1. Согласие на обработку ПД и обязательство о неразглашении ПД.
2. Приказ о введении режима обработки ПДн
3. Приказ о создании комиссии для классификации ИСПДн
4. Приказ о назначении ответственных за безопасность ПДн
5. Описание технологических процессов
6. Перечень ИСПДн
7. Перечень ПДн
8. Приказ и Перечень общедоступных сведений
9. Приказ о назначении ответственных лиц за ПДн и список ответственных лиц
10. Частная модель угроз
11. Акт Классификации ИСПДн
12. План контролируемой зоны
13. Технический паспорт ИСПДн
14. Уведомление об обработке (регулятора)
15. Требования по обеспечению безопасности персональных данных
16. Перечень подразделений и сотрудников, допущенных к работе с ПДн
17. Положение о разграничении прав доступа к обрабатываемым персональным данным
18. Инструкция Администратора безопасности
19. Инструкция пользователя ИСПДн
20. Инструкция парольной защиты
21. Инструкция по антивирусному контролю
22. Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
23. Положение по обработке и защите персональных данных
24. Лист ознакомления с нормативной базой
25. Акт приема зачета по знанию нормативной базы
26. Порядок маркировки электронных носителей ПДн
27. Журнал учета носителей ПДн
28. Журнал учёта обращений субъектов ПДн о выполнении их законных прав
29. Протокол оценки соответствия ИСПДн требованиям
30. Акт декларирования соответствия ИСПДн требованиям безопасности информации.

Не смотря на то, что в приведенных перечнях некоторые документы совпадают (по названиям), но по содержанию достаточно много отличий. Хотя бы даже приказы - для обычных организаций в них необходимо указывать список проводимых работ и разрабатываемых при этом документах. Так же некоторые документы у муниципалов регулируются соответствующими распоряжениями Мэрии.

1. По поводу сотрудников. Закон говорит о том, что согласие необходимо брать ОБЯЗАТЕЛЬНО в случае передачи ПДн третьей стороне и в случае размещения ПДн в общедоступных источниках. Вы сотрудникам зарплату перечисляете? Медицинское страхование, полисы ДМС - имеются? Корпоративная мобильная связь есть? Фирма, обслуживающая СВТ и имеющая доступ к элементам ИСПДн? Значит, данные третьей стороне передаете - берите согласие. Телефонный справочник организации с указанием ФИО есть? Значит, есть общедоступный источник - берите согласие. Это же самое касается и ФЛ, работающих по ГПХ, если им предоставляются такие же условия, как сотрудникам, работающим по трудовым договорам.

2. Что касаемо ИЧП - надо смотреть, в каком объеме и для каких целей вы используете их ПДн. Если договор купли-продажи, услуг и тд, и данные берутся только в объеме, необходимом для внесения в договор (а это данные не Иван Иваныча как физика, а ИЧП Иван Иваныча как юрлица) - тогда не надо - эти данные общедоступные в соответствии с ГК РФ.

Насколько мне известно утвержденной формы заявления согласия на обработку ПДн сотрудников не существует. В 152-ФЗ есть только перечень требуемых реквизитов в данном заявлении.
Возникает вопрос: возможно ли оформить заявления согласие для уже работающих сотрудников и вновь принимаемых в форме доп. соглашения к трудовому договору?

Утвержденной формы нет и быть не может - так как сведения, указанные в согласии, индивидуальны не только для каждой организации, но и для каждой ИСПДн, так как цели для всех разные.

Я считаю, что для сотрудников организации согласие на обработку их ПДн КРАЙНЕ ЖЕЛАТЕЛЬНО оформлять в виде дополнения к ТД - поскольку в таком случае устраняется масса проблем, связанных с трудовым законодательством (фактически - не дал согласие - нет и договора, и отозвать его означает аннулировать трудовой договор), а также с хранением согласий (труддоговор и все приложения и дополнения хранится 75 лет).

Поэтому, рекомендую сделать дополнение к ТД (или прописать эти пункты в основном тексте ТД - по сути разницы нет).

Но интересно былобы услышать Ваше мнение по посту во второй конференции ReignVox:

Однако законом ОДНОЗНАЧНО определено, что согласие субъекта ОБЯЗАТЕЛЬНО необходимо получать в случаях:

1. Передачи ПДн третьим лицам (страховые компании ДМС, операторы связи - то, что не предусмотрено трудовым договором и законодательством РФ).
2. Размещения ПДн в общедоступных источниках - справочниках и адресных книгах, бумажных и электронных (например, Active Directory имеет смысл сделать общедоступным источником ПДн, чтобы перевести его в 4 класс и не защищать).
3. Трансграничной передачи ПДн.

Если в Вашей организации хоть что-то из этого есть - согласие брать необходимо. Если нет, и Вы сможете это доказать - тогда ответ на вопрос 242. Надо понимать, что как сформулирован вопрос, так на него и отвечают, при этом очень быстро и не вдаваясь во всякие "если".

МинЗдравСоцРазвития : http://www.minzdravsoc.ru/docs/mzsr/informatics/5

Ассоциация Российских Банков : http://www.abiss.ru/doc/

МинОбрНауки (на оригинальном сайте удалено) : http://vgu.ru/license/license.php

-----

Администрация Смоленской области : http://admin.smolensk.ru/www.fstec.ru/person.htm

Министерство образования Республики Алтай : http://www.mon-ra.ru/documents/ispdn/ISPDn_rekom.zip

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.