Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 28 апрель – май 2025 www.secuteck.ru СПЕЦПРОЕКТ АнТиТЕРРОР. БЕзОПАСнОСТь мЕСТ С мАССОвым ПРЕБывАниЕм людЕй Таблица 6. Документы, необходимые для обработки ПДн № пп Документы Требования нормативных правовых актов 1. Уведомление об обработке персональных данных Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ст. 22) 2. Информационные письма о внесении изменений в реестре (при необходимости) Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ч. 7 ст. 22) 3. Документы, подтверждающие размещение баз персональных данных на технических площадках (ЦОД, сервера), информационных системах, находящихся на территории Российской Федерации: l договор аренды серверных мощностей, находящихся на территории Российской Федерации; l документ, подтверждающий наличие у организации собственных серверных мощностей, на которых размещены базы персональных данных (заверенная блок-схема размещения рабочих мест, на кото- рых осуществляется хранение персональных данных граждан России); l иные документы, подтверждающие принятие оператором мер по размещению баз персональных данных на технических средствах, размещенных на территории Российской Федерации Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (п. 5 ст. 18) 4. Согласия субъектов персональных данных (в случаях, установленных Федеральным законом "О персо- нальных данных") Федеральный закон от 27.07.2006№152-ФЗ "О персональных данных " (ч. 1 ст. 6, ч. 1, 4 cт. 9) 5. Договоры, заключенные с третьими лицами, касающиеся поручения на обработку персональных дан- ных (должны соответствовать предъявляемым требованиям) Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ч. 3 ст. 6) 6. l Локальные акты, устанавливающие порядок и условия уничтожения персональных данных. l Акты об уничтожении персональных данных Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ч. 4 ст. 21, ч. 2 ст. 9) 7. Документы, подтверждающие принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обра- ботки персональных данных; 2) издание и опубликование юридическим лицом документов, определяющих политику оператора в отно- шении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональ- ных данных, локальным актам оператора; 4) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоя- щего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящимФедеральным законом; 5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требо- ваниями к защите персональных данных, документами, определяющими политику в отношении обра- ботки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников; 6) иные меры Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ч. 1, ч. 2 ст. 18.1, ч. 1 ст. 22.1) 8. Документы, подтверждающие факт информирования лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, обработка которых осуществляется без исполь- зования средств автоматизации, категориях обрабатываемых персональных данных, а также об осо- бенностях и правилах осуществления такой обработки, установленных законодательством П. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687 9. Типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных (должны соответствовать предъявляемым требованиям) П. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687 10. Документ, устанавливающий требования к ведению журнала (реестра, книги), содержащего персо- нальные данные, необходимые для однократного пропуска субъекта персональных данных на террито- рию или в иных аналогичных целях П. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687 11. Документы, определяющие места хранения персональных данных (материальных носителей) и утвер- ждающие перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ П. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687