Проверки Роскомнадзора практические аспекты

Содержание

1 Какие документы запросят для проверки
- 1.1 Шаблоны, которые вам пригодятся при взаимодействии с Роскомнадзором:
2 Проверка деятельности операторов персональных данных
3 Какого рода проверки проводит Роскомнадзор
4 Виды проверок Роскомнадзора
5 Какие приоритетные направления контрольной деятельности Роскомнадзор планирует в ближайшей перспективе
6 Подготовка к проверке
7 Что такое персональные данные
8 Что такое персональные данные
9 Типы персональных данных
10 Какие документы нужны в организации, работающей с массивами
- 10.1 Обязательный перечень
- 10.2 Дополнительный список
11 Вниманию представителей региональных СМИ, вещательных организаций, представителей операторов связи и иных заинтересованных лиц
12 Список информационных систем и их параметры
13 Уважаемые заявители
14 В пакете с ОРД должны присутствовать
15 В каких случаях преступные деяния могут повлечь уголовную ответственность

Какие документы запросят для проверки

Подготовьте документы в виде заверенных копий. Электронные документы вы можете передать, только если в вашем учреждении используют усиленную квалифицированную электронную подпись. Если вы не можете представить документы или подписать их, направьте в Роскомнадзор мотивированное объяснение, почему не представите документы в срок (п. 35 Правил).

Если проверка документарная, то действуйте так же. Документы направьте за пять рабочих дней (п. 27 Правил). Документы передавайте по тому адресу и тем способом, которые указаны в запросе. Можете отправить через интернет, если заверите квалифицированной электронной подписью (п. 27 Правил). Учтите, дата представления документов – это день, когда контролер их получил и поставил свой штамп (п. 28 Правил).

Если найдут противоречия в ваших документах, запросят пояснения. Дайте их в течение трех рабочих дней. Если пояснения не убедят инспекторов, к вам придут с выездной проверкой (п. 30, 31 Правил).

Шаблоны, которые вам пригодятся при взаимодействии с Роскомнадзором:

письмо проверяющему с просьбой объяснить цель предоставления документов
мотивированный отказ представить копии документов из-за того, что некому заверить копии
мотивированный отказ представить копии документов из-за того, что они не касаются предмета проверки
уведомление, что учреждение исполнило предписание Роскомнадзора
жалоба на действия проверяющего из Роскомнадзора его руководителю

Проверка деятельности операторов персональных данных

Проверки Роскомнадзора практические аспекты Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.

↓ ↓

Какого рода проверки проводит Роскомнадзор

В соответствии с п. 2 ст. 9 Закона N 294-ФЗ проверка той или иной организации либо физического лица включается в план не чаще чем один раз в три года.

Управление проводит несколько видов проверок:

  V проверки   во   взаимодействии   с   проверяемым   лицом   (выездные  и    документарные).  Организация  указанных  проверок   осуществляется   на    основании Закона N 294-ФЗ;    -----------------------------------------------------------------------  V мероприятия  систематического  наблюдения: проверки, которые проводятся    без взаимодействия с проверяемым  лицом (организация указанных проверок    регламентирована   Положением  и   Постановлением  Правительства  РФ от    02.03.2005 N 110 "Об утверждении Порядка осуществления государственного    надзора за деятельностью в области связи"), когда от проверяемого  лица    не  требуется представления каких-либо  документов  либо  материалов  в    Управление  Роскомнадзора.  Государственные инспекторы делают выводы  о    действиях    проверяемого   лица    в   соответствии   с   требованиями    законодательства  на  основании  той  деятельности  проверяемого  лица,    которую   оно  осуществляет  в  отношении  неопределенного  круга  лиц.    (Примером  таких  мероприятий  является  рассылка   контрольных  писем:    инспектору нет необходимости входить в контакт  с  представителями ФГУП    "Почта  России",  он  действует  исключительно  как  пользователь услуг    почтовой   связи,  но  при   анализе  штампов   на   конверте  (который    возвращается  к  нему после  определенного времени)  он  может  сделать    вывод, соблюдаются ли оператором   почтовой   связи   сроки   пересылки    корреспонденции, и соответственно,  применить  меры   административного    реагирования.)

О том, включена ли ваша организация в план проверок Управления Роскомнадзора, вы можете узнать на официальном сайте данного управления (www.52.rsoc.ru) либо на сайте прокуратуры Нижегородской области .

Аналогичная информация должна быть представлена на сайтах других региональных управлений Роскомнадзора.

Правда, там нельзя посмотреть график мероприятий систематического наблюдения: об этом организация узнает лишь при ознакомлении с результатами такого мероприятия.

Кроме того, нельзя скинуть со счетов внеплановые проверки. Основаниями для проведения внеплановых проверок являются проверка исполнения ранее выданного предписания об устранении нарушения, информация, полученная из любых источников, о причинении вреда (или угрозе причинения вреда) жизни, здоровью людей, вреда животным, растениям, окружающей среде, безопасности государства, чрезвычайных ситуациях природного и техногенного характера. Внеплановые проверки осуществляются и в случае обращения граждан, чьи права нарушены. Кроме того, в соответствии с лицензионным контролем основанием для внеплановой проверки может служить и обращение юридического лица с жалобой на действия лицензиата, повлекшие нарушение лицензионных условий.

Срок проведения проверки не должен превышать 20 рабочих дней, но может быть продлен приказом руководителя Управления Роскомнадзора еще на 20 рабочих дней при наличии серьезных оснований. В 2009 г. продлевалась только одна проверка в связи с тем, что необходимо было получить ряд документов другого госоргана. Цель деятельности Роскомнадзора в том, чтобы поднадзорные лица работали в правовом поле, а не от проверки к проверке. С вступлением в силу Закона N 294-ФЗ Управление Роскомнадзора пересмотрело свою деятельность в сторону ограничения выездных проверок, проводимых на территории проверяемого лица, конечно, не в ущерб качеству их проведения. Но при возможности в большей степени осуществляются документарные проверки либо мероприятия систематического наблюдения, что меньше влияет на основную деятельность проверяемого лица и отвлекает его специалистов на действия проверяющих.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Какие приоритетные направления контрольной деятельности Роскомнадзор планирует в ближайшей перспективе

Принимая во внимание изменение дел в области защиты прав субъектов персональных данных в Российской Федерации, необходимо выделить такие первоочередные задачи уполномоченного органа на ближайшую перспективу, как:

выполнение плана проведения плановых проверок с учетом снижения административного давления на операторов путем увеличения количества документарных проверок;
активизация информационно-разъяснительной, профилактической работы;
завершение в 2010 г. процесса формирования реестра операторов.

Поскольку Роскомнадзор ставит своей задачей завершить формирование реестра операторов, особое внимание операторам надо уделить вопросам внесения своих данных в реестр

Решение о предоставлении уведомления оператор принимает самостоятельно, но важно учитывать, что при проведении проверок или в случае рассмотрения обращений граждан выявленная необоснованная обработка персональных данных без уведомления будет квалифицироваться как нарушение требований федерального законодательства. Например, оператор принимает решение не уведомлять уполномоченный орган об обработке персональных данных, ссылаясь на такое исключение, как обработка персональных данных субъектов, которых связывают с оператором трудовые отношения

Вместе с тем, кроме обработки персональных данных своих работников, оператором ведется обработка персональных данных своих клиентов, абонентов, пациентов, пользователей услуг и др. Многие операторы не учитывают осуществление такой обработки и зачастую принимают неверное решение по вопросу уведомления уполномоченного органа, что приводит к нарушению требований закона

Например, оператор принимает решение не уведомлять уполномоченный орган об обработке персональных данных, ссылаясь на такое исключение, как обработка персональных данных субъектов, которых связывают с оператором трудовые отношения. Вместе с тем, кроме обработки персональных данных своих работников, оператором ведется обработка персональных данных своих клиентов, абонентов, пациентов, пользователей услуг и др. Многие операторы не учитывают осуществление такой обработки и зачастую принимают неверное решение по вопросу уведомления уполномоченного органа, что приводит к нарушению требований закона.

Существующее положение дел является недопустимым и связано с выжидательной позицией большинства таких организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных.

Согласно ст. 24 Федерального закона N 152-ФЗ лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Поэтому для обеспечения защиты конституционных прав и свобод граждан, соблюдения российского законодательства операторам выгоднее в рамках действующего законодательства своевременно подавать уведомления об обработке персональных данных, чем подвергать свой бизнес и репутацию возможным рискам со стороны граждан, тем более что уведомление об обработке персональных данных подается оператором единожды и вносится в Единую информационную систему России, которая формируется всеми территориальными управлениями Роскомнадзора.

В ближайшей перспективе Роскомнадзор планирует перейти от сложившейся практики информационно-разъяснительной, фактически «пригласительной» работы к принятию соответствующих мер реагирования в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении.

Е.Зобова

Эксперт журнала

«Бюджетные учреждения:

ревизии и проверки

финансово-хозяйственной деятельности»

Подготовка к проверке

Наталия Годжаева,генеральный директор Superjob.ru: Еще задолго до появления в современном виде закона о персональных данных мы сталкивались с различными кейсами: нам предлагали продавать данные банкам и страховым,нам предлагали участвовать во всевозможных продажах — мы отказывались. Мы добровольно вырабатывали системы выявления и отказа от работы с МЛМ,пирамидами,другими сомнительными бизнесами.

За полгода до проверки мы взвешивали всеза» и «против» варианта пригласить внешнего аудитора для проведения аудита соответствия бизнес-процессов Superjob.ru по работе с персональными данными. Отказались,так как решили,что наша экспертиза сильнее. И в целом оказались правы. По сути,роль аудитора для нас выполнил РКН. Так что в итоге мы получили и аудит,и серьезно прокачали наши компетенции,теперь сами можем консультировать.

Что такое персональные данные

Для точного определения того, что представляют собой персональные данные, стоит обратиться к ТК РФ. Трудовой кодекс определяет персональные данные, как сведения, необходимые к передаче работодателю для выполнения рабочих обязанностей.

Большинство данных, предоставляемых нанимателю, являются персональными – это и паспортные данные (этот вид сведений должен находиться под особой защитой организации, так как паспорт является идентификатором личности гражданина), автобиографические сведения (к которым может относиться, например, уровень образования, квалификация).

Для выполнения некоторых видов работ нанимателю требуются более личные сведения о кандидате на должность, например, информация о перенесенных заболеваниях.

Распространение подобной информации (или неспособность защитить ее конфиденциальность организацией – оператором) и является наиболее частой причиной обращения сотрудника в суд.

Если человек, скажем, перенес тяжелое заболевание, этот биографический факт может принести ему множество проблем при устройстве на работу – естественно, в такой ситуации ему ничего не остается, кроме как защищать собственные интересы в суде.

Суд принимает сторону истца в таких делах в 99% случаев.

Что такое персональные данные

Персональные данные – это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году ФЗ-152 «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Типы персональных данных

Определяя объем и содержание персональных данных сотрудников, работодателям следует опираться на Конституцию РФ, Трудовой Кодекс и прочие федеральные законы.

Для организации трудовых процессов работодателем обрабатываются 2 типа документов.

К первому типу принадлежат задокументированные сведения, которые подает работник в связи с подписание трудового договора (трудовая книжка, паспорт, свидетельство пенсионного госстрахования, документы воинского учета, диплом, сертификаты касательно наличия специальных знаний и пр.).

Документация второго типа формируется непосредственно самим работодателем (приказы о поступлении работника, распоряжения о его перемещении, поощрения, личная карточка, расчетные документы и т.д.).

Критерии классификации	Категория ПД	Характеристика сведений
По степени доступа	Общедоступные	Субъект ПД дал согласие на доступ к ним неограниченного круга лиц или информация общедоступна согласно законодательству
Конфиденциальные	Все ПД, кроме тех, касательно которых законом установлено обратное или в отношении которых субъект ПД согласился на распространение
По направлению	Специальные	Национальная и расовая принадлежность, политические взгляды, состояние здоровья, религиозные убеждения, судимость, личная жизнь
Обычные	Все ПД, кроме тех, которые отнесены к специальным
По содержанию	Биометрические	Данные, которые характеризуют физиологию человека и позволяют установить его личность – отпечатки пальцев, радужка сетчатки, анализ ДНК, почерк и т.д. (точный перечень отсутствует).
Не биометрические	Сведения, которые не относятся к биометрическим данным

Какие документы нужны в организации, работающей с массивами

Условно подобного рода документацию можно распределить по 3 направлениям:

Организационного характера: положение, приказы, письма.
Технического характера: перечень мероприятий, разные инструкции, описывающие алгоритм действий.
Методического свойства: например, правила обработки персональных данных.

Поскольку указанные документы регламентируют одну из важнейших сфер деятельности компании, их следует утверждать отдельным распоряжением руководства, предварительно получив согласие компетентных должностных лиц компании.

Например, в банке или микро кредитной компании, которые ежедневно получают сотни заявок на получение кредита с предоставлением копии паспорта, любую инструкцию по обработке персональных данных клиента требуется согласовать, как минимум, с финансовым отделом, программистами, юристами.

Обязательный перечень

Отдельный перечень обязательных документов Законом не установлен. Однако в ходе практики и обычаев делового оборота сформировался следующий перечень необходимых документов:

техническое задание, инструкция или положение о порядке обработки данных;
план мероприятий по обеспечению информационной безопасности;
соглашение (согласие, заявление) на обработку сведений о владельце;
приказы и распоряжения об утверждении необходимых документов, назначении ответственных лиц и т.д.

Список документов для обработки данных является в достаточной мере условным и в каждой организации, с учетом требований п.2) ст.18-1 Закона, составляется свой список обязательных документов, регулирующих порядок обработки персональных данных.

О перечне документов, которые потребуются для защиты персональных данных работников организации, мы подробно рассказывали тут.

Дополнительный список

К основному перечню документов в компаниях обыкновенно прилагаются список дополнительных, направленных на поддержку нормального функционирования системы защиты персональных данных на предприятии.

Это могут быть акты проверки состояния системы, планы внутренних проверок, предписания о разработке уведомления в территориальный орган Роскомнадзора, образцы исковых заявлений по вопросам нарушений законов, образцы договоров о поручении обработки сведений третьим лицам и т.д.

Вниманию представителей региональных СМИ, вещательных организаций, представителей операторов связи и иных заинтересованных лиц

Управлением Роскомнадзор по Иркутской области с 3-4 декабря 2019 года запланировано проведение встреч в формате круглых столов на базе Администрации г. Братска. Программа проведения круглых столов.

Вниманию абонентов подвижной радиотелефонной связи!

Для исключения списания денежных средств с лицевого счета за услуги связи, в соответствии с п. 5 ст. 44 Федерального закона «О связи» от 07.07.2003 № 126-ФЗ, в случае привлечения оператором связи иных лиц к оказанию контентных услуг, за исключением услуг связи, оказываемых через единый портал государственных и муниципальных услуг, оператор связи на основании обращения абонента обязан создать отдельный лицевой счет, предназначенный только для оплаты данных услуг связи в пределах средств, находящихся на указанном лицевом счете.

При отсутствии указанного обращения оплата данных услуг связи осуществляется с лицевого счета, с которого осуществляется списание денежных средств на оплату услуг связи.

Список информационных систем и их параметры

№1 АРМ
категории персональных данных	фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,адрес,семейное положение,образование,профессия; паспортные данные, сведения о заработной плате, опыт работы; владение иностранными языками; гражданство; контактный номер телефона; адрес электронной почты: ученая степень, ученые звания; сведения о дополнительном образовании сертификациях; награды; ИНН; сумма купонного дохода; сведения об учредительской деятельности; сведения о долговых обязательствах; сведения о воинской обязанности; сведения о выданных визах; СНИЛС; банковские реквизиты; сведения о стаже работы; сведения о наличии разрешения на работу в РФ
категории субъектов, персональные данные которых обрабатываются	Кандидаты; работники; супруги работника; дети работника; контрагенты; представители контрагентов; получатели купонных доходов; лица, по которым невозможно удержать налог на доходы физических лиц; посетители; бывшие работники; гражданин РФ; ответственное лицо стороны сторонней opганизации; клиенты; адресаты.
перечень действий с персональными данными	Сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, удаление, уточнение.
обработка персональных данных	смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет
трансграничная передача	да
сведения о местонахождении баз данных	Россия
№2 ЦОД
категории персональных данных	фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,адрес,семейное положение,образование,профессия; паспортные данные, сведения о заработной плате, опыт работы; владение иностранными языками; гражданство; контактный номер телефона; адрес электронной почты: ученая степень, ученые звания; сведения о дополнительном образовании сертификациях; награды; ИНН; сумма купонного дохода; сведения об учредительской деятельности; сведения о долговых обязательствах; сведения о воинской обязанности; сведения о выданных визах; СНИЛС; банковские реквизиты; сведения о стаже работы; сведения о наличии разрешения на работу в РФ
категории субъектов, персональные данные которых обрабатываются	Кандидаты; работники; супруги работника; дети работника; контрагенты; представители контрагентов; получатели купонных доходов; лица, по которым невозможно удержать налог на доходы физических лиц; посетители; бывшие работники; гражданин РФ; ответственное лицо стороны сторонней opганизации; клиенты; адресаты.
перечень действий с персональными данными	Сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, удаление, уточнение.
обработка персональных данных	смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет
трансграничная передача	да
сведения о местонахождении баз данных	Россия

Уважаемые заявители

Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т.д.

К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов.

По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.

заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных данных в электронном виде
заполнить форму заявления об исключении сведений из реестра операторов, осуществляющих обработку персональных данных
заполнить форму заявления о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных
заполнить информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных

Внимание! Временно, распечатку заполненной электронной формы заявления на фирменном угловом (продольном) бланке оператора производить через: «Файл» — «Печать» — «Весь диапазон страниц» — «Печать». Уважаемые заявители!

Уважаемые заявители!

Для исполнения ч.2.1. ст.25 Федерального закона №152-ФЗ (в редакции от 25.07.2011 N 261-ФЗ)»О персональных данных» необходимо представлять информационное письмо (вариант письма смотри ниже).

В пакете с ОРД должны присутствовать

перечень ПДн (категория, субъекты, основания);
список должностных лиц, допущенных до ПДн;
регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
приказ о назначении и должностная инструкция администратора ИСПДн;
приказ об определении границ контролируемой зоны;
перечень помещений, в которых ведется обработка ПДн;
порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
положение об обеспечении безопасности ПДн;
регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
регламент реагирования на инциденты безопасности ПДн;
правила разграничения доступа;
инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
журнал ознакомления с документами;
перечень ИСПДн, используемых в организации.

Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации. Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации

Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты

Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу

А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты

Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.

Помощь в прохождении проверки Роскомнадзора

Узнать больше

Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность

В каких случаях преступные деяния могут повлечь уголовную ответственность

На практике чаще встречается привлечение должностных лиц учреждений (организаций) к административной ответственности, но не следует забывать, что в случае выявления грубых нарушений может последовать и уголовная ответственность.

Преступлением является, в частности, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Согласно ст. 137 УК РФ за это преступление устанавливается следующее наказание: штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до года, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения (то есть, например, директором бюджетного учреждения), наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арестом на срок от 4 до 6 месяцев, либо лишением свободы на срок от года до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Незаконный отказ должностного лица в предоставлении гражданину информации также является основанием для привлечения к уголовной ответственности. В соответствии со ст. 140 УК РФ если должностное лицо неправомерно отказывает в предоставлении собранных в установленном порядке документов и материалов, затрагивающих права и свободы гражданина, либо предоставляет гражданину неполную или заведомо ложную информацию и такие действия причинили вред правам и законным интересам граждан, то должностное лицо наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.