в целях организации оборота персональных данных. Прочими условиями будут:

  1. Установка и обеспечение стабильного функционирования технических средств защиты персональных данных.
  2. Обеспечение качественного контроля над исполнением работниками требований законодательства о защите ПД, а также внутрикорпоративных нормативов.
  3. Регулярный мониторинг законодательной базы на предмет появления поправок, новых нормативных актов (в том числе на уровне проектов, обсуждаемых и рассматриваемых на различных стадиях), изучение судебной практики и экспертных мнений.
  4. Повышение уровня компетенций работников в области применения средств защиты ПД и соблюдения нормативных требований — посредством проведения обучающих, проверочных мероприятий.
  5. Концептуальное отражение установок на строгое соблюдение законодательства о ПД (и положений локальных нормативов) в корпоративной культуре предприятия.

В целях качественного проведения указанных мероприятий оператору (прежде всего, руководителям предприятия и лицам, в силу должностных обязанностей отвечающим за безопасную обработку ПД) необходимо постоянно повышать уровень собственной экспертизы в области организации оборота персональных данных. Необходим постоянный обмен опытом с другими игроками отрасли, а также получение регулярной консультационной поддержки от ведущих поставщиков услуг по организации оборота ПД.

Какие есть штрафы за несоблюдение Закона № 152-ФЗ?

Предусмотрены строгие штрафные санкции за допущение нарушений требований Закона № 152-ФЗ по широкому перечню оснований. В частности, налагаются штрафы:

  1. За незаконную обработку ПД (ч. 1, 1.1 ст. 13.11 КоАП РФ):
  • 2000-6000 руб. на гражданина;
  • 10000-2000 руб. на должностное лицо, ИП;
  • 60000-100000 руб. на организацию.
  1. За обработку ПД без согласия (ч. 2, 2.1 ст. 13.11 КоАП РФ):
  • 6000-10000 руб. (физлицо);
  • 20000-40000 руб. (ИП, должностное лицо);
  • 30000-150000 руб. (юрлицо).
  1. Непредоставление ПД по запросу (ч. 3 ст. 13.11 КоАП РФ):
  • 2000-4000 руб. (гражданин);
  • 8000-12000 руб. (должностное лицо);
  • 20000-30000 руб. (ИП);
  • 40000-80000 руб. (организация).

Нарушения при обработке ПД могут образовывать состав преступления по ст. 137 УК РФ. Предусматриваются, в частности;

  • штраф (до 200000 рублей);
  • лишение свободы до 2 лет с дисквалификацией до 3 лет.
Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки
Преступление с использованием служебного положения наказывается еще строже (возможен штраф до 300000 рублей, лишение свободы на срок до 4 лет).

Как подготовить документы по персональным данным?

С учетом того, что перечень документов, обеспечивающих законность оборота ПД, огромен, практическую работу по его формированию следует доверить компетентным специалистам, имеющим достаточный опыт подготовки специализированных документов по Закону № 152-ФЗ. Такие специалисты имеют профильное образование, подтвержденный уровень квалификации.

На уровне внутренних компетенций предприятия могут быть, вместе с тем, осуществлены мероприятия:

  1. По разработке ключевых направлений политики обработки ПД (обязательно — с учетом действующих норм законодательства, которым политика не должна противоречить).
  1. По обеспечению движения документов, связанных с обеспечением защиты ПД, в рамках системы корпоративного документооборота.
  1. По организации проведения (и учета) процедур, обеспечивающих применение документальной и технологической базы, используемой при организации оборота ПД.

Квалифицированный поставщик услуг по защите ПД в рамках взаимодействия с заказчиком содействует повышению качества проведения указанных мероприятий, поделится опытом в решении сложных задач в соответствующих направлениях, а также оценит результативность их реализации на тех или иных этапах.

Как происходит подготовка документов?

Поставщик услуг по защите ПД, взаимодействуя с оператором ПД по вопросам подготовки документации для обеспечения требований законодательства, осуществляет следующие основные процедуры:

  1. Проведение первичной консультации с заказчиком.

На данном этапе определяются перечни документов, которые необходимо внедрить в документооборот заказчика в целях обеспечения законности оборота ПД. Также выявляются значимые детали сотрудничества (стоимость услуг, сроки их оказания, порядок подписания договора, согласования работ по внедрению документации). По итогам рассмотрения исходных данных заключается договор на внедрение документации.

  1. Получение и анализ исходной информации со стороны заказчика.

Соответствующая информация берется за основу при составлении документов по перечням, определенным на первом этапе. Важное внимание уделяется актуальности и точности такой информации.

  1. Практическая подготовка документов по защите ПД в пределах срока, установленного договором.

С учетом фактического объема и сложности составляемой документации различные ее части могут оформляться одновременно или постепенно. Сроки — согласовываться с заказчиком.

  1. Передачу заказчику готовой документации.

Также предоставляются необходимые инструкции, рекомендации и консультации по практическому применению документов, а также алгоритмы их интеграции в систему документооборота организации-заказчика.

Вопрос-ответ

Все предприятия являются операторами ПД?

Все, которые тем или иным образом совершают операции с персональными данными физлиц. В фирме всегда есть хотя бы директор — он является физлицом, и потому для законной обработки его ПД хозяйствующий субъект обязан соблюдать требования закона.

Какие первые шаги нужно предпринять для обеспечения законности оборота ПД?

Прежде всего, классифицировать категории используемых ПД. Затем — определить перечни работников, которые будут отвечать за их оборот. На основании этих сведений — разработать документацию (локальные акты, учетные формы и прочую) в целях выполнения требований законодательства. Оптимально доверить ее разработку внешнему поставщику, обладающему специализированными компетенциями.

Какие ошибки возможны при обеспечении законности оборота ПД?

Прежде всего — составление необходимой документации в неполном перечне (регламентирующей оборот ПД только частично). Также есть риски допущения недоработок в части обеспечения защиты ПД, а также организации доступа к ним.

Насколько серьезными будут последствия нарушения правил оборота ПД?

Нарушитель привлекается к административной ответственности, при наличии законных оснований — к уголовной ответственности.

Как эффективно внедрить документацию для соблюдения Закона № 152-ФЗ?

Прежде всего, необходимо детально изучить нормативную базу на предмет актуальных требований к перечням соответствующей документации применительно к деятельности конкретного предприятия. Далее необходим квалифицированный подход к формированию локальных форм и их содержанию.

Может ли предприятие своими силами внедрить документацию?

В силу того, что перечень документов по Закону № 152-ФЗ даже для небольшого хозяйствующего субъекта — огромен, то в целях исключения рисков целесообразно привлечение специализированного поставщика услуг юридического и технического характера, которая поможет составить и внедрить документацию.

Что, кроме подготовки документов, нужно сделать?

Провести организационную работу, направленную на обеспечение готовности работников предприятия применять положения локальной базы, регламентирующей использование документации по Закону № 152-ФЗ, а также осуществление практической защиты ПД. В случае необходимости — провести обучение и экзаменацию ответственных сотрудников.

Как организовать работу с документами?

Для этого важна детальная регламентация работы с ними. Кроме того, документы не должны содержать ошибок по структуре. Необходимо создать (и передать ответственным работникам) руководства по их заполнению. Нужно применять современные аппаратно-программные комплексы по управлению документацией.

Кто поможет в организации оборота ПД?

Решение задач, связанных с ведением оборота ПД, может быть решено как внутренними силами организации, так и посредством привлечения внешних подрядчиков. Во втором случае задействуются специализированные компетенции, подтвержденные практическим опытом поставщика услуг в организации документооборота.

Какие есть сложности в обеспечении соблюдения Закона № 152-ФЗ?

Главная сложность — составление документации в соответствии с актуальными требованиями нормативной базы (которая регулярно меняется). Другой проблемный момент — организация квалифицированного оборота документации с учетом стандартов обеспечения их защиты и конфиденциальности доступа к данным. Разрешению сложностей на обоих указанных направлениях способствует обращение к услугам специализированного поставщика услуг по внедрению документации, обеспечивающей защиту данных по Закону № 152-ФЗ.

Что делать после подготовки документов?

Разработать регламенты по управлению документацией, при необходимости — модернизировать аппаратно-программную базу, используемую при обороте ПД. Во всех случаях нужно отслеживать актуальность нормативной базы, оперативно приводить документацию в полное соответствие ее требованиям.

Как часто обновлять документы?

Главный критерий здесь — появление новых требований в законодательстве. В установленном порядке документы (формы запросов, журналов) корректируются с учетом изменения вида деятельности организации, расширения географии ее присутствия, штата, типов обрабатываемых ПД.

Кто должен заниматься внедрением документов на предприятии?

На практике в данном процессе занимаются как рядовые специалисты, так и руководящий состав. С учетом внутренней политики безопасности на тот или иной уровень делегируются необходимые трудовые функции. Целесообразно привлечение внешних поставщиков консультационных и правовых услуг, обеспечивающих законность внедрения и практического применения документации.

С кем нужно согласовывать внедрение документов?

Соответствующее внедрение должно происходить, прежде всего, с учетом действующих законодательных стандартов и регламентов. Разработка и внедрение внутренней документации, обеспечивающей соблюдение требований Закона № 152-ФЗ потребует непосредственного участия руководства предприятия, организующего необходимые процедуры разработки и ввода в действие локальных актов и форм.