Виды персональных данных:

Общие:

• Ф. И. О.
• Пол
• Дата рождения
• Паспортные данные
• Данные регистрации
• Информация о месте работы
• Номер телефона, адрес электронной почты

Специальные:

• Национальность
• Религиозные, политические или другие взгляды
• Состояние здоровья
• Сведения о личной жизни
• Данные о судимостях

Биометрические:

• Фото
• Отпечатки пальцев
• Группа крови
• Генетические данные

Любые действия с персональными данными: сбор, хранение, предоставление или уничтожение — считаются обработкой. Компания, которая их выполняет, становится оператором, а её сотрудники — субъектами персональных данных.

Обработка может быть неавтоматизированной, когда все персональные данные на бумаге, и автоматизированной, когда они в электронной версии. Это зависит от того, как в компании устроен документооборот.

Порядок работы с персональными данными:

1. Разработать внутреннюю политику по работе с персональными данными (далее- ПД)
2. Назначить ответственного за обработку персональных данных.
3. Определить группу лиц с доступом к персональным данным: создать и утвердить список должностных лиц, которые имеют доступ к персональным данным. Для утверждения перечня работодатель издаёт приказ.
4. Обеспечить безопасность персональных данных.
5. Уведомить Роскомнадзор. Форма уведомления опубликована в Приказе Роскомнадзора № 180.
6. Получить согласие на обработку персональных данных

Внутренние нормативные документы, которые регулируют порядок работы с персональными данными:

1. Политика в области обработки персональных данных (ПД)
2. Инструкции:

• администратора информационной безопасности
• ответственного за организацию обработки персональных данных
• работников, обслуживающих информационные системы ПД
• по работе с машинными носителями, содержащими ПД
• по применению антивирусных средств защиты
• по учёту лиц, допущенных к работе с ПД
• по физической охране и контролю доступа в помещения
• по проведению инструктажа работников, допущенных к работе с ПД

Положения:

• о комиссии по обеспечению безопасности ПД
• о парольной защите при обработке ПД
• о порядке уничтожения ПД
• об организации видеонаблюдения
• об ответственности работников, допущенных к обработке ПД

Правила:

• выявления инцидентов в области безопасности информационных систем
• оборудования помещений, используемых для ОПД
• оценки вреда, который может быть причинён субъекту ПД
• рассмотрения обращений субъекта ПД

Также должны быть изданы приказы:

• о назначении администратора информационной безопасности
• о назначении ответственного за организацию обработки ПД
• о создании комиссии по уничтожению ПД
• об утверждении комиссии по обеспечению безопасности персональных данных
• об утверждении локальных нормативных актов
• об утверждении перечня должностей работников, которые взаимодействуют с ПД
• об утверждении политики оператора в отношении обработки ПД
• об утверждении списка помещений, предназначенных для обработки ПД

Также необходимо подготовить акты:

• определения уровня защищённости информационной системы
• оценки вреда, который может быть причинён субъекта ПД
• о выявлении нарушений в сфере защиты ПД
• об уничтожении ПД
• об уничтожении машинных носителей ПД