Как составить Политику обработки ПДн, чтобы РКН не нашел нарушений

В процессе подготовки документации по защите персональных данных важно понимать, как сделать это так, чтобы не вызвать недовольства надзорных органов. Расскажем, как составить Политику обработки ПДн и какие инструменты в этом помогут.

1. Содержание Политики обработки ПДн
2. Хотите узнать больше – приходите на курс
3. Создайте политику обработки ПДн автоматически
4. Получите бесплатную запись вебинара

Персональные данные (ПДн) – это информация, которая позволяет идентифицировать человека, например, ФИО, дата рождения, номер телефона, паспортные данные и т.д.

Организационные меры по защите персональных данных являются первым барьером защиты любой организации, которая занимается обработкой ПДн. Главным документом, определяющим порядок организации и проведения работ по обработке и защите персональных данных, обрабатываемых в ИСПДн, является положение или политика обработки ПДн. Правильно составленный документ позволит без нарушений проходить проверки регуляторов.

Содержание Политики обработки ПДн

Давайте рассмотрим состав документа и основные моменты, которые необходимо указать в каждом из разделов.

1. Общие положения

Обозначаем цель политики, нормативно-правовые акты, на которые она опирается. Также необходимо включить порядок и условия обработки ПДн, правовые, организационные и технические меры, необходимые для защиты персональных данных от неправомерного или случайного доступа к ним.

2. Принципы обработки ПДн

Расписываем, как именно осуществляется обработка персональных данных. Выделяем цели и сроки обработки, правила хранения и уничтожения ПДн.

3. Порядок обработки ПДн

Указываем, что обработка ПДн ведется с письменного согласия субъекта, определяем правила использования согласия, права и обязанности субъекта и какие сотрудники оператора займутся обработкой ПДн.

4. Порядок уничтожения ПДн

Описываем, какие данные и в каких случаях подлежат уничтожению, что происходит, если уничтожение невозможно, и как происходит оповещение об уничтожении ПДн. Также нужно описать сам процесс уничтожения ПДн.

5. Цель обработки ПДн

Перечисляем, кто является субъектами и какова цель обработки ПДн.

6. Состав ПДн

Составляем список ПДн, которые будут обрабатываться в соответствии с конкретными целями.

7. Права субъекта ПДн

Расписываем, какими правами обладает субъект ПДн: какую информацию, касаемую обрабатываемых данных, он может запросить, когда может быть ограничен доступ к его ПДн, каким образом предоставляются сведения об обрабатываемых ПДн субъекту.

8. Права и обязанности оператора ПДн

Перечисляем, какие существуют права и обязанности оператора ПДн и сроки, в которые эти обязанности должны быть исполнены.

9. Передача персональных данных третьим лицам 

Отражаем, какие существуют обязанности у операторов и организаций, которым передаются ПДн для обработки. Описываем процесс обмена персональными данными.

10. Допуск персонала к обработке ПДн 

Указываем, как персонал организации получает доступ к обработке персональных данных и какими ОРД руководствоваться во время работы с личной информацией.

11. Меры по защите ПДн 

Описываем комплекс мер (правовые, организационные и технические) по защите ПДн, применяемый в организации.

12. Защита от несанкционированного доступа

Перечисляем меры по физическому контролю доступа к информационной системе, чем оборудованы помещения и его элементы. Кроме того необходимо определить правила размещения техники в кабинетах сотрудников.

13. Резервирование ПДн 

Описываем состав и правила резервирования ПДн и где должны храниться резервные копии.

14. Реагирование на нештатные ситуации

Регламентируем вопросы, касаемые определения нештатных ситуаций, оповещения и действий сотрудников при возникновении таких ситуаций. Определяем, как будет проходить расследование инцидентов.

15. Ответственность за разглашение конфиденциальной информации, связанной с ПДН

Расписываем, кто несет ответственность за контроль соблюдения требований по обработке персональных данных, прав и свобод субъектов ПДн. В этом же разделе указываем, какую ответственность несут сотрудники, юридические и физические лица, которые ведут обработку ПДн от лица организации.

Политика обработки ПДн – это очень важный документ, который является основой всех организационных мер обеспечения безопасности. Составление документа требует глубоких знаний 152-ФЗ и возможных мер обеспечения защиты ПДн – как организационных, так и технических.

Хотите узнать больше – приходите на курс

Наш курс «152-ФЗ: полное руководство по защите персональных данных» поможет разобраться в нюансах составления документа, а также предоставит пример его заполнения.

Подробнее

Создайте политику обработки ПДн автоматически

Подробнее

Получите бесплатную запись вебинара

На вебинаре, который состоялся 12 августа, слушатели узнали о том, как пройти проверку Роскомнадзора в 2025 году успешно. Хотите так же? Получите бесплатную запись вебинара!