Перечень документов по обработке персональных данных для мед.компаний

1. создание актуального пакета документов для организации, в т.ч. для сайта:

1.1 Политика обработки персональных данных

1.2 Проект Приказа о назначении ответственного за обработку персональных данных;

1.3 Проект приказа о назначении администратора безопасности информационной системы ООО.

1.4 Проект Приказа об утверждении списка лиц, которым необходим доступ к ПД для выполнения трудовых обязанностей;

1.5 Проект Приказа об утверждении перечня лиц, имеющих доступ к персональным данным работников.

1.6 Проект Приказа о выделении помещений, в которых производится обработка информации ограниченного распространения (персональных данных);

1.7 Проект Приказа об утверждении мест хранения материальных носителей, содержащих персональные
данные.

1.8 Проект Правила рассмотрения запросов субъектов персональных данных или их представителей;

1.9 Проект Приказа о проведении внутренней проверки;

1.10 Проект Отчета о результатах проведения внутренней проверки обеспечения защиты персональных данных;

1.11 Документ, устанавливающий требования к хранению, блокированию и уничтожению персональных данных (Правила);

1.12 Документы по организации приема и обработке обращений и запросов субъектов персональных данных: Журнал учета обращений субъектов персональных данных, Правила рассмотрения запросов субъектов персональных данных или их представителей.

1.13 Документы, подтверждающие уничтожение персональных данных по достижении цели их обработки: Журнал уничтожения персональных данных, Акт об уничтожении персональных данных

1.14 Акт оценки вреда

1.15 Уведомление в Роскомнадзор об обработке персональных данных

1.16 Приказ об утверждении перечня информационных систем персональных данных (ИСПДн)

1.17 Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн)

1.18 Проект матрицы доступа к персональным данным.

1.19 Пользовательское соглашение на сайт

1.20 Форма для запроса субъектом персональных данных о предоставлении ему сведений

1.21 Согласия на обработку персональных данных (на различные действия, на различные виды данных, на различных субъектов персональных данных), в т.ч. на обработку:

• специальных персональных данных (в т.ч. данные о здоровье),
• биометрических персональных данных (фото /записи голоса во время телефонного разговора/ видеонаблюдение),
• на передачу персональных данных,
• на распространение персональных данных неопределенному кругу лиц (в случае такового)
• на работников,
• на соискателей на должности,
• на клиентов/пациентов
• на контрагентов (поставщики, исполнители и тд – ИП).

1.22 Обязательство о неразглашении работником персональных данных.

1.23 Разъяснение последствий отказа от подписания согласия на обработку персональных данных для работников.

1.24 Модель угроз безопасности персональных данных при их обработке в информационных системах
персональных данных.

2 Помощь при внедрении режима защиты персональных данных в организации

2.1 Инструктаж всех задействованных в процессе сотрудников

2.2 Подписание всех документов, подача Уведомления в РКН, получение согласий, ведение журналов и проч. документации

2.3 Памятки, консультирование специалистов по работе с документами и информацией, по правильному размещению документов на сайте. В течение 1 мес с момента разработки полного пакета документов)

2.4 Взаимодействие с вашим сотрудником по информационной безопасности (технически специалист, системный администратор, привлеченная компания и проч.)

2.5 Помощь подрядчиков (IT-компании) при внедрении технического средства защиты – «менеджер паролей») на год (по желанию клиента) 

3. Сопровождение:

3.1 Консультирование по запросу от руководителя или любого сотрудника организации клиента. Например, стало известно об утечке данных. Вы нам срочно сообщаете. Мы информируем вас о том, что необходимо сделать, помогаем выполнить эти обязанности, как то: 1. В течение 24хч через определенный сервис уведомить РКН об утечке. 2. В течение 72х ч провести расследование, привлечь виновных к ответственности, принять другие меры к устранению нарушения, сообщить в РКН о результатах и принятых мерах. 3. Реализовать меры – создаем приказ о привлечение к ответственности, еще раз провести инструктаж сотрудниках о правилах работы с документами и сведениями, и т.п.

3.2 Ответы на жалобы граждан, запросы РКН, Прокуратуры и др. органов по соблюдению законодательства о персональных данных. При поступлении в вашу организацию жалобы, запроса, представления и проч. вы срочно направляете нам этот документ. Мы анализируем и сообщаем обо всех мероприятиях, которые вы должны выполнить срочно. Помогаем подготовить грамотный ответ, сопутствующие документы, устранить нарушение.

3.3 Актуализация пакета документов в связи с изменением закона и практики его применения. При изменении законодательства о защите персональных данных (мы отслеживаем его не реже раз в 3 недели) или изменении судебной практики рассмотрения связанных с этим дел, появлении новой информации о том, как работает РКН, и прочих основаниях для изменения, дополнения ваших документов – мы извещаем вас о такой необходимости, корректируем документы, инструктируем об изменениях и как они влияют на работу с данными, если требуется – вносим изменения в инструкции, памятки, консультируем по изменениям.

3.4 Участие при проведении проверок контрольно-надзорными органами. При проверке в связи с персональными данными мы даем представителя, который участвует вместе с вами при ее проведении, представляет ваши интересы в ходе проверки. 

4. Представительство интересов при рассмотрении административных дел о правонарушении на административной комиссии – по отдельному запросу

5. Представление интересов при рассмотрении в суде дел по нарушениям законодательства о персональных данных – по отдельному запросу (гражданским (убытки, моральный вред и т.п.), административным, дисциплинарным, трудовым)